Andrea Danti - Fotolia

P
Lo básico Póngase al día con nuestro contenido introductorio.

¿Cómo puede el sinkholing de malware mejorar la defensa contra amenazas avanzadas?

Aprenda cómo el sinkholing de malware está ayudando a los expertos en seguridad a analizar los dispositivos infectados e incluso desactivar el malware en puntos finales comprometidos.

Los expertos en seguridad están utilizando una táctica llamada sinkholing para analizar y controlar sistemas infectados con malware. ¿Cómo funciona el sinkholing de malware, y cómo puede ayudar a mejorar las defensas de la empresa contra amenazas avanzadas?

Sinkholing es una evolución de la tecnología honeypot y de herramientas como LaBrea Tarpit. Su acción consiste en tomar el control de la infraestructura de comando y control (C&C) de una red de bots u otras comunicaciones de malware, y mediante el uso de esas comunicaciones recopilar datos sobre cómo funciona el malware y desactivar la red de bots, y potencialmente incluso desactivar el malware en los puntos finales comprometidos.

El sinkholing de malware puede incluir identificar el servidor de comando y control externo y tomar el control del mismo a través de un exploit de seguridad, que por lo general requiere algún tipo de autorización legal previa. Los registros y las conexiones pueden ser analizados para determinar los sistemas comprometidos, si y qué tipo de datos fueron robados, y la funcionalidad de la infraestructura C&C. Esto se puede hacer para hosts internos o potencialmente para hosts externos que podrían estar utilizando su red o DNS.

El sinkholing puede ayudar a impulsar las defensas empresariales mediante la mejora de la detección de puntos finales comprometidos. La detección mejorada ayudará a reducir el tiempo que tarda una empresa en responder a un incidente e identificar el impacto del incidente. Esta detección puede ser desde afuera de su empresa y podría permitirle beneficiarse de la labor de otras organizaciones en la identificación de indicadores de compromiso. Esta detección mejorada también se puede añadir a una herramienta de inteligencia de amenazas general –tales como Cisco Advanced Malware Protection, FireEye Threat Intelligence o Threat Connect– que luego se utiliza para alimentar la inteligencia para otras herramientas de seguridad en uso.

Este artículo se actualizó por última vez en mayo 2016

Profundice más

¿Qué necesita resolver?

Por favor, añada un título para su pregunta

Obtenga respuestas de un experto de TechTarget en lo que sea que necesite resolver

Usted será capaz de añadir detalles en la siguiente página

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close