Trustwave desarrolla un método pionero para la detección de malwares

(Latinoamérica) En una iniciativa sin precedentes en el mundo, un investigador brasileño de Trustwave, empresa líder en soluciones de seguridad de la información, está investigando la posibilidad de examinar los encabezados HTTP (Hypertext Transfer Protocol) para detectar el tráfico malicioso en internet y la comunicación de máquinas infectadas con los sitios de “C&C – Command and Control Server”.

El nuevo método es mucho más sencillo que el convencional y abre, en la práctica, un capítulo de protección contra la ciberdelincuencia, para ampliar los niveles de automatización en la detección de amenazas.

El investigador Rodrigo Montoro, uno de los defensores del nuevo método, que integra el equipo latinoamericano de SpiderLabs – grupo de seguridad de avanzada de Trustwave – es responsable de coordinar el proyecto, que se desarrolla actualmente a nivel mundial para promover el descubrimiento y su evolución.

De acuerdo con el especialista, el análisis de los encabezados abre grandes posibilidades para cubrir un importante espacio de vulnerabilidad en el uso de internet. “Por ser uno de los fundamentos de la web, que une las computadoras y sitios webs, HTTP está presente en todas partes, haciendo que enormes cantidades de malwares se aprovechen de este tipo de tráfico”, señala, añadiendo que cada segundo surge un nuevo malware y se propaga en la red global.

El examen de los encabezados HTTP "representa un importante paso adelante en el área de seguridad de la información, a diferencia de los tradicionales análisis de tráfico en la Web es en realidad una nueva forma de detectar y prevenir las amenazas", dice el experto.

Ante esta situación, el nuevo método de detección propuesto por Montoro se basa en un sistema de "scoring", que es más sencillo, y le asigna un valor numérico a la lista de comportamientos considerados sospechosos. Cuanto más alto sea el puntaje, mayor es la probabilidad de un tráfico malicioso. "Existe una nota límite a partir de la cual el tráfico se puede clasificar como normal o malicioso", explica.

En algunos ensayos preliminares con tráficos maliciosos conocidos, Montoro analizó 6.127 canales de flujo de datos ("streams") y el sistema de puntuación se puede detectar con precisión en el 89,1% de los sitios que estaban liberando algún tipo de tráfico infeccioso. El sistema tuvo una tasa de falsos positivos de alrededor del 9% y la meta es reducir esta tasa a menos del 2%.

En la actualidad, la detección de malware en los encabezados HTTP se encuentra en fase de prueba de concepto en SpiderLabs. Más adelante, los resultados de la detección darán lugar a la oferta de un filtro de contenido web o puede generar una solución que se integre en un WAF (Web Application Firewall).