La Defensa de Día Negativo de Blue Coat ayuda a las empresas a protegerse frente al malware de forma preventiva

MADRID, 8 de marzo de 2013 – Según se desprende del estudio de seguridad 2012 de Blue Coat, proveedor líder de seguridad Web y soluciones de optimización WAN, Shnakule, la red de malware (malnet) mas grande de Internet, usa entre 50 y 5.005 dominios únicos por día, dependiendo del nivel de actividad del ataque y tiene servidores ubicados en 39 países de todo el mundo, en todos los continentes. De este modo, aunque los servidores de una región estén inactivos, la malnet sigue lanzando sus ataques de malware desde el resto, en un proceso denominado “Protección por difusión”.

Las redes de malware o Malnets se componen de cientos de servidores diferentes, con diferentes responsabilidades: alojamiento de malware, ataques (incluyendo spam y scam, envenenamiento de motores de búsqueda y pornografía), infraestructura de comando y control. Estos servidores están ubicados en países de todo el mundo para asegurarse de que ningún país - o incluso región - puede hacerlos caer

Protección por dispersión: el modelo de Pando “Las Malnets utilizan una estructura similar a Pando para asegurarse de que siguen funcionando en otros lugares y se propagan en el caso de que haya un país o grupo de países las bloquea. Pando es una colonia de álamos temblones en el que todos los árboles de la colonia comparten una estructura de raíz única. Si un árbol muere, el organismo sobrevive y sigue produciendo nuevos árboles. Pando, considerado el organismo vivo más grande del mundo, se extiende por 43 hectáreas, cuenta con cerca de 47.000 tallos, y podría tener unos 80.000 años de antigüedad. La longevidad de Pando muestra lo difícil que es en última instancia acabar con una estructura tan difusa”, subraya Miguel Ángel Martos, country Manager de Blue Coat en España y Portugal.

Al ubicar servidores en diferentes países por todo el mundo, las malnets imitan la estructura de Pando. La presencia mundial permite a los operadores de malnets transferir recursos de un país a otro, según a quién quieren apuntar. Por ejemplo, en enero de 2012, sólo el 3,33 por ciento de todos los servidores de spam y scam de Shnakule se encontraban en Norteamérica. En julio, este número había aumentado al 39,75 por ciento, lo que indica un aumento de los ataques de spam dirigidos hacia EEUU y Canadá.

Los operadores de Malnets también transfieren sus componentes entre los distintos países en busca de proveedores de alojamiento más dispuestos a pasar por alto las actividades sospechosas. Una vez que identifica servidores amistosos, la infraestructura de malware se vuelve relativamente estable. Por ejemplo, en los últimos seis meses, la proporción de servidores de malware en Europa del Este se mantuvo relativamente estable en un 17 por ciento, frente a importantes variaciones en otras partes del mundo.

¿Cómo protegerse frente a la dispersión geográfica del malware? Las débiles barreras frente a las móviles infraestructuras de malware en todos los países hacen sospechar que las malnets seguirán siendo una amenaza en el futuro. Mantener el ritmo de protección frente a los frecuentes cambios de las redes de malware requiere un nuevo enfoque, basado en identificar las malnets que producen los ataques y bloquearlos en su origen, para prevenir los nuevos ataques antes de que se produzcan. Este nuevo tipo de ciber-defensa proactiva representa el futuro de la seguridad en Internet.

Blue Coat es pionera en este enfoque proactivo de seguridad con su estrategia de “Defensa de Día Negativo”. Un reciente ataque de día cero en Java proporciona un buen ejemplo de cómo esta defensa trabaja para bloquear los ataques antes de que puedan ponerse en marcha.

1. En enero de 2012, se activó un nuevo exploit denominado ok.aa24.net. El servicio de defensa colaborativa WebPulse de Blue Coat lo identificó como fuente de malware y comenzó a bloquear sus sites.

2. En abril de 2012, se activa un sitio de comando y control. Blue Coat identificó la dirección IP como sospechosa y comenzó a bloquearla.

3. El 26 de agosto, ok.aa24.net comienza activamente la distribución de un ejecutable malicioso que utiliza fallo de día cero CVE-2012-4681 de Java y los ordenadores infectados empiezan a comunicarse con el dominio de comando y control.

4. Blue Coat ya estaba bloqueando automáticamente la distribución de malware y los sitios de comando y control, protegiendo a sus usuarios más de 120 días antes de que se lanzara el ataque de forma activa.

“Vale la pena saber lo que están haciendo las malnets, y adoptar un enfoque proactivo para asegurar los activos digitales. Al bloquear el mecanismo de distribución de las amenazas, en lugar de tratar de bloquear ataques específicos, la “Defensa de Día Negativo” protege a los usuarios con antelación a la implementación de los ataques. La Defensa de Día Negativo bloquea también las redes de malware conocidas, protegiendo también a las empresas contra cualquier comunicación con servidores de comando y control, así como cualquier otro ataque provocado por estas infraestructuras maliciosas”, destaca Miguel Ángel Martos.

Acerca de Blue Coat Blue Coat Systems, proporciona soluciones de seguridad web y optimización WAN al 86% de las 500 compañías de FORTUNE Global. Con la cuota de mercado líder en el mercado de Secure Web Getaway, Blue Coat establece el estándar para la seguridad empresarial. Sus soluciones proporcionan la visibilidad, la protección y el control requerido para optimizar y asegurar el flujo de información a cualquier usuario, sobre cualquier red, en cualquier lugar. Para información adicional, por favor visite www.bluecoat.com.