El escenario de los ataques de malware dirigidos cambia día a día. Ante este panorama la empresa de seguridad Fortinet ofrece cinco claves para saber si un dispositivo ha sido infectado por una Amenaza Persistente Avanzada (APT):
Intentos de conexión fallidos
A menudo el malware intenta conectarse, a través de Internet, a hosts que no existen. Mientras que una única conexión incorrecta, puede deberse a errores cometidos por el usuario o a que se ha seguido un enlace erróneo, una serie de conexiones fallidas consecutivas puede ser síntoma de una infección de malware.
Elección de aplicaciones
Un host que instala una aplicación de compartición de archivos (P2P) puede ser considerado más peligroso que un host que instala un juego. Algunas organizaciones podrían considerar que ambas acciones son problemáticas. La capacidad de otorgar un peso a cada acción permitirá cuantificar correctamente el riesgo.
Localización geográfica
Las visitas a hosts en determinados países pueden considerarse un comportamiento de alto riesgo, sobre todo si hay un volumen de tráfico significativo. Identificar tal comportamiento combinándose con una lista blanca que identifique los sitios web legítimos en tales países ayuda a identificar clientes infectados.
Información de la sesión
Cuando un dispositivo comienza a escuchar en un puerto para recibir una conexión desde el exterior pero no ha iniciado previamente dicha conexión, puede tratarse de una infección APT.
Categoría de destino
Si se visitan determinados tipos de sitios web, por ejemplo, de apuestas, webs para adultos o aquellos sitios conocidos por contener malware, puede también ser síntoma de una infección APT.
Foto cc marsmet481
from TICbeat http://feedproxy.google.com/~r/rwwes/~3/SAc1R5dNNRk/story01.htm
