Andrea Danti - Fotolia

P
Lo básico Póngase al día con nuestro contenido introductorio.

¿Cómo puede el sinkholing de malware mejorar la defensa contra amenazas avanzadas?

Aprenda cómo el sinkholing de malware está ayudando a los expertos en seguridad a analizar los dispositivos infectados e incluso desactivar el malware en puntos finales comprometidos.

Los expertos en seguridad están utilizando una táctica llamada sinkholing para analizar y controlar sistemas infectados con malware. ¿Cómo funciona el sinkholing de malware, y cómo puede ayudar a mejorar las defensas de la empresa contra amenazas avanzadas?

Sinkholing es una evolución de la tecnología honeypot y de herramientas como LaBrea Tarpit. Su acción consiste en tomar el control de la infraestructura de comando y control (C&C) de una red de bots u otras comunicaciones de malware, y mediante el uso de esas comunicaciones recopilar datos sobre cómo funciona el malware y desactivar la red de bots, y potencialmente incluso desactivar el malware en los puntos finales comprometidos.

El sinkholing de malware puede incluir identificar el servidor de comando y control externo y tomar el control del mismo a través de un exploit de seguridad, que por lo general requiere algún tipo de autorización legal previa. Los registros y las conexiones pueden ser analizados para determinar los sistemas comprometidos, si y qué tipo de datos fueron robados, y la funcionalidad de la infraestructura C&C. Esto se puede hacer para hosts internos o potencialmente para hosts externos que podrían estar utilizando su red o DNS.

El sinkholing puede ayudar a impulsar las defensas empresariales mediante la mejora de la detección de puntos finales comprometidos. La detección mejorada ayudará a reducir el tiempo que tarda una empresa en responder a un incidente e identificar el impacto del incidente. Esta detección puede ser desde afuera de su empresa y podría permitirle beneficiarse de la labor de otras organizaciones en la identificación de indicadores de compromiso. Esta detección mejorada también se puede añadir a una herramienta de inteligencia de amenazas general –tales como Cisco Advanced Malware Protection, FireEye Threat Intelligence o Threat Connect– que luego se utiliza para alimentar la inteligencia para otras herramientas de seguridad en uso.

Investigue más sobre Las amenazas de seguridad de la información

Close