Llegamos a ustedes gracias a:



Noticias

Investigador desarrolla nuevo método para la detección de tráfico malicioso

[06/12/2011] La detección de tráfico malicioso mediante el análisis de encabezados HTTP basado en un sistema de "scoring" estudiado por Trustwave, se abre nuevo frente en la lucha contra el malware, promoviendo la creación de una herramienta de seguridad.
Un investigador brasileño de Trustwave, empresa proveedora de soluciones de seguridad de la información, está investigando la posibilidad de examinar los encabezados HTTP (Hypertext Transfer Protocol) para detectar el tráfico malicioso en internet y la comunicación de máquinas infectadas con los sitios de C&C - Command and Control Server.
El nuevo método es mucho más sencillo que el convencional y abre, en la práctica, un capítulo de protección contra la ciberdelincuencia, para ampliar los niveles de automatización en la detección de amenazas.
El investigador Rodrigo Montoro, uno de los defensores del nuevo método, que integra el equipo latinoamericano de SpiderLabs -grupo de seguridad de avanzada de Trustwave- es responsable de coordinar el proyecto, que se desarrolla actualmente a nivel mundial para promover el descubrimiento y su evolución.
De acuerdo con el especialista, el análisis de los encabezados abre grandes posibilidades para cubrir un importante espacio de vulnerabilidad en el uso de Internet. Por ser uno de los fundamentos de la web, que une las computadoras y sitios webs, HTTP está presente en todas partes, haciendo que enormes cantidades de malware se aprovechen de este tipo de tráfico, señala, añadiendo que cada segundo surge un nuevo malware y se propaga en la red global.
El examen de los encabezados HTTP "representa un importante paso adelante en el área de seguridad de la información, a diferencia de los tradicionales análisis de tráfico en la web es en realidad una nueva forma de detectar y prevenir las amenazas", indica el experto.
Según Montoro, quién ha estado en los detalles de esta nueva línea de investigación en eventos de la industria en América Latina y los EE.UU., Europa y Asia, las conexiones maliciosas tienden a causar un comportamiento diferente en el tráfico HTTP. Como por ejemplo, reutilizan códigos compartidos y, frecuentemente, emplean encabezados cuyo uso es poco frecuente o inexistente.
Así, el tráfico sospechoso por lo general tiene encabezados parciales, que suelen ser más pequeños que los convencionales. En este sentido, la cabecera de tipos poco comunes puede ser un indicio de tráfico malicioso.
Ante esta situación, el nuevo método de detección propuesto por Montoro se basa en un sistema de "scoring", que es más sencillo, y le asigna un valor numérico a la lista de comportamientos considerados sospechosos. Cuanto más alto sea el puntaje, mayor es la probabilidad de un tráfico malicioso. "Existe una nota límite a partir de la cual el tráfico se puede clasificar como normal o malicioso", explica.
En algunos ensayos preliminares con tráficos maliciosos conocidos, Montoro analizó 6.127 canales de flujo de datos ("streams") y el sistema de puntuación se puede detectar con precisión en el 89,1% de los sitios que estaban liberando algún tipo de tráfico infeccioso. El sistema tuvo una tasa de falsos positivos de alrededor del 9% y la meta es reducir esta tasa a menos del 2%.
En la actualidad, la detección de malware en los encabezados HTTP se encuentra en fase de prueba de concepto en SpiderLabs. Más adelante, los resultados de la detección darán lugar a la oferta de un filtro de contenido web, o puede generar una solución que se integre en un WAF (Web Application Firewall).
"Una vez finalizado el proyecto, deberemos agregar esta nueva técnica de detección, desarrollada por Rodrigo Montoro, a la cartera de Trustwave, a fin de salvaguardar los diversos frentes de las amenazas y ampliar la protección a los usuarios. Nuestro objetivo es estar siempre actualizados con lo que va a ofrecer nuevas formas de detección de nuestros clientes. ", comenta Luiz Eduardo dos Santos, director de SpiderLabs para América Latina, y agregó que espera, en el futuro, poder abrir el código fuente de este proyecto para que sea de dominio público.
CIO, Perú