Investigador de Trustwave América Latina desarrolla un método pionero para la detección de tráfico malicioso

En una iniciativa sin precedentes en el mundo, un investigador brasileño de Trustwave, empresa líder en soluciones de seguridad de la información, está investigando la posibilidad de examinar los encabezados HTTP (Hypertext Transfer Protocol) para detectar el tráfico malicioso en internet y la comunicación de máquinas infectadas con los sitios de “C&C – Command and Control Server”.

El nuevo método es mucho más sencillo que el convencional y abre, en la práctica, un capítulo de protección contra la ciberdelincuencia, para ampliar los niveles de automatización en la detección de amenazas.

El investigador Rodrigo Montoro, uno de los defensores del nuevo método, que integra el equipo latinoamericano de SpiderLabs – grupo de seguridad de avanzada de Trustwave – es responsable de coordinar el proyecto, que se desarrolla actualmente a nivel mundial para promover el descubrimiento y su evolución.

De acuerdo con el especialista, el análisis de los encabezados abre grandes posibilidades para cubrir un importante espacio de vulnerabilidad en el uso de internet. “Por ser uno de los fundamentos de la web, que une las computadoras y sitios webs, HTTP está presente en todas partes, haciendo que enormes cantidades de malwares se aprovechen de este tipo de tráfico”, señala, añadiendo que cada segundo surge un nuevo malware y se propaga en la red global.

El examen de los encabezados HTTP "representa un importante paso adelante en el área de seguridad de la información, a diferencia de los tradicionales análisis de tráfico en la Web es en realidad una nueva forma de detectar y prevenir las amenazas", dice el experto.

Según Montoro, quién ha estado en los detalles de esta nueva línea de investigación en eventos de la industria en América Latina y los EE.UU., Europa y Asia, las conexiones maliciosas tienden a causar un comportamiento diferente en el tráfico HTTP. Como por ejemplo, reutilizan códigos compartidos y, frecuentemente, emplean encabezados cuyo uso es poco frecuente o inexistente.

Así, el tráfico sospechoso por lo general tiene encabezados parciales, que suelen ser más pequeños que los convencionales. En este sentido, la cabecera de tipos poco comunes puede ser un indicio de tráfico malicioso.

Ante esta situación, el nuevo método de detección propuesto por Montoro se basa en un sistema de "scoring", que es más sencillo, y le asigna un valor numérico a la lista de comportamientos considerados sospechosos. Cuanto más alto sea el puntaje, mayor es la probabilidad de un tráfico malicioso. "Existe una nota límite a partir de la cual el tráfico se puede clasificar como normal o malicioso", explica.

En algunos ensayos preliminares con tráficos maliciosos conocidos, Montoro analizó 6.127 canales de flujo de datos ("streams") y el sistema de puntuación se puede detectar con precisión en el 89,1% de los sitios que estaban liberando algún tipo de tráfico infeccioso. El sistema tuvo una tasa de falsos positivos de alrededor del 9% y la meta es reducir esta tasa a menos del 2%.

En la actualidad, la detección de malware en los encabezados HTTP se encuentra en fase de prueba de concepto en SpiderLabs. Más adelante, los resultados de la detección darán lugar a la oferta de un filtro de contenido web o puede generar una solución que se integre en un WAF (Web Application Firewall).

"Una vez finalizado el proyecto, deberemos agregar esta nueva técnica de detección, desarrollada por Rodrigo Montoro, a la cartera de Trustwave, a fin de salvaguardar los diversos frentes de las amenazas y ampliar la protección a los usuarios. Nuestro objetivo es estar siempre actualizados con lo que va a ofrecer nuevas formas de detección de nuestros clientes. ", comenta Luiz Eduardo dos Santos, Director de SpiderLabs para América Latina, y agregó que espera, en el futuro, poder abrir el código fuente de este proyecto para que sea de dominio público.

Mediante la presentación de este descubrimiento, Rodrigo Montoro ha llamado la atención de la comunidad internacional de seguridad, fue un momento culminante de la Conferencia SecTOR en Canadá, uno de las más prestigiosas del mundo. La presentación también fue un momento importante de la Conferencia Silver Bullet, que reúne a destacados expertos de América Latina y atrae a investigadores de todo el mundo.

Según comenta Jarrett Benavidez, Director General de Trustwave para América Latina, este nuevo descubrimiento del equipo SpiderLabs es otra contribución de Trustwave para fortalecer los niveles de seguridad en Internet. "Este tipo de evaluación no sólo favorece a nuestros productos y servicios, sino que representan un gran avance para la industria de la seguridad como un todo", agregó Benavidez.