Организация безопасности DNS

Организация безопасности DNS

Почти все действия, предпринимаемые в Интернете, начинаются с запроса доменной системы (DNS), которая переводит доменные имена в IP-адреса. DNS делает Интернет быстрым и эффективным, и значительно более доступным для людей, но хакеры в последнее время стали слишком часто использовать ее открытость для кибератак. Сама DNS не имеет интеллекта и, как результат, будет принимать запросы как для доброкачественных, так и для вредоносных доменов.

Киберпреступники используют эту уязвимость в DNS для запуска вредоносных рекламных кампаний и вымогательств, фишинговых атак и обмена данными с компаниями. Поскольку пользователи, устройства, приложения и данные продолжают перемещаться за пределы традиционного периметра предприятия и зоны контроля, поверхности атаки будут расширяться.

Итак, как проактивно защищитить свою сеть от этих целевых угроз? Многие компании обращаются к стратегии безопасности с нулевым доверием, чтобы «проверять, но никогда не доверять» всем пользователям и устройствам. Это особенно важный подход, поскольку мы рассматриваем присущий им риск, который пользователи и устройства создают через исходящие DNS-запросы. Вот пять вопросов, которые нужно задать себе, чтобы определить, нужна ли вам стратегия безопасности DNS.


cropped-view-of-hands-typing-on-laptop_1262-3196.jpg


Cколько запросов в день допустимо для DNS?


Одно устройство производит несколько тысяч запросов в день; теперь умножьте это на каждого пользователя и устройство в вашей сети. Трудно отследить эти данные в совокупности, поскольку поток часто запрещает вход в систему безопасности и управление событиями (SIEM). Просто слишком много хорошего и плохого трафика, чтобы гарантировать добавление DNS-журналов в SIEM. Более того, экспорт журналов и отделение данных из нескольких источников являются непростой задачей. Даже если вы преодолеете эти проблемы с агрегацией, в любом случае вы просматриваете тысячи (или миллионы) имен хостов без контекста. В то время большое количество данных является проблемой, низкое количество данных это еще хуже, поскольку вы получаете информацию в вакууме.


Как выглядит нерегулярный DNS-трафик?


Имеется ли у вас пример «здорового» DNS-трафика? Учитывая количество и разнообразие DNS-запросов в вашей сети - исходящих из ноутбуков, мобильных телефонов, настольных компьютеров, планшетов, принтеров и гостевого Wi-Fi, не говоря уже обо всех «умных» подключенных устройствах - трудно понять, что представляет собой норму. Кроме того, часто бывает слишком много времени и усилий, чтобы найти данные, чтобы определить, какие устройства в вашей сети делают запросы.

Однако это важная часть информации, поскольку тип устройства может быть ключевым индикатором того, что что-то пошло не так. В то время как ноутбук, делающий тысячи рекурсивных DNS-запросов в день, не должен вызывать тревогу, система HVAC вашей компании, отправляющая много запросов, должна, безусловно, быть исследована более детально. Но только если вы можете сначала идентифицировать HVAC как источник этих излишних запросов. Поскольку число подключенных устройств (Internet of Things) по прогнозам увеличивается, в 2021 году достигнет 20,4 миллиарда, ваше воздействие будет только увеличиваться. Даже если вы выделяете ресурсы для постоянного мониторинга и анализа журналов DNS, скорее всего вы не успеете вовремя обнаружить и смягчить вторжение, прежде чем оно наносит урон. Чем больше трафика вы анализируете в совокупности, тем легче становится маркировка нерегулярного трафика DNS; вы должны понимать глобальные тенденции и модели, чтобы эффективно и последовательно определять угрозы.


digital-particle-technology-face-for-artifiticial-intelligence-concept_1017-11831.jpg


Знаете ли вы, что рекурсивный DNS можно использовать для фильтрации данных с вашего предприятия?


Целевые угрозы продолжают развиваться по мере того, как компании и отдельные лица реагируют на атаки. Все чаще киберпреступники используют рекурсивный DNS для проникновения за периметр безопасности, находя имеющиеся уязвимости инфраструктуры. После того, как устройство в сети заражено, подавляющее большинство вредоносных программ отправит запрос обратно на свой сервер управления для получения дополнительных инструкций. Поскольку трафик DNS открыт и не подвержен фильтрации, эти вредоносные запросы будут отключены, минуя всю безопасность на уровне сети. С помощью туннелирования DNS мошенники могут анализировать финансовые показатели, номера социального страхования, информацию о кредитных картах, интеллектуальную собственность и другие конфиденциальные данные. Пакеты данных зашифрованы, сжаты, нарезаны, а затем переданы с использованием различных технологий, чтобы избежать обнаружения, таких как «капельницы», IP-спуфинг, алгоритмы генерации доменов (DGA) и быстрый поток. Нельзя полагаться исключительно на безопасность на сетевом уровне. Понимание этой уязвимости становится еще более важной задачей, если учесть растущую мобильность работников и их рабочих мест. Поскольку сотрудники, поставщики, партнеры и поставщики выходят за пределы традиционного сетевого периметра, все чаще работая из дома, кафе, аэропортов, гостиниц, конференций и т. Д., Их устройства, скорее всего, подключаются к незащищенным сетям. Все, что требуется, - это одно скомпрометированное устройство, которое повторно подключается к вашей корпоративной сети, чтобы развязать вредоносное ПО, которое облегчает обмен данными по всему предприятию.

Можете ли вы применить политику для блокирования вредоносной активности всей вашей компании за считанные секунды?


Идентификация плохого домена или IP-адреса является сложной задачей, но это лишь половина дела для предотвращения целенаправленной угрозы. Как только атака или уязвимость выявляются, ИТ-команды имеют незавидную задачу по быстрому внедрению плана защиты всей компании. Без облачных решений это может включать многочисленные громоздкие обновления программного обеспечения и аппаратных средств. Данные директивы требуют эффективной и своевременной связи с центральным офисом, а затем зависят от 100% соответствия всех филиалов, сотрудников и устройств в вашей сети. В качестве альтернативы, облачное решение позволяет производить настройки и развертывания в считанные минуты без какого-либо оборудования или лицензий программного обеспечения. Облачной инфраструктурой можно управлять в любом месте и принудительно применять в одностороннем порядке почти мгновенно


Является ли DNS частью вашей многоуровневой системы безопасности?


Вы не можете себе этого позволить. У 70% организаций произошел инцидент с безопасностью, который отрицательно повлиял на их бизнес, а число нарушений данных увеличилось на 30%. Среднее время от нарушения до его обнаружения составляет более шести месяцев, а средняя стоимость последствий атаки составляет 18 миллионов долларов США, в том числе повреждение репутации бренда. Поскольку каждый веб-запрос от предприятия начинается с DNS, это идеальный контрольный пункт для обеспечения безопасности всей компании в веб-запросах и применения политики безопасности. И так как это подтверждение происходит до того, как IP-соединение будет произведено, угрозы будут остановлены раньше в цепочке уничтожения безопасности и дальше от периметра предприятия. Рекурсивный DNS - часто забытый вектор атаки, но с постоянно развивающимся вредоносным ПО и растущими финансовыми стимулами для хакеров, вы должны укрепить этот уязвимый бэкдор.

10.07.2018

Возврат к списку

КЛИЕНТЫ КОМПАНИИ

Asia
Аеропорт
Волковгеология
AirAstana
Метрополитен
Astel
ЭФКО,
Сентрас Иншуранс
Международный аэропорт Астана
Международный аэропорт Алматы
Bericap Kazakhstan
Метрополитен
Казросгаз
КазМунайГаз
Alina Management
KazConstruction Group
Самрук-Энерго, АО
Amanat Insurance
Nomad Life
KMF