stellarcyber.ai
Open in
urlscan Pro
35.215.109.67
Public Scan
URL:
https://stellarcyber.ai/es/what-are-dgas/
Submission: On September 10 via manual from ES — Scanned from ES
Submission: On September 10 via manual from ES — Scanned from ES
Form analysis
1 forms found in the DOMGET https://stellarcyber.ai/es/
<form role="search" method="get" id="searchform" class="search-form" action="https://stellarcyber.ai/es/" data-hs-cf-bound="true">
<input type="search" title="Search for:" value="" placeholder="Buscar" name="s" id="s" class="search-field">
<input type="submit" id="searchsubmit" class="search-submit" value="">
</form>
Text Content
X Ver Stellar Cyber ¡Próximos Eventos! Cerrar * * * * * * Soporte * Contáctenos X * Plataforma * Descripción * Recorrido por la plataforma * ¿Cómo funciona? * Detección y respuesta de red * Abrir XDR para empresas * Abrir XDR para MSSP * Antes y después de Stellar Cyber * Panorama competitivo * AlienVault * Exabeam * Rastro oscuro * IBM QRadar * Centinela de Microsoft * Securonix * Splunk * Integraciones de plataforma * Qué es Abrir XDR * Industrias * Fabricación Industrial * Gubernamental * Higher Education * Servicios Financieros * Casos de uso * Descripción general de casos de uso * Automatización de la respuesta a incidentes * Credenciales comprometidas * amenaza de información privilegiada * Movimiento lateral * el malware * Seguridad TO * Phishing * Ransomware * Proteger entornos de múltiples nubes * Consolidación de la pila de seguridad * Servicios * Descripción * Habilitación del cliente * Academia cibernética estelar * Éxito del cliente * Atención al cliente * Precios * Recursos * de Recursos * Blogs * Casos de Éxito * hojas de datos * Libros digitales * Infografía * Reportes de investigación * Videos de casos de uso * Pódcasts * Documentos Técnicos * CAPACITACIÓN EN LÍNEA * Nuestros Campañeros * Conviértase en socio de MSSP * Conviértase en socio de canal * Conviértase en socio tecnológico * Abrir Mercado XDR * Portal de Socio * Compañía * Sobre Nosotros * Nuestra Historia * Kit de Medios * Eventos * Cobertura de prensa * Comunicados de prensa * Programa universitario * Testimonios de los clientes * Empleos * Contáctenos * SOLICITE UNA DEMO 日本語Englishعربى中国人NederlandPilipinoFrançaisDeutscheहिंदी한국어PolskiePortuguêsEspañolไทยTiếng Việt * Plataforma * Descripción * Recorrido por la plataforma * ¿Cómo funciona? * Detección y respuesta de red * Abrir XDR para empresas * Abrir XDR para MSSP * Antes y después de Stellar Cyber * Panorama competitivo * AlienVault * Exabeam * Rastro oscuro * IBM QRadar * Centinela de Microsoft * Securonix * Splunk * Integraciones de plataforma * Qué es Abrir XDR * Industrias * Fabricación Industrial * Gubernamental * Higher Education * Servicios Financieros * Casos de uso * Descripción general de casos de uso * Automatización de la respuesta a incidentes * Credenciales comprometidas * amenaza de información privilegiada * Movimiento lateral * el malware * Seguridad TO * Phishing * Ransomware * Proteger entornos de múltiples nubes * Consolidación de la pila de seguridad * Servicios * Descripción * Habilitación del cliente * Academia cibernética estelar * Éxito del cliente * Atención al cliente * Precios * Recursos * de Recursos * Blogs * Casos de Éxito * hojas de datos * Libros digitales * Infografía * Reportes de investigación * Videos de casos de uso * Pódcasts * Documentos Técnicos * CAPACITACIÓN EN LÍNEA * Nuestros Campañeros * Conviértase en socio de MSSP * Conviértase en socio de canal * Conviértase en socio tecnológico * Abrir Mercado XDR * Portal de Socio * Compañía * Sobre Nosotros * Nuestra Historia * Kit de Medios * Eventos * Cobertura de prensa * Comunicados de prensa * Programa universitario * Testimonios de los clientes * Empleos * Contáctenos * SOLICITE UNA DEMO ¿QUÉ SON LAS DGA? Detección de infracciones FebreroFebrero ¿QUÉ SON LOS DGA Y CÓMO DETECTARLOS? Los algoritmos de generación de dominios (DGA) son una clase de algoritmos que generan de forma periódica y dinámica una gran cantidad de nombres de dominio. Normalmente, los dominios son utilizados por malware y redes de bots como puntos de encuentro para facilitar la devolución de llamadas a los servidores de comando y control del actor malintencionado. Los DGA permiten que el malware genere decenas de miles de dominios por día, la gran mayoría de ellos sin registrar. La enorme cantidad de dominios no registrados se utilizan para enmascarar los registrados, lo que permite que las botnets infectadas eludan la detección y la disuasión mediante sistemas de detección de seguridad basados en firmas o reputación de IP. La primera familia de malware conocida que utilizó un DGA fue Kraken en 2008. Más tarde ese año, el gusano Conflicker llevó la táctica DGA a la notoriedad. Incluso después de 10 años, todavía es posible encontrar Conflicker o una de sus variantes en algunas de las redes actuales. Junto con la creciente proliferación de malware, el uso de DGA se ha vuelto más generalizado. LOS OBJETIVOS DE LA DETECCIÓN DE DGA Debido a que la actividad DGA es un indicador considerable de compromiso, es fundamental detectar dichas actividades en su red. Hay tres niveles de detección de DGA, y cada nivel subsiguiente se correlaciona con un aumento en la gravedad. La detección en niveles posteriores es más difícil, pero más crítica. Si se detecta un DGA, significa que uno o más de sus sistemas han sido infectados por malware basado en DGA y se han convertido en botnets. Es necesario realizar algunas acciones. El primer objetivo es identificar los sistemas afectados, limpiándolos adecuadamente o poniéndolos en cuarentena para evitar una escalada. El siguiente objetivo es determinar si un determinado nombre de dominio DGA está registrado. Si el dominio está registrado, se ha convertido en un servidor de Command & Control activo que presenta un gran riesgo para su red. Los sistemas infectados, ahora botnets, pueden usar estos servidores para llamar a casa y recibir comandos del atacante malintencionado. Por lo tanto, el segundo componente de un sistema de detección DGA eficaz es la capacidad de diferenciar los dominios registrados de los no registrados. Por ejemplo, una DGA puede generar 1000 dominios, desde xyzwer1, xyzwer2…. a xyzwer1000. El hacker solo necesita registrar un dominio, es decir, xyzwer500, no los otros 999 dominios. Si se puede identificar el dominio registrado y su IP asociada, la información se puede utilizar para bloquear el canal de comunicación entre el sistema objetivo y el servidor de Command & Control. Además, la inteligencia debe propagarse a todos los demás sistemas de prevención o detección en el lugar para obstruir la devolución de llamada a ese servidor desde cualquier sistema en la red. El último pero más crítico objetivo de un sistema de detección DGA es determinar si la devolución de llamada fue exitosa con los dominios registrados y si se estableció contacto entre los sistemas infectados y el servidor de Command & Control. Si se detecta tal actividad, es posible que ya se hayan producido algunos daños. Quizás se actualizó el malware en su red o se instaló nuevo malware. Es posible que se hayan extraído datos sensibles. ¿CÓMO FUNCIONA LA DETECCIÓN DGA? La actividad DGA se detecta capturando y analizando paquetes de red, generalmente en cinco pasos generales. Paso 1: detectar la aplicación DNS La detección comienza a través de solicitudes de DNS y / o mensajes de respuesta. El DNS es un protocolo de Internet fundamental y la mayoría de los firewalls tienen una política para permitir el tráfico DNS saliente en su puerto reservado 53. Sin embargo, un pirata informático puede aprovechar el puerto 53 para enviar su tráfico sin cumplir con el formato de mensaje DNS estándar. Este ataque se llama tunelización de DNS. Se recomienda un motor de inspección profunda de paquetes (DPI) para identificar las aplicaciones DNS con mayor precisión. Paso 2: extraer nombres de dominio Una vez que una aplicación de red se identifica como DNS, es necesario extraer los nombres de dominio en los mensajes de consulta y respuesta de DNS. Para extraer el nombre de dominio correcto, el contenido del mensaje DNS debe analizarse cuidadosamente y se requiere un motor DPI para realizar esta tarea. Paso 3: detecta cualquier DGA Es necesario realizar un análisis en los dominios extraídos de los mensajes DNS para determinar si son DGA. Este es quizás el paso más complicado. El desafío consiste en reducir tanto los falsos positivos como los falsos negativos. Los mecanismos de detección han evolucionado drásticamente en los últimos 10 años o más. Algunos mecanismos se basan en la relativamente simple entropía de Shannon. https://www.splunk.com/blog/2015/10/01/random-words-on-entropy-and-dns.html Algunos mecanismos se basan en Ngrams más sofisticados como los presentó Fyodor en la conferencia de Hitb. Últimamente, con la popularización del aprendizaje automático, sus metodologías también se han aplicado a la detección de DGA. El aprendizaje automático puede combinar las características de Ngrams, Shannon Entropy, así como la longitud de los nombres de dominio para influir en las decisiones. Se han probado varios modelos de aprendizaje automático. Hay una muy buena publicación de blog de Jay Jacobs en 2014 que describe el proceso. Aquí hay otro detector DGA de código abierto basado en Machine Learning con Markov Chain: https://github.com/exp0se/dga_detector Paso 4: detectar dominios DGA registrados Para detectar si un nombre de dominio DGA está registrado, es necesario verificar las respuestas de DNS. El mero seguimiento de las solicitudes de DNS no es suficiente; el sistema de detección debe rastrear toda la transacción para facilitar la correlación entre los datos. Paso 5: detectar el tráfico a los dominios DGA registrados Cuando la mayoría de los sistemas de detección DGA existentes se centran en detectar si un nombre de dominio es un dominio DGA, a menudo olvidan la última pregunta, la más importante: ¿hay algún tráfico que se haya enviado a los dominios DGA registrados? Para detectar esto de manera oportuna, la detección del dominio DGA debe estar estrechamente relacionada con la inspección del tráfico de la red. Los resultados deben enviarse al motor de inspección de tráfico inmediatamente antes de que se produzcan daños. Paso 6: bloqueo del tráfico a dominios DGA registrados Aunque técnicamente no es parte de la detección, si hay una integración con un sistema de prevención como un Firewall o IPS, se debe insertar una regla de inmediato para bloquear todo el tráfico a los dominios registrados. Un gran sistema de detección DGA debería realizar los 5 pasos. Un excelente sistema de detección de DGA también debería incluir el Paso 6. Desafortunadamente, la mayoría de los sistemas de detección de DGA actuales se detienen en el paso 3 o el paso 4. Para Concluir Debido a que los DGA son difíciles de detectar con un sistema de detección o prevención basado en firmas o reputación, se han vuelto bastante populares entre los desarrolladores de malware. Se requiere un sistema de detección inteligente para realizar la detección. Un excelente sistema de detección de DGA debe extraer la información del nombre de dominio de las transacciones de DNS, realizar análisis exhaustivos para detectar el estado de DGA, verificar el estado de registro de los dominios sospechosos, correlacionar con la inspección del tráfico de la red para evaluar el nivel de compromiso e idealmente integrarse con los sistemas de prevención para evitar más compromiso. Para reducir tanto los falsos positivos como los falsos negativos, se debe considerar seriamente un aprendizaje automático. Solo con una inteligencia completa y omnipresente en cada etapa se puede mejorar realmente la amenaza. Recursos El repositorio en Github de Andrey Abakumove contiene algoritmos para generar nombres de dominio, así como diccionarios de nombres de dominio maliciosos. Detección de infracciones * * * PORTAFOLIO DE NAVEGACIÓN Previo Siguiente CATEGORÍAS * Seguridad impulsada por IA * Eventos de alianzas * Seguridad de las aplicaciones * Apps * Inteligencia Artificial * Detección de infracciones * Casos de Éxito * Estudios de caso - MSSP * Nube * Cloud Security * Elogio SIEM * Capacidades principales: hojas de datos * Tecnologías principales: hojas de datos * Eventos de CxO Insyte * Ataques ciberneticos * Cibercriminales * La Ciberseguridad * Incumplimiento de datos * Recolección de Datos * Almacenamiento de datos * Modelos de implementación: hojas de datos * Libro electrónico – Libro blanco * EDR: detección y respuesta de endpoints * Alertas EDR * Correo electrónico * Punto final * Identidad * En persona – Categoría Eventos * Internet de las cosas * Seguridad IoT * Tecnología informática * Cadena de matar * Aprendizaje automático * MSSP * NDR * Nuestra red * Red de Seguridad * Análisis de tráfico de red * NG-SIEM * Abrir XDR * Abrir Plataforma XDR * Evento Cumbre Abrir XDR * Entorno TO * Seguridad TO * Podcast * Ataques Ransomware * Centro de operaciones de seguridad (SOC) * La tecnología de seguridad * SIEM * tecnología SIEM * SOC * Sin calcetín * Otros * University * Vulnerabilidad * Webinar - Arquitectura * Seminario web: modelos de negocio * Seminario web - General * Webinar - Próximo * Seminarios web - Categoría Eventos * Documentos Técnicos * XDR * Adopción de XDR * Soluciones XDR ARCHIVOS Archivos Seleccione mes Septiembre 2023 (3) Julio 2023 (3) Junio 2023 (3) Mayo 2023 (5) Abril 2023 (3) Marzo 2023 (1) Febrero 2023 (4) Enero 2023 (1) Noviembre 2022 (2) Octubre 2022 (1) Septiembre 2022 (8) Agosto 2022 (6) Julio 2022 (2) Junio 2022 (2) Mayo 2022 (4) Abril 2022 (5) Marzo 2022 (2) Febrero 2022 (6) Enero 2022 (3) Diciembre 2021 (2) Noviembre 2021 (4) Octubre 2021 (3) Septiembre 2021 (3) Agosto 2021 (1) Julio 2021 (2) Junio 2021 (2) Mayo 2021 (4) Abril 2021 (3) Marzo 2021 (4) Febrero 2021 (3) Enero 2021 (2) Diciembre 2020 (2) Noviembre 2020 (2) Octubre 2020 (3) Septiembre 2020 (3) Agosto 2020 (1) Julio 2020 (4) Mayo 2020 (2) Abril 2020 (1) Marzo 2020 (2) Febrero 2020 (2) Noviembre 2019 (3) Octubre 2019 (3) Septiembre 2019 (2) Agosto 2019 (1) Julio 2019 (1) Mayo 2019 (2) Marzo 2018 (1) Febrero 2018 (2) Enero 2018 (1) PARA EMPRESAS * Reemplazar SIEM * Complemento SIEM * Implementar NDR * Convierte EDR en XDR * SOC de próxima generación CAPACIDADES * SIEM de próxima generación * Detección y respuesta de red (NDR) * EDR universal * Caza de amenazas automatizada * Respuesta automatizada * Inteligencia de amenaza NUESTROS COMPAÑEROS * Conviértase en socio de MSSP * Conviértase en socio de canal * Conviértase en socio tecnológico * Abrir Ecosistema XDR * Portal de Socio RECURSOS * Blogs * Casos de Éxito * hojas de datos * Libros digitales * Videos de casos de uso * Pódcasts * CAPACITACIÓN EN LÍNEA * Documentos Técnicos COMPAÑÍA * Quiénes somos * Nuestra Historia * Eventos * Kit de Medios * Comunicados de prensa * Cobertura de prensa * Testimonios de los clientes * Empleos * Contáctenos PARA MSSP * Aumente los ingresos y el margen * Vender SOC como servicio * Vender MDR como servicio * Hacer crecer el mercado con Universal EDR TECNOLOGÍAS * Sensores * Interflujo * Lago de datos * Motor AI * Cadena de muerte XDR * Despliegue RED * Análisis de tráfico de red (NTA) * Análisis de tráfico de firewall (FTA) * Transmisión de datos * Seguridad a través de las nubes * Casos de uso de NG-SOC inteligente * SOC automatizado * Asegurar contenedores * Análisis de comportamiento de la entidad de usuario * Respuesta de detección de nubes * NTA/NDR+ con IDS impulsado por ML SOLUCIONES * Casos de uso * Automatización de la respuesta a incidentes * Credenciales comprometidas * amenaza de información privilegiada * Movimiento lateral * el malware * Seguridad TO * Phishing * Ransomware * Consolidación de la pila de seguridad PARA INFRAESTRUCTURA * Integración de la infraestructura existente * Cómo funciona Interflow * Motores de recogida * Plataforma de seguridad multiusuario * Motor de procesamiento de datos PRESENTACIÓN DE INFORMES * Casos de uso de gestión de registros * Cumplimiento e informes © 2023 Stellar Cyber Todos los derechos reservados | 2590 N First St Suite 360 San José, CA 95131 * * * COOKIES EN STELLAR Usamos cookies por varias razones, como mantener los sitios web de Stellar Cyber confiables y seguros, personalizar el contenido y los anuncios, proporcionar funciones de redes sociales y analizar cómo se utilizan nuestros sitios. Leer más AceptarRechazar Política de privacidad y cookies Cerrar DESCRIPCIÓN GENERAL DE PRIVACIDAD Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades bás... Necesario Necesario Habilitado permanente Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Esta categoría solo incluye cookies que garantizan funcionalidades básicas y características de seguridad del sitio web. Estas cookies no almacenan ninguna información personal. No es necesario No es necesario Las cookies que pueden no ser particularmente necesarias para que el sitio web funcione y se utilizan específicamente para recopilar datos personales de los usuarios a través de análisis, anuncios y otros contenidos integrados se denominan cookies no necesarias. Es obligatorio obtener el consentimiento del usuario antes de ejecutar estas cookies en su sitio web. GUARDAR Y ACEPTAR * * * * * * * * * * * * * *