Con los creadores del virus informático elevando el nivel continuamente en términos de volumen, sofisticación, y los objetivos nefastos de su virus informático, es un desafío constante para la industria de la seguridad para salir adelante. El malware, por supuesto, viene en muchas formas, y se entrega en una amplia variedad de métodos como a través de correo electrónico directo (normalmente a través de cuentas ya comprometidas), envenenamiento de motores de búsqueda (SEP), así como el popular drive-by-download.
La entrega del software malicioso para la víctima en un acto criminal, o a través de SEP tiene que estar alojado en algún lugar de internet, y esto normalmente termina siendo en un servidor web en alguna parte. Así que vamos a echar un vistazo en dónde muchos de estos hosts se encuentran más comúnmente en el mundo.
Una vez más, se presentan nombres familiares en la parte superior de la tabla, sin embargo, la distribución es mucho más diversa de lo que hemos visto con los anfitriones de phishing, bots y servidores C & C, con tan sólo el 5% aproximadamente que separa a los dos primeros países. Los Estados Unidos a la cabeza, con Rumania en segundo lugar.
Si bien esta breve mirada a la geo-diversidad de las amenazas que tienen real impacto en usuarios reales, es sólo vista en niveles extremadamente altos, sin embargo destaca algunos puntos importantes e ideas posiblemente falsas que guardan relación con la geografía.
Een algunos casos sí se puede disminuir el riesgo de ataque, sin embargo, en la mayoría de los casos sólo en un sentido proporcional al tamaño del rango de direcciones que está bloqueando, y sólo habrá alguna vez que provenga de ataques causales (si existe realmente tal cosa).
Los atacantes verdaderamente implacable y centrados pueden pasar por alto la geo-localización trivialmente; proxies, bouncers y Tor (a pesar de que en realidad no se puede controlar la geografía del nodo de salida) han sido las herramientas de elección por muchos años para realizar esta tarea. Debido a esto, no siempre se puede confiar en la geo-localización sola como un método para disminuir el riesgo de ataque, el atacante simplemente aparentará provenir de alguna parte.
Los datos de geo-localización son, sin embargo, ideales para el seguimiento de las amenazas desde el lado objetivo como lo hemos estado haciendo en esta serie. También permite a lo que alguna vez sería una visión global de los datos, ser segmentada en países para ver las tendencias que no siempre son evidentes. En todos los casos la dirección del atacante real de la IP (y por lo tanto la ubicación) será en algún lugar del mundo, por ejemplo, es muy poco probable que alguna vez sería la sede de malware en su sistema propio para su descarga.
Así que si en algún momento está en una posición donde tiene que llegar a una decisión de confianza asociada a una dirección IP por sí sola, es fácil decir que no se puede confiar en ella, sin embargo explícitamente la asociación de confianza basado en la ubicación no es nunca una buena idea.
– Colaboración de SourceFire