ARTÍCULO TÉCNICO. Cómo acabar con el malware de amenazas persistentes avanzadas

Transcripción

1 ARTÍCULO TÉCNICO Cómo acabar con el malware de amenazas persistentes avanzadas

2 Índice 1. El malware está en todas partes Los ataques pueden provenir de cualquier parte Las estadísticas sobre malware son alarmantes No todos los malware son iguales Las brechas de malware de APT son costosas 5 2. El malware de APT requiere un nuevo enfoque El malware de APT es un explotador de vulnerabilidades del protocolo de DNS Brecha de la seguridad del DNS Solución para el malware de APT: Un cortafuegos de DNS 8 3. Consideraciones de diseño para un cortafuegos de DNS Estándares relacionados con la seguridad (incluido el malware) en todo el mundo Estándares relacionados con el malware en los Estados Unidos Seguridad de DNS en varios niveles Cómo combatir el malware de APT Un enfoque que vale la pena investigar: el Infoblox DNS Firewall Cómo funciona la solución Cumplimiento de los estándares de seguridad relacionados con el malware Cumplimiento de los requisitos de seguridad en varios niveles Por qué la solución es única Más información 14 1 ARTÍCULO TÉCNICO Cómo acabar con el malware de amenazas persistentes avanzadas

3 1. El malware está en todas partes 1.1. Los ataques pueden provenir de cualquier parte Los titulares de la prensa están repletos de informes de ataques de malware. Los ataques de malware, que en una época eran en gran parte algo que los amateurs hacían para divertirse, son ahora lanzados por una cantidad de entidades. En la actualidad, un ataque de malware literalmente puede venir de cualquier parte del mundo y puede afectar incluso a la organización más grande. Equipos de ciberguerra del gobierno: se presume que los gobiernos están atacando a las entidades de otros gobiernos y a empresas privadas 1. Hacktivistas: los hackers activistas (llamados hacktivistas ) utilizan los ataques de malware como una forma de protesta contra sitios gubernamentales, comerciales e incluso privados 2. Organizaciones de censura gubernamentales: se presume que algunos gobiernos utilizan ataques de malware como una forma de censura. Por ejemplo, se sospecha que se bloquean selectivamente algunos sitios web para evitar que se utilicen los medios sociales a fin de organizar protestas y consensuar la opinión pública en contra del gobierno 3. Delincuentes: los delincuentes de todo el mundo llevan a cabo ataques contra bancos y personas 4. Individuos al azar: con la disponibilidad de los kits de lanza tu propio malware de bajo coste o incluso gratuitos que se encuentran en la web 5, prácticamente cualquier persona puede planificar y ejecutar un ataque de malware. El malware es rentable: el malware ya no es solamente un juego divertido para atacantes principiantes ni un campo de estudio para investigadores. En la actualidad, se trata de un negocio serio y una fuente de ingresos para individuos y delincuentes maliciosos en todo el mundo. El malware, junto con otras herramientas y técnicas cibernéticas, ofrece un método reutilizable y de bajo coste que permite cometer ciberdelitos altamente lucrativos. 6 Organización para la Cooperación y el Desarrollo Económicos (OCDE) 1 Winter, Michael, USA Today, NBC: Iran reportedly behind cyber attacks on U.S. banks, 20/9/12. 2 Dunn, John E., Computerworld, Hacktivists DDoS UK, US and Swedish Government websites, 7/9/12. 3 Wikipedia, 4 Wikipedia, 5 Wikipedia, 6 OCED, OECD Guidelines for the Security of Information Systems and Networks,

4 1.2. Las estadísticas sobre malware son alarmantes Las estadísticas sobre los ataques de malware son verdaderamente alarmantes debido a la cantidad de ataques, la cantidad de ataques exitosos y el tiempo que lleva descubrir el malware. El volumen promedio de amenazas nuevas de malware es aproximadamente por trimestre solo para los primeros tres trimestres de 2012, es decir, un índice de 1 nueva amenaza por segundo! Durante el mismo período, el malware en los dispositivos móviles se multiplicó más de 10 veces, según McAfee 7. Además, los ataques de malware son sumamente efectivos. En un estudio de seguridad de Verizon llevado a cabo en 2012 se puede 8 apreciar que en tan solo en 2011 hubo: Alrededor de 855 ataques concretados a entidades corporativas o gubernamentales que comprometieron alrededor de 174 millones de registros. De los ataques concretados, el 69% utilizó malware. Fuente: McAfee, McAfee, McAfee Threats Report: Third Quarter 2012, ( 8 Verizon, Verizon Security Study 2012, ( 2012) 3 ARTÍCULO TÉCNICO Cómo acabar con el malware de amenazas persistentes avanzadas

5 Fuente: McAfee, No todos los malware son iguales Hay numerosas familias, clases, subclases y variantes de malware. Muchas fuentes difieren en cuanto a la categorización. Además, hay muchos tipos de malware que presentan características de diversas familias y clases, y pueden describirse por lo tanto como híbridos. Para proporcionar un punto de referencia para este estudio, Infoblox ha creado un sistema de clasificación de malware. Fuente: Infoblox,

6 Infoblox considera que hay tres tipos principales de familias de malware, tal como se muestra en el diagrama: virus, gusanos y troyanos. De los troyanos, hay las siguientes clases: Una clase, llamada explotadora de vulnerabilidades de IP, por lo general utiliza un protocolo de Internet (IP) para las comunicaciones. Otra clase, llamada explotadora de vulnerabilidades de DNS, comúnmente explota los servicios de nombres de dominio (DNS) para las comunicaciones entre un dispositivo infectado por malware y el controlador maestro de una red de dispositivos infectados (lo que se conoce como botnet ). Por lo general, el malware explotador de vulnerabilidades de DNS está diseñado para que los servidores y los dispositivos personales no puedan detectarlo durante un largo período. Basándose en los comandos que reciben del controlador maestro a través del malware de puerta trasera, los dispositivos infectados capturan datos (a través del malware spyware) o ejecutan acciones, tales como enviar mensajes de SPAM por correo electrónico o participar en un ataque de denegación de servicio distribuida (DDoS). Como este tipo de malware es muy sofisticado y está diseñado para perdurar en el tiempo, una descripción que se utiliza comúnmente para esta categoría es amenaza persistente avanzada o malware de APT. En este estudio se utilizará el término malware de APT para unificar entre una variedad de fuentes de información Las brechas de malware de APT son costosas Un estudio del Ponemon Breach Institute presenta algunos de los costes estimados del malware 9. En cuanto al coste total del malware por empresa, las cifras son las siguientes: En 2011, un coste medio de $ de dólares anuales/promedio de $ millones anuales en todas las empresas y los sectores estudiados. Si bien el estudio afirma que las cifras pueden no ser del todo confiables debido a que el tamaño de las muestras fue reducido, el coste en 2011 por sector se estima que varía en promedio entre casi $20 millones por año para defensa y $3 millones por año para venta al por menor. Fuente: Ponemon Institute, ARTÍCULO TÉCNICO Cómo acabar con el malware de amenazas persistentes avanzadas

7 El malware de APT (que se categoriza como código malicioso en el diagrama a continuación) es la clase más costosa de malware, y representa aproximadamente entre el 23 y el 26% del coste anual. Un factor del gasto en malware es la duración que este permanece sin ser detectado, en especial por el personal interno. El estudio de Verizon 10 calculó lo siguiente: Se tardó meses en descubrir el 54% del malware. Se tardó semanas en descubrir el 29% del malware. El 92% del malware es detectado por un agente externo. Ponemon Institute, 2012 Si analizamos las cifras anteriores, parecería que la mayoría de las empresas nunca detecta el malware, y mucho menos de manera oportuna. 9 Ponemon Institute, Second Annual Cost of Cyber Crime Study, ( agosto de Verizon, Verizon Security Study 2012, ( 2012). 6

8 2. El malware de APT requiere un nuevo enfoque 2.1. El malware de APT es un explotador de vulnerabilidades del protocolo de DNS Para que el protocolo del sistema de nombres de dominio (DNS) funcione de manera correcta, las comunicaciones de DNS deben fluir libremente entre todos los dispositivos y aplicaciones. Además, como el DNS es integral para el proceso de establecer y mantener comunicaciones con un servidor web, aplicaciones como el chat y aplicaciones de dispositivos móviles, cualquier demora que pueda haber en el procesamiento o posibles disminuciones en la disponibilidad podrían fácilmente derivar en un problema mucho más grande. Como resultado, los comandos de DNS no suelen ser interceptados ni inspeccionados por los enfoques de seguridad ya existentes. Al explotar el DNS, los desarrolladores de malware pueden evitar los enfoques de seguridad implementados: Por ejemplo, como los cortafuegos de redes suelen generar una lista negra en el nivel de la dirección IP, los controladores maestros de malware lo que hacen es cambiar sus direcciones IP a cada hora, ya sea por rotación en una lista o utilizando técnicas tales como la fluctuación rápida (Fast flux) para esconderse detrás de una variedad de servidores proxy que cambian constantemente 11. Además, debido a que los enfoques de filtro de web generalmente funcionan solo con la URL exacta, al cambiar de URL flexiblemente dentro de un dominio, el malware logra esquivar los filtros de web. El DNS brinda un medio poderoso para ubicar el controlador maestro del botnet y transmitir instrucciones a los dispositivos infectados. Por ejemplo, el DNS se utiliza para localizar el controlador maestro del botnet, incluso cuando cambia de dirección IP o URL con frecuencia. También se utiliza el DNS para transmitir instrucciones a los dispositivos infectados a través de técnicas que se conocen como túneles de DNS o secuestro de DNS Brecha de la seguridad del DNS Muchas organizaciones creen en el concepto de la seguridad en capas. Wikipedia define la seguridad en capas de la siguiente manera: Para cada categoría de amenaza, se debe implementar un control efectivo para mitigar dicha amenaza. 13 (Los analistas del sector de la seguridad también emplean el término defensa en profundidad para describir este concepto. 14 ) En resumen, cada capa de red comúnmente tiene vulnerabilidades únicas que los atacantes se esfuerzan por aprovechar. Además, es posible dirigir diferentes ataques a una misma capa. Por lo tanto, en promedio, cada capa de red debe contar con su propio mecanismo de seguridad que proteja sus vulnerabilidades únicas y la proteja de todos los ataques relevantes. 11 Wikipedia, 12 Wikipedia, 13 Wikipedia, 14 Wikipedia, 7 ARTÍCULO TÉCNICO Cómo acabar con el malware de amenazas persistentes avanzadas

9 Por ejemplo, en el diagrama de la derecha se muestra una variedad de amenazas de malware y las formas correspondientes en las que se neutralizan. Por ejemplo, muchos virus y gusanos se tratan en forma efectiva con una exploración de antivirus. Otra forma de neutralizar los ataques de DDoS de malware es dentro de la arquitectura de red en general o del DNS. Los paquetes de supervisión de dispositivos pueden interceptar las descargas de archivos dudosos. Tipo de malware Amenazas Virus, gusanos y troyanos - basados en IP (Adware) Troyanos - basados en IP (instaladores de malware) Protección Perímetro Supervisión Troyanos - basados en IP (instaladores de malware) Basadas en IP Malware de APT - explotadores de la vulnerabilidad del DNS (troyanos de puerta trasera y spyware) Amenazas Amenazas Amenazas Equipos protegidos, interconexiones seguras, cobertura uniforme: del núcleo al borde Tradicional: cortafuegos, VPN, exploración de virus/troyanos, protección DDoS, etc. Herramientas de supervisión del ordenador: examinar cada comando, función y configuración Fuentes de datos de reputación/ filtros web Brecha en la defensa de la seguridad del DNS Amenazas Contramedidas No eficaces ya que el malware aprovecha la infraestructura de funcionamiento integral Parte del malware pasa por detrás del cortafuegos y está diseñado para mutar de IP, conducta y características de archivo Parte del malware aprovecha los comandos legítimos no detectados por las herramientas de supervisión de ordenadores Los filtros de web y las fuentes de datos ayudan a evitar los instaladores de troyanos pero pueden no detectar el malware que explota la vulnerabilidad del DNS Seguridad en capas para combatir el malware No obstante, el malware de APT que explota el DNS para las comunicaciones no puede tratarse eficazmente con los enfoques implementados: Si bien esta capacidad no se basa en el DNS, el malware de APT vulnera los enfoques basados en la firma que vienen integrados en los paquetes de antivirus valiéndose de técnicas como el reempaquetado 15. Los filtros de web suelen actuar en el nivel de la URL ya que bloquean objetos de contenido específicos. Los cortafuegos suelen actuar en el nivel de la IP ya que bloquean servidores específicos. Los enfoques de prevención de pérdida de datos comúnmente requerirían una gran cantidad de puntos de sensores demasiado invasivos en la red para habilitar el rastreo de todo el tráfico de DNS. Si bien son muy útiles contra determinados tipos de malware, los enfoques implementados no son efectivos contra el malware de APT y es necesario diseñar e implementar una nueva defensa. 15 Caballero, Juan, et.al., Measuring Pay-per-Install: The Commoditization of Malware Distribution, estudio de USENIX, agosto de

10 2.3. Solución para el malware de APT: Un cortafuegos de DNS Ya que el protocolo de comunicaciones central para el malware de APT es el DNS, vale la pena explorar un enfoque que se basa en el DNS. De hecho, el concepto de un mecanismo de seguridad contra malware integrado para el DNS, llamado un cortafuegos de DNS, se propuso en un artículo reciente en Security Week 16. A diferencia de un cortafuegos de redes tradicional que protege desde la capa física hacia arriba e incluye opcionalmente la capa de aplicaciones, un cortafuegos de DNS debe absolutamente incluir protección en la capa de aplicaciones ya que se debe proteger la calidad de los datos del DNS en sí. Para poner esta necesidad en los términos utilizados por los cortafuegos de redes, hay una fuerte necesidad de un cortafuegos de DNS en el nivel de aplicaciones. Los cortafuegos de DNS probablemente hubieran evitado que más del 80 por ciento de estos ataques se concretaran. Security Week 3. Consideraciones de diseño para un cortafuegos de DNS 3.1. Estándares relacionados con la seguridad (incluido el malware) en todo el mundo La Organización para la Cooperación y el Desarrollo Económicos (OCDE) es un grupo de 34 países (entre los que figuran el Reino Unido, Israel, Japón, Corea y EE. UU.) que trabajan juntos por el crecimiento económico. Las Directrices de la OCDE del año 2002 para la Seguridad de sistemas y redes de información presentan una lista de amplios principios de seguridad de la información que son todos relevantes y pueden aplicarse en la lucha contra el malware. Los nueve principios son Concienciación, Responsabilidad, Respuesta, Ética, Democracia, Evaluación del riesgo, Diseño y realización de la seguridad, Gestión de la seguridad y Reevaluación Estándares relacionados con el malware en los Estados Unidos El Instituto Nacional de Estándares y Tecnología (NIST, National Institute of Standards and Technology) es parte del Departamento de Comercio de los EE. UU. Una publicación del NIST, Guide to Malware Incident Prevention and Handling (Guía para la prevención y el control de incidentes con malware), brinda información específica y recomendaciones para combatir el malware. Las recomendaciones se resumen a continuación 18. Las organizaciones deben desarrollar e implementar un enfoque para prevenir los incidentes con malware. Las organizaciones deben garantizar que sus políticas respalden la prevención de incidentes con malware. Las organizaciones deben incorporar la prevención y el control de incidentes con malware en sus programas de concienciación. 16 Rasmussen, Rod, Security Week blog, Why DNS Firewalls Should Become the Next Hot Thing in Enterprise Security, ( octubre de 2011). 9 ARTÍCULO TÉCNICO Cómo acabar con el malware de amenazas persistentes avanzadas

11 Las organizaciones deben tener capacidades de mitigación de las vulnerabilidades para ayudar a prevenir los incidentes con malware. Las organizaciones deben tener capacidades de mitigación de amenazas para ayudar a contener los incidentes con malware. Las organizaciones deben contar con un proceso sólido de respuesta ante incidentes que se ocupe del control de los incidentes con malware Seguridad de DNS en varios niveles Una defensa contra el malware de APT no puede ser independiente ya que también debe resistir los ataques de hackers y de otros tipos de malware. Para ilustrar todas las defensas que son necesarias dentro de la capa de DNS, se representan como niveles de ataques y sus defensas correspondientes. Red Dispositivo DNS Empresa Infección con malware Cortafuegos de DNS a nivel de aplicaciones Comando y control de botnets DDoS Cortafuegos de DNS con información sobre el estado DDoS de zombies internos Intermediario DNSSEC, asignación aleatoria de puertos y más Intermediario de BYOD Ataque a dispositivos Autentificación de administrador Ataque a dispositivos Ataque físico Protección de hardware/so Ataque físico La seguridad del DNS debe resistir tanto los ataques internos como externos 17 OECD, OECD Guidelines for the Security of Information Systems and Networks, National Institute of Standards and Technology, U.S. Dept. of Commerce, Guide to Malware Incident Prevention and Handling, November

12 Un enfoque de seguridad de DNS debe construirse sobre una base sólida de seguridad. Empezando al pie de la figura desde la izquierda: Un dispositivo de DNS debe ser capaz de resistir tanto los ataques físicos internos como externos a través de la protección del hardware y del sistema operativo. Los ataques de dispositivos deben repelerse a través de técnicas avanzadas de autenticación del administrador (es decir, TACACS). Los ataques a redes que provienen de dispositivos hostiles de la red o dispositivos personales (BYOD, Bring Your Own Devices) comprometidos pueden superarse por medio de varias técnicas tales como DNSSEC. Los ataques de DDoS, incluidos los intentos de sobrecargar las sesiones, pueden evitarse mediante técnicas de DDoS y el uso del estado para aclarar qué solicitudes de creación de sesión son genuinas. Esto es en cierta medida equivalente a la función de un cortafuegos de red con información sobre el estado y, por ende, se describe como un nivel de defensa de cortafuegos de DNS con información sobre el estado. Al pasar a la capa superior, la infección con malware debe prevenirse proactivamente y es necesario interrumpir las instrucciones de comando y control de botnet, que lo más probable es que provengan de dispositivos BYOD infectados. Como estos comandos pueden ser emitidos por aplicaciones, la funcionalidad es similar a la función de un cortafuegos de aplicaciones de red. Por lo tanto, la funcionalidad para combatir el malware de APT sería la de un nivel de defensa de cortafuegos de DNS a nivel aplicación. 4. Cómo combatir el malware de APT 4.1. Un enfoque que vale la pena investigar: el Infoblox DNS Firewall Infoblox ha creado una solución de seguridad DNS, llamada Infoblox DNS Firewall, que se basa en su familia de productos líder en el mercado, Trinzic DDI TM. Infoblox cree que este enfoque es la primera solución verdadera de seguridad de DNS del sector. La solución Infoblox DNS Firewall está compuesta por lo siguiente: Licencia del producto: la funcionalidad está preinstalada con la versión más reciente del sistema operativo Trinzic DDI de Infoblox y solamente hace falta una clave para activarse. Fuente de datos de malware de Infoblox (suscripción anual opcional): la licencia de este producto aceptará varias fuentes de datos. El cliente tiene la opción de suscribirse a la fuente de datos de reputación específica de malware de propiedad de Infoblox. Infoblox Grid TM : la solución requiere que se instale Infoblox Grid ya que aprovecha las funciones de Grid tales como actualizaciones de archivo automáticas, seguridad y más. 11 ARTÍCULO TÉCNICO Cómo acabar con el malware de amenazas persistentes avanzadas

13 4.2. Cómo funciona la solución Como se muestra en la figura de la derecha, la solución funciona de la siguiente manera: Página de aterrizaje/ Sitio cerrado 4 Redireccionar Enlace malicioso a Cliente infectado Contactar botnet 3 5 Infoblox DNS Firewall/ Servidor de DNS recursivo Grid dinámico - Distribución amplia de políticas Aplicar política Bloquear/Denegar sesión 2 1 Actualización dinámica de políticas 6 Infoblox DNS Firewall / Recursive DNS Server Fuente de datos de malware de Infoblox Infoblox DNS Firewall/ Servidor de DNS recursivo Escribir a Syslog y enviar a Trinzic Reporting Funcionamiento del Infoblox DNS Firewall 1 Cuando los expertos de Infoblox detectan un nuevo malware, la fuente de datos de malware de Infoblox inmediatamente envía una actualización a nuestros clientes. 2 Ya sea de manera directa o aprovechando las funciones de Infoblox Grid TM, la información actualizada se envía a todos los servidores de DNS recursivo de Infoblox casi en tiempo real. 3 Si un usuario final hace clic en un enlace malicioso o intenta ingresar a un sitio que se sabe que es de malware, el intento se bloqueará en el nivel del DNS. 4 La sesión puede redireccionarse a una página de aterrizaje o sitio cerrado definido por el administrador de la empresa. 5 En el caso de los clientes que ya están infectados, muy comúnmente los dispositivos propiedad del usuario, el cliente infectado intentará utilizar los comandos de DNS para comunicarse con el controlador maestro de botnet. El Infoblox DNS Firewall no ejecutará estos comandos, lo que corta de manera eficaz la acción del botnet. 6 Todas las actividades se registran en el formato Syslog, el estándar del sector, para que el equipo de TI pueda investigar la fuente de los enlaces de malware o limpiar el cliente infectado. Los datos se ingresan también al producto Trinzic Reporting para hacer análisis e informes. 12

14 4.3. Cumplimiento de los estándares relacionados con la seguridad Además de los estándares de la OCDE, la solución de Infoblox cumple en su totalidad con los estándares del NIST, tal como se resume en la tabla a continuación: Estándar NIST Las organizaciones deben desarrollar e implementar un enfoque para prevenir los incidentes con malware. Las organizaciones deben garantizar que sus políticas respalden la prevención de incidentes con malware. Las organizaciones deben incorporar la prevención y el control de incidentes con malware en sus programas de concienciación. Las organizaciones deben tener capacidades de mitigación de las vulnerabilidades para ayudar a prevenir los incidentes con malware. Las organizaciones deben tener capacidades de mitigación de amenazas para ayudar a contener los incidentes con malware. Las organizaciones deben contar con un proceso sólido de respuesta ante incidentes que se ocupe del control de los incidentes con malware. Infoblox DNS Firewall Brinda un enfoque integral que previene de manera proactiva la infección además de la ejecución del malware, que minimiza o elimina los incidentes con malware. Las políticas de malware se actualizan automáticamente a través de la fuente de datos de malware de Infoblox. Las políticas también pueden ser establecidas o modificadas por el administrador de seguridad. La funcionalidad Página de aterrizaje/ sitio cerrado se puede personalizar para incorporarse en los programas de concienciación. La mitigación de la vulnerabilidad se construye a través del redireccionamiento de los clientes infectados y la interrupción de las comunicaciones de botnet. Al interrumpir las comunicaciones y las sesiones botnet, se contiene el malware. Todas las actividades de malware quedan registradas. Con el uso del servidor de generación de informes de Infoblox, los informes de malware también pueden exportarse en listas de tareas de TI para controlar incidentes de malware tales como la limpieza de dispositivos infectados Cumplimiento de los requisitos de seguridad en varios niveles Gracias a que el Infoblox DNS Firewall aprovecha la arquitectura de seguridad tanto de Infoblox Grid TM como de los dispositivos de Infoblox, se cumplen todos los requisitos de seguridad de varios niveles que se detallan en la sección anterior. Lo que es más importante, dado que se supervisan los comandos de DNS emitidos por todas las aplicaciones y dispositivos, el producto brinda la protección de un cortafuegos de DNS a nivel de aplicación. 13 ARTÍCULO TÉCNICO Cómo acabar con el malware de amenazas persistentes avanzadas

15 4.5. Por qué la solución es única El Infoblox DNS Firewall brinda capacidades de diferenciación a las organizaciones de Seguridad y Redes ya que es proactivo, oportuno y personalizable Proactivo El Infoblox DNS Firewall evita que los clientes se infecten al ingresar a un sitio de malware o hacer clic en un enlace malicioso. Además, las solicitudes de control y comando de DNS secuestrados no se ejecutan para evitar que el botnet actúe. Por último, todas las actividades de malware se registran y se informan para detectar clientes infectados y ataques Oportuno El Infoblox DNS Firewall aprovecha los datos de malware actuales, precisos y exhaustivos para detectar y resolver el malware entre semanas y meses más rápido que los esfuerzos de personal interno. Los datos sólidos que proporciona Infoblox son exhaustivos porque incluyen todos los ataques conocidos y son muy precisos ya que presentan un índice de falso positivo muy bajo. La distribución automatizada maximiza la oportunidad de la respuesta de Infoblox en todo el Grid del cliente casi en tiempo real Personalizable La solución es personalizable para garantizar que se puedan contrarrestar todas las amenazas en el entorno único del cliente. La solución permite la definición de políticas jerárquicas sobre DNS, redireccionamiento NXDOMAIN y malware que maximicen la flexibilidad. El administrador tiene el control completo sobre qué políticas son cumplidas por cada servidor de DNS recursivo. La fuente de datos de malware de Infoblox incluye varias opciones para habilitar la coincidencia exacta de los datos, como la geografía, con las amenazas detectadas. Además, la fuente de datos de malware de Infoblox también puede combinarse con varias fuentes de datos de reputación internas y externas Más información Para obtener más información, diríjase a o escriba a sales@infoblox.com. 14

16 US Corporate Headquarters: (toll-free, U.S. and Canada) EMEA Headquarters: Spain/Portugal: Mexico/Latin America: Infoblox Inc. All rights reserved. infoblox-whitepaper-apt-malware-march-2013