REMEDI3S-TLD: Reputation Metrics Design to Improve Intermediary Incentives for Security of TLDs A project in collaboration with SIDN and NCSC Maciej Korczy ń ski Delft University of Technology Contact: maciej.korczynski@tudelft.nl ICANN 54 Techday 19 October 2015, Dublin
REMEDI3S-TLD
REMEDI3S-TLD
REMEDI3S-TLD
REMEDI3S-TLD
Agenda • Types of security metrics • Security metrics for TLDs • Security metrics for hosting providers • Discussion
Types of security metrics • Different layers of security metrics: • Top Level Domains (TLDs) • Market players related to the TLD (infrastructure providers): registrars, hosting providers, DNS service providers • Network resources managed by each of the players, such as resolvers, name servers
Security metrics for TLDs
Security metrics for TLDs • Type of reputation metrics • Concentration of malicious content: a) Number of unique domains b) Number of FQDN c) Number of URLs
Security metrics for TLDs • Type of reputation metrics • Concentration of malicious content: a) Number of unique domains b) Number of FQDN c) Number of URLs • Size matters!
Security metrics for TLDs • Type of reputation metrics (example)
Security metrics for TLDs • Type of reputation metrics Up-times of maliciously registered/compromised domains •
Security metrics for hosting providers
Security metrics for hosting providers 1. Count badness per AS across different data sources 2. Normalize for the size of the AS (in 3 ways) Abuse ¡Maps ¡ Abuse ¡Feeds ¡ Normalized ¡ Abuse ¡Mapping ¡ Abuse ¡ Shadow ¡Server ¡Compromise ¡ • PhishTank ¡ Shadow ¡Server ¡Sandbox ¡URL ¡ • AS#1 ¡ ß ¡ à ¡ ¡100 ¡ ¡ # ¡Unique ¡Abuse ¡/ ¡AS ¡ Zeustracker ¡C&Cs ¡ AS#2 ¡ ß ¡ à ¡ ¡200 ¡ • PhishTank ¡/ ¡Advrt. ¡IPs ¡ MLAT ¡requests ¡ • AS#1 ¡ ß ¡ à ¡ ¡0.39 ¡ APWG ¡ • MLAT ¡ AS#2 ¡ ß ¡ à ¡ ¡0.19 ¡ StopBadware ¡ • AS#1 ¡ ß ¡ à ¡ ¡50 ¡ Normaliza3on ¡ … ¡ • AS#2 ¡ ß ¡ à ¡ ¡73 ¡ PhishTank ¡/ ¡Domains ¡ ¡ Hosted ¡ • AS#1 ¡ ß ¡ à ¡ ¡4.34 ¡ # ¡Abuse ¡/ ¡Size ¡ AS#2 ¡ ß ¡ à ¡ ¡0.16 ¡ p-‑DNS ¡/ ¡IP ¡ Size ¡Maps ¡ MLAT ¡/ ¡Advrt. ¡IPs ¡ Size ¡Mapping ¡ AS#1 ¡ ß ¡ à ¡ ¡0.19 ¡ Rou3ng ¡ AdverLsed ¡IPs ¡ AS#2 ¡ ß ¡ à ¡ ¡0.07 ¡ AS#1 ¡ ß ¡ à ¡ ¡256 ¡ # ¡Advertised ¡IPs ¡ AS#2 ¡ ß ¡ à ¡ ¡1024 ¡ # ¡IPs ¡in ¡p-‑DNS ¡ MLAT ¡/ ¡Domains ¡Hosted ¡ # ¡Domains ¡Hosted ¡ AS#1 ¡ ß ¡ à ¡ ¡2.17 ¡ Farsight ¡Security ¡p-‑DNS ¡Data ¡ • ¡Domains ¡Hosted ¡ AS#2 ¡ ß ¡ à ¡ ¡0.05 ¡ Internet ¡IP ¡RouLng ¡Data ¡ • AS#1 ¡ ß ¡ à ¡ ¡23 ¡ ¡ AS#2 ¡ ß ¡ à ¡ ¡1232 ¡
Security metrics for hosting providers 3. Rank ASes on amount of badness 4. Aggregate rankings 5. Identify ASes with consistently high concentrations of badness Abuse ¡Ranking ¡ Normalized ¡ Abuse ¡ PhishTank ¡Ranking ¡1 ¡ PhishTank ¡/ ¡Advrt. ¡IPs ¡ AS#1 ¡ ß ¡ à ¡ ¡834 ¡ AS#1 ¡ ß ¡ à ¡ ¡0.39 ¡ Overall ¡Ranking ¡ AS#2 ¡ ß ¡ à ¡ ¡833 ¡ AS#2 ¡ ß ¡ à ¡ ¡0.19 ¡ Rank ¡ Combine ¡ PhishTank ¡/ ¡Domains ¡ PhishTank ¡Ranking ¡2 ¡ Borda ¡Count ¡Ranking ¡ Ranks ¡ Hosted ¡ AS#1 ¡ ß ¡ à ¡ ¡834 ¡ AS#1 ¡ ß ¡ à ¡ ¡2354 ¡ Sort ¡Rank ¡ ¡ AS#1 ¡ ß ¡ à ¡ ¡4.34 ¡ AS#2 ¡ ß ¡ à ¡ ¡833 ¡ AS#2 ¡ ß ¡ à ¡ ¡1834 ¡ Borda ¡Count ¡ High ¡ à ¡Low ¡ AS#2 ¡ ß ¡ à ¡ ¡0.16 ¡ AS#3 ¡ ß ¡ à ¡ ¡1542 ¡ AS#4 ¡ ß ¡ à ¡ ¡1322 ¡ MLAT ¡Ranking ¡1 ¡ MLAT ¡/ ¡Advrt. ¡IPs ¡ AS#1 ¡ ß ¡ à ¡ ¡235 ¡ AS#1 ¡ ß ¡ à ¡ ¡0.19 ¡ AS#2 ¡ ß ¡ à ¡ ¡234 ¡ AS#2 ¡ ß ¡ à ¡ ¡0.07 ¡ MLAT ¡Ranking ¡2 ¡ MLAT ¡/ ¡Domains ¡Hosted ¡ AS#1 ¡ ß ¡ à ¡ ¡235 ¡ AS#1 ¡ ß ¡ à ¡ ¡2.17 ¡ AS#2 ¡ ß ¡ à ¡ ¡234 ¡ AS#2 ¡ ß ¡ à ¡ ¡0.05 ¡
Practical application • “Clean Netherlands”: Enhance self cleansing ability of the Dutch hosting market by • promoting best practices and awareness • pressuring the rotten apples
Discussion • Compare your TLD against the market • Driving factors (why the attackers are more interested in certain types of domains?) • Let us know about policy changes, pricing
Discussion • Limitations: metrics for smaller TLDs are more sensitive to individual security incidents • Abuse handling initiatives
Discussion • Limited access to: • Domain WHOIS (classifier between maliciously registered and legitimate domains, metrics for registrars) • Datasets, e.g. shadow server reports • Feedback
ACKNOWLEDGEMENTS The research leading to these results was funded by SIDN (www.sidn.nl) Many thanks to: Cristian Hesselman (SIDN Labs), Paul Vixie (Farsight Security), and Thorsten Kraft ( Cyscon )
Contact information: Maciej Korczy ń ski Delft University of Technology maciej.korczynski@tudelft.nl
Security metrics for TLDs • Type of reputation metrics
Recommend
More recommend