Divulgação Classificar e comparar ameaças cibernéticas pode ser muito complicado, especialmente devido ao cenário em constante mudança da segurança cibernética do dia a dia. Portanto, ter um processo robusto, quantificável e repetível para classificar grandes quantidades de dados pode ser inestimável, pois os defensores priorizam seus recursos limitados para proteger os sistemas e analisar seu tráfego e alertas. Embora tenha havido uma série de tentativas de criar tal algoritmo, com a mais recente tentativa notável de Spamhaus, a maioria fica aquém de produzir partituras que podem ser interpretadas por uma ampla variedade de públicos e podem ser facilmente usados para fornecer comparações significativas. Em resposta a essa necessidade, pesquisadores da Grupo de Inteligência de Ameaças da Infoblox desenvolveram um novo algoritmo de pontuação genérico que pode ser aplicado a dados como domínios de nível superior e servidores de nomes.
“Classificar a reputação ou o risco da infraestrutura da Internet é essencial para a efetiva defesa da rede de uma organização. Os defensores têm recursos limitados e devem se concentrar em ameaças que representam o maior risco para sua organização. Embora tenha havido muitas tentativas de desenvolver algoritmos que possam produzir pontuações de classificação, a maioria produz pontuações que são difíceis de interpretar e usar para fins de comparação. Os pesquisadores da Infoblox desenvolveram um novo algoritmo de pontuação que aborda esses dois desafios. A Infoblox é uma grande empresa com uma base instalada global muito substancial. Sempre que permitido, usamos os dados de nuvem anônimos para identificar tendências emergentes usadas por agentes de ameaças, e esta é a base para nosso novo algoritmo”, diz Sandro Tonholo, country manager da Infoblox Brasil.
Para introduzir o algoritmo e demonstrar sua utilidade, os pesquisadores da Infoblox o aplicaram aos últimos seis meses de dados de DNS anônimos dos resolvedores da empresa para determinar a reputação, ou risco, associado a domínios.com, .net e outros domínios de primeiro nível (TLDs) que aparecem no trânsito. Com alta confiança, os pesquisadores classificaram dez como de alto risco, o que significa que esses TLDs eram mais propensos a conter domínios maliciosos do que outros TLDs foram: bid, cam, cfd, click, icu, ml, quest, rest, top e ws.
O novo algoritmo de pontuação de reputação usa apenas duas informações: o número total de observações e o número de observações que atendem a um critério específico. Quando o algoritmo é aplicado a TLDs para gerar pontuações de risco, os valores são o número total de domínios observados no TLD e o número de domínios maliciosos observados no TLD. Usando esses dois valores, o algoritmo produz uma pontuação de zero a dez: ou seja, [0:10]. UMA a pontuação de 5 é interpretada como a pontuação normal, esperada e é classificada como “risco moderado”. As pontuações de 4 e 6 são próximas o suficiente para serem classificadas também como “risco moderado”. As pontuações abaixo de 5 têm uma pontuação abaixo da média (ou seja, uma porcentagem abaixo da média de domínios maliciosos), enquanto pontuações acima de 5 têm uma pontuação acima da média (ou seja, uma pontuação mais alta porcentagem do que a média de domínios maliciosos).
Dado o cenário em constante mudança da web, as pontuações de TLD dependem das observações usadas nos cálculos e mudará ao longo do tempo à medida que novas observações são feitas. Para melhorar a confiança na pontuação e classificação de risco, a Infoblox avaliou os TLDs quanto à consistência antes selecionando-os para análise posterior. Dada a natureza altamente variável da internet, recursos e infraestrutura do agente de ameaças, não é incomum que a pontuação de risco de um TLD varie de mês para mês. Como resultado, um TLD sendo consistentemente classificado como de alto risco indica um risco de longo prazo que justifica a ação dos defensores. Embora nem todos os domínios nesses TLDs sejam maliciosos, entender o risco geral do próprio TLD pode ajudar os defensores a decidir se há um caso de negócios para bloquear o TLD ou, pelo menos, cuidadosamente monitora-lo.
Usar esse algoritmo para classificar o risco de TLDs é apenas o primeiro passo. Oportunamente, a empresa mostrará como ele pode ser usado para classificar elementos de infraestrutura de internet como servidores de nomes e registradores de domínio. No futuro, a Infoblox também explorará como os resultados dessas investigações podem ser usados pelos clientes para avaliar e priorizar ameaças potenciais a suas redes.
O novo algoritmo de pontuação de reputação da Infoblox já provou ser bem-sucedido. Sua aplicação a determinar a reputação do TLD rendeu informações que a Infoblox usou para fortalecer as defesas de seus clientes através de Dossiê e outros produtos.
Sobre a Infoblox
A Infoblox oferece a experiência de rede de próximo nível com sua Rede Gerenciada em Nuvem Segura Serviços. Como o pioneiro em fornecer o mais confiável, seguro e automatizado do mundo redes, somos incansáveis em nossa busca pela simplicidade de rede do próximo nível. Um reconhecido líder do setor, a Infoblox tem mais de 12.000 clientes, incluindo mais de 70% da Fortune 500. Saiba mais aqui.
