Botnets: Detection, Measurement, Disinfection & Defence

10 de mayo de 2012 Por

Desde ENISA el día 07 de Marzo de 2011 se publicó el informe “Botnets: Detection, Measurement, Disinfection & Defence”, donde se describe de una manera muy extensa las medidas de detección, desinfección y defensa para luchar contra este tipo de amenaza tan presente hoy en día.

Como ya he comentado el informe es extenso y ofrece gran cantidad de ejemplos que ilustran cada una de las recomendaciones para que se entienda cómo puede ayudar a mitigar. No pretendo en esta entrada hacer un resumen del informe sino destacar algunos aspectos que me han llamado la atención del mismo.

En primer lugar destacaría como bien comenta el informe la necesidad de medir la eficacia de la medidas que adoptamos para mitigar las botnets. Es decir, responder a preguntas como, ¿Haber puesto un DNS sinkhole ha tenido un efecto positivo para mitigar esta amenaza? ¿La campaña de concienciación ha funcionado?, etcétera. Entonces, como no podía ser de otra manera para responder a esta pregunta deberemos definir una serie de indicadores relacionados con esta amenaza que nos determinen de manera clara y objetiva si las medidas están teniendo efecto. Ejemplo de estos indicadores podrían ser:

I1. Número de zombies global
I2. Número de zombies por departamento
I3. Número de C&C activos
I4. Número de C&C por país
I5. Número de dominios maliciosos consultados
I6. Número de zombis por Botnet
I7. Número de C&C por Botnet

Gracias a estos indicadores y otros que podamos definir medimos nuestra eficacia.

Por otro lado del informe destacaría las siguientes dos tablas resumen:


Table 1: Evaluation of detection and measurement approaches (Página 78)


Table 2: Evaluation of countermeasures (página 118)

En estas dos tablas podemos ver de manera resumida las medidas de detección y las contramedidas que detalla el informe, junto a diferentes elementos a tener en cuenta antes de abordar su implantación, como puede ser una estimación de los conocimientos técnicos para su puesta en marcha, el esfuerzo técnico, esfuerzo administrativo, etcétera. Aunque cada entorno es diferente y se tendrá que tener en cuenta a la hora de la implantación, no está de más ver esta tabla y tomarla como una referencia inicial, ya que nos ayudará a crear nuestro plan de acción para la lucha contra este tipo de amenazas.

Como siempre espero que os sea de utilidad y os recomiendo la lectura del informe ;)