Border Gateway Protocol (BGP) Firewall: protección eficaz contra malware como Emotet

Explota los datos de inteligencia de amenazas en el perímetro de tu red

Las organizaciones y los operadores de red se pueden emparejar con BGP Feeds usando sus equipos actuales, por lo que no necesitan dedicar capital adicional a costos de infraestructura, lo que convierte a BGP Feeds en una solución rentable. Incluso aunque no dispongas de un ASN, Spamhaus admite el uso de ASN privadas para establecer sesiones con nuestros BGP Feeds.

Puedes agregar esta inteligencia de amenazas a cualquier router o firewall moderno, como CISCO, Sophos o Fortinet. Estos feeds son listas de direcciones IP que permiten bloquear eficazmente el tráfico malicioso de dispositivos comprometidos dentro del perímetro de tu red que se comunican con servidores de botnet C&C externos. Bloquear este tráfico a nivel de red evita campañas de spam, pérdida de datos y cifrado. Lee la Guía para principiantes de BGP para comprender mejor cómo funcionan estos feeds/comunidades.

Lanzamos una nueva comunidad BGP para proteger contra amenazas como Emotet

Hasta hace poco, Spamhaus proporcionaba a los suscriptores de BGP Feeds acceso a las siguientes tres comunidades de BGP para que las usaran con sus firewall o equipo de enrutamiento y bloquear el tráfico malicioso:

• Don’t Route Or Peer (DROP). Esta lista, que bloquea todo el tráfico, contiene los peores elementos del espacio IP que han sido secuestrados o arrendados por cibercriminales. Los bloques de red incluidos en esta lista son asignados directamente por registros de Internet establecidos, como un Registro Regional de Internet (RIR)
• Extended Don’t Route Or Peer (EDROP). Es una ampliación del dataset de DROP, pero incluye bloques de red subasignados.
• Lista de controladores de botnets (BCL) dedicados. Direcciones IP que se utilizan para albergar un servidor de botnet C&C gestionado por los agentes amenazadores con el fin de controlar dispositivos infectados. Esta lista solo incluye direcciones IP utilizadas con intenciones maliciosas, es decir, aquellas gestionadas por cibercriminales con la única finalidad de albergar un botnet C&C.

Para proteger contra amenazas como Emotet y Qakbot, ahora tenemos un cuarto feed: Lista de controladores de botnets (BCL) comprometidos.

¿Cómo protege este feed contra Emotet y Qakbot (entre otros)?

La mayoría de los agentes amenazadores alojan su infraestructura de botnet C&C en servidores dedicados, cuya única finalidad es controlar botnets. Gracias a nuestro feed de BCL dedicados, ofrecemos protección contra esta infraestructura.

Sin embargo, actualmente algunas de las amenazas más peligrosas y dominantes (como Emotet y Qakbot) utilizan dispositivos comprometidos, normalmente en líneas de Internet residenciales, para albergar su infraestructura de botnet C&C. Además, los administradores de estas botnets utilizan únicamente la comunicación IP directa y no necesitan usar nombres de dominio. Esto significa que pueden evitar los mecanismos de seguridad existentes, como los DNS Firewalls (Response Policy Zones).

Este feed BGP recién presentado, BCL comprometidos, completa tu arsenal de defensa y te protege contra el tráfico malicioso hacia servidores comprometidos que actúan como servidores de botnet C&C.

¿Para qué sirve la conexión con abuse.ch?

Hace poco nos asociamos con abuse.ch. Una de sus plataformas, Feodo Tracker, monitorea y valida la infraestructura de botnet C&C conectada con las principales amenazas de malware. Así, proporciona datos validados y confiables sobre la infraestructura de botnet C&C que utilizan amenazas como Emotet y Qakbot. En Spamhaus, ampliamos nuestros datasets de BCL y pusimos este dataset a disposición de nuestros usuarios a través de nuestros BGP Feeds para aumentar el nivel de protección que ofrecemos.

Los consumidores de estos datos a través de Spamhaus obtienen acceso a soporte técnico, un servicio sólido y una resolución rápida de cualquier falso positivo percibido que pueda surgir.

Analicemos el término “falsos positivos percibidos”.

Sin duda, cualquier ISP, o cualquier persona encargada de la protección de su red, se pondrá nervioso con la simple mención del término “falsos positivos”. Las tres comunidades originales en nuestros BGP Feeds tienen un índice cero de falsos positivos. Presta atención a la palabra “percibidos”. Si una dirección IP alberga un botnet C&C, debes bloquear el tráfico entre tu red y esta dirección IP. Es irrelevante si algún dispositivo legítimo está alojado en esta IP. Esto no lo convierte en un falso positivo. ¡Bloquear el tráfico con esta IP aumenta la seguridad de tu red!

Plantéate los dos escenarios siguientes y hazte esta pregunta: “¿A qué preferirías enfrentarte?”

• Un criminal cifra con ransomware una gran empresa.
  O
• Bloquear una conexión con (por ejemplo) un suscriptor particular de DSL en una red externa que alberga un botnet C&C.

¿No es una decisión muy sencilla?

También hay que señalar que si te preocupan los falsos positivos percibidos, las direcciones IP incluidas en la BLC comprometidos se incluyen en la lista durante un tiempo muy inferior y nuestro equipo de investigación las evalúa continuamente para comprobar si el botnet C&C sigue activo y continúa suponiendo una amenaza para tu red y tus clientes.

¿Deseas hacer una prueba de estos datos?

Si deseas ver por ti mismo cómo funcionan estos datos en tu entorno de red, puedes realizar una prueba gratuita durante 30 días. Si ya utilizas los BGP Feeds de Spamhaus para proteger el perímetro de red, puedes acceder gratis a esta comunidad adicional conectándote al Portal del cliente y contactándonos para que actualicemos tu perfil.