Infoblox lanza un índice reputacional de riesgos de los dominios en Internet
Infoblox, líder en servicios de red seguros y gestionados desde la nube, ha anunciado el desarrollo de un algoritmo que servirá para evaluar y puntuar los dominios de nivel superior o TLD, Top Level Domains, de Internet en función de los dominios maliciosos que albergan.
Este algoritmo se alimenta de tráfico anónimo para realizar un scoring de los diferentes dominios y así establecer un ranking de reputación de seguridad en función de esta información.
El algoritmo de scoring reputacional, desarrollado por el Threat Intelligence Group de Infoblox, utiliza dos tipos de datos: por un lado el número total de observaciones y por otro el número de observaciones que cumplen un determinado criterio. Cuando el algoritmo se aplica a los TLD para determinar el valor de riesgo, este valor viene dado por la cantidad total de dominios observados en el TLD y la cantidad de dominios maliciosos en ese TLD. Utilizando estos dos valores, el algoritmo produce una puntuación de cero a diez. Una puntuación de 5 se interpreta como la puntuación normal esperada y se clasifica como “riesgo moderado”. Las puntuaciones de 4 y 6 son lo suficientemente cercanas como para que también se clasifiquen como "riesgo moderado". Las puntuaciones inferiores a 5 denotan un porcentaje inferior a la media en cuanto a dominios maliciosos detectados, mientras que las puntuaciones superiores a 5 indican un porcentaje superior a la media.
Los investigadores del Threat Intelligence Group han estado probando el funcionamiento del algoritmo durante los últimos seis meses, aplicándolo a datos anónimos de tráfico de DNS resueltos por los sistemas de Infoblox para determinar la reputación o el riesgo asociado a dominios com, net, y otros dominios de nivel superior (TLD) que aparecieron en el análisis del tráfico. Se han clasificado diez de ellos como de alto riesgo, lo que significa que estos TLD tienen más probabilidades de contener dominios maliciosos que otros TLD como bid, cam, cfd, click, icu, ml, quest, rest, top, y ws.
La puesta en marcha de este algoritmo para clasificar el riesgo de los TLD es solo el primer paso. Infoblox tiene previsto utilizarlo para clasificar también otros elementos que forman la infraestructura de Internet, como servidores de nombres y registradores de dominios. En el futuro, Infoblox también explorará cómo los clientes pueden utilizar los resultados de estas investigaciones para evaluar y priorizar las posibles amenazas a sus redes. A día de hoy este algoritmo de scoring reputacional ya ha producido beneficios, ya que Infoblox está utilizando la información obtenida en el análisis para reforzar la postura de seguridad de sus clientes y de sus soluciones.
Como comenta Joaquín Gómez, Cybersecurity Lead CyberSecurity Lead Southern Europe de Infoblox, “Conocer el nivel de riesgo de los dominios de Internet es esencial para la defensa eficaz de la red de una organización. Aunque ha habido muchos intentos de desarrollar algoritmos para clasificar dominios en función de su perfil de riesgo, la mayoría son difíciles de interpretar y usar de forma práctica. Infoblox ha conseguido desarrollar un nuevo algoritmo de scoring que soluciona estas dificultades. Mediante el uso de datos de resolución de DNS anónimos podemos identificar tendencias emergentes y las nuevas capacidades y estrategias utilizadas por los cibercriminales, y aplicar este conocimiento para mejorar la protección de nuestros clientes”.