2020 es el año de la consolidación de la inteligencia artificial como herramienta de ataque y defensa del malware en un entorno en constante cambio, y ahora más que nunca, frente a la crisis sanitaria del COVID-19. La implantación del enfoque de seguridad Zero Trust, que implica micro-zonificación, telemetría y gestión de identidades y accesos, está poniendo de manifiesto que la seguridad del perímetro resulta insuficiente para afrontar con éxito las amenazas internas cada vez más sofisticadas, potentes y diferentes.
Así las cosas, los algoritmos de generación de dominio DGA se han convertido en una de las herramientas más populares y efectivas de los hackers, ya que son los responsables de la comunicación con los servidores C&C (comando y control) y juegan un papel vital en el aumento de la inteligencia de malware. Los ciberdelincuentes emplean los DGA para generar sobre la marcha una gran cantidad de nombres de dominio inexistentes. Así evalúan la propagación de malware y planifican su activación utilizando un nombre de dominio como punto de encuentro. Esto evita que los nombres de dominio conocidos sean bloqueados por servidores proxy, NGFW, RPZ y, en general, por cualquier sistema que se base en el filtrado por reputación.
Por tanto, la seguridad basada en la reputación del dominio ya no basta. Se impone la necesidad de un nuevo enfoque: el análisis contextual del tráfico de DNS que permitirá la creación de inteligencia de amenazas a la que se le aplicará un aprendizaje automático.
Y ya no es suficiente porque los métodos comunes para detectar DGA basados en la sintaxis, se omiten fácilmente creando falsos positivos. Se requiere un enfoque basado en el análisis de consultas de extremo a extremo, desde el cliente hasta el dominio de destino. El DNS está en la posición ideal para ayudar al visualizar el 100% del tráfico. Cada resolución de un nombre de dominio pasa por DNS. En consecuencia, el análisis contextual del tráfico de DNS permitirá la creación de inteligencia de amenazas al observar tanto el origen como el destino durante cada transacción. Aplicar el aprendizaje automático a esta inteligencia contribuirá en gran medida a combatir los algoritmos de generación de dominio.
También debemos proteger nuestros datos y nuestra privacidad. Debemos aprender de ellos, filtrar el bueno del mal tráfico, entrenar los modelos de aprendizaje automático, aplicar heurística y utilizar todas las posibilidades que ofrece la inteligencia artificial, que son muchas.
