| Popis: |
La fuga de información sensible es uno de los principales problemas que enfrentan las instituciones. Herramientas tradicionales como Snort o Suricata, basadas en reglas, son capaces de detectar de manera eficiente amenazas conocidas, pero son inútiles contra las APT (Amenazas Persistentes Avanzadas, por sus siglas en ingles). Las APT utilizan vulnerabilidades desconocidas y protocolos estándares con cifrado con lo cual se consigue la simulación de un comportamiento normal. En la presente investigación se propone un método simple basado en la desviación estándar de los tiempos entre arribo de flujos cuyo propósito es la detección de conexiones salientes periódicas que luego puedan ser analizadas por especialistas en búsqueda de fuga de información. Fueron identificadas conexiones periódicas sospechosas y entre éstas, una que se corresponde a un servicio mal configurado que reportaba datos de usuario, observándose efectivamente un caso de fuga de información. |
