Al menos un 71% de nombres de hosts aparecen por tan sólo 24 horas. Si bien la mayoría de éstos son la columna vertebral de cómo se comparte y entrega el contenido de Internet, el mero volumen proporciona cobertura para la actividad maliciosa, incluyendo la comunicación con los sistemas infectados.
Los mayores generadores de estos sitios incluyen organizaciones que tienen una presencia importante de Internet, como Google, Amazon y Yahoo, así como compañías de optimización de web que ayudan a acelerar la entrega de contenido. Adicionslmente, uno de los diez creadores más prolíficos de éstos es el sitio web de pornografía más popular en Internet.
De los 50 dominios más utilizados por padres de familia, el 22% era malicioso. Estos dominios utilizan sitios de corta duración para facilitar los ataques y gestionar redes de bots, aprovechando el sitio que es ‘nuevo y desconocido’ para evadir las soluciones de seguridad.
Aunque la mayoría de estos sitios son esenciales para las prácticas legítimas de Internet y no son maliciosos, el enorme volumen de éstos crea el ambiente perfecto para la actividad maliciosa. La rápida construcción y destrucción de sitios nuevos y desconocidos desestabiliza muchos controles de seguridad existentes. La comprensión de lo que estos sitios son y cómo se utilizan es una clave para la construcción de una postura de mayor seguridad.
Las principales razones por las que los ciberdelincuentes optan por estos sitios son:
- Mantienen a las soluciones de seguridad ‘adivinando’: los dominios dinámicos son más difíciles de frustrar que los dominios estáticos.
- Sobrepasan las soluciones de seguridad: la generación de un gran volumen de dominios aumenta las posibilidades de que un porcentaje se pierda ante los controles de seguridad.
- Se ocultan de las soluciones de seguridad: la simple combinación de los ‘Éxitos de un solo día’ con el cifrado en marcha, el malware entrante y / o robo de datos de salida a través de SSL, causa que las organizaciones permanezcan ciegas al ataque, lo que afecta su capacidad de prevenir, detectar y responder.
Mientras las organizaciones siguen luchando contra las batallas en curso de ataques cibernéticos, pueden obtener información clave de esta investigación para informar y fortalecer su postura de seguridad, incluyendo:
- Los controles de seguridad deben ser informados por la inteligencia automatizada en tiempo real que puede identificar y asignar los niveles de riesgo a estos ‘Éxitos de un sólo día’. Las defensas estáticas o de lento movimiento no son suficientes para proteger a los usuarios y datos corporativos.
- Los controles de seguridad basados en políticas deben ser capaces de actuar sobre la inteligencia en tiempo real para bloquear los ataques maliciosos.
Los investigadores de Blue Coat analizaron más de 660 millones de nombres de hosts únicos solicitados por 75 millones de usuarios a nivel mundial en un período de 90 días. Encontraron que el 71% de los nombres de hosts, o 470 millones, fueron ‘Éxitos de un solo día’, sitios que aparecían solamente por 24 horas.
