Как Ideco NGFW обеспечивает защиту на DNS-уровне

Как Ideco NGFW обеспечивает защиту на DNS-уровне
04.11.2024 В настоящее время межсетевой экран следующего поколения Ideco NGFW является единственным в России межсетевым экраном класса NGFW (Next Generation Firewall), оснащенным облачным модулем DNS Security.

Угрозы безопасности на DNS-уровне

Казалось бы, имея современный NGFW, пользователь получает все современные механизмы защиты, такие как межсетевое экранирование, предотвращение вторжений, контентную фильтрацию, антивирусную защиту. Возникает вопрос в необходимости дополнительных функций, связанных с защитой DNS. Текущее распределение рынка на западе показывает, что DNS Security составляет около трети от объема рынка NGFW, и крупнейшие иностранные компании, такие как Cisco и CheckPoint, вкладывают большие средства в развитие своих DNS Protection продуктов. Стоит также отметить, что и сами атаки злоумышленников не стоят на месте, тем самым доказывая актуальность защиты от DNS-угроз. По статистике экспертов почти 88% компаний ежегодно подвергаются DNS-атакам, причем 33% таких атак можно предупредить на уровне DNS.

Архитектура современных сетей такова, что без DNS невозможно обойтись. Это один из самых древних протоколов Интернета. Практически на всех сетевых устройствах открыт порт 53/UDP (порт DNS). Злоумышленники знают об этом и активно применяют данное взаимодействие, ведь технология устроена таким образом, что пакеты поступают без предварительной проверки, а активность по 53/UDP практически никогда не отслеживается. Злоумышленникам гораздо легче создать пачку доменов под свои цели и обновлять их по мере необходимости, чем поддерживать взаимодействие через IP. В целом, если смотреть на мировые практики ИБ (NIST и CISA), становится очевидным, что DNS ⎯ это первый уровень защиты контура.

Для обхода современных СЗИ, использующих методы фильтрации по белым и черным спискам, злоумышленники регистрируют в автоматическом режиме случайные домены с коротким временем жизни. Таким образом доменные имена не успевают попадать в списки запрещенных доменов, а, например, бот, который проник внутрь контролируемой сети, используя заложенный алгоритм перебора, находит живой домен и связывается со своим командным центром. Таким образом DNS потенциально позволяет связываться ботнету с устройствами, которые, по мнению владельцев, не имеют выхода в интернет.

Защита DNS с помощью SkyDNS

SkyDNS выделяет следующие категории угроз информационной безопасности: ботнеты, фишинговые сайты тайпсквоттинг, криптоджекинг, DGA (Domain Generation Algorithm), запаркованные домены, программы-вымогатели и вредоносные программы.

К ключевым функциональным возможностям защиты DNS относят перехват пользовательских DNS-запросов и блокировку автоматических серверов, предоставляющих сервисы DoH (DNS over HTTPS), что препятствует обходу системы DNS-фильтрации как для злоумышленников, так и для внутренних устройств, действующих в обход единой системы DNS. SkyDNS дополнительно применяет методы обнаружения аномалий трафика и N-грамм анализ для выявления DGA-доменов, которые не попадают под классическую фильтрацию по черным спискам.

Помимо указанных категорий информационной безопасности SkyDNS предоставляет дополнительно 65 категорий контента и возможность блокировок приложений, экосистем и облачных сервисов. База категорированных ресурсов SkyDNS включает практически 99% видимой части интернета и обновляется каждый день. Также ежегодно база фильтрации SkyDNS проходит оценку независимых лабораторий, показывая менее 2% ложно положительных срабатываний. База содержит более 120 собственных бинарных классификаторов и языковых моделей. SkyDNS обрабатывает 10 языков с разными диалектами и развивает полноценную нейронную сеть под каждую категорию контента или информационной безопасности со своими внутренними классификаторами и параметрами.
Наполнение базы происходит благодаря машинному обучению по трафику пользователей и отпечатков собственных краулеров, поисковых роботов. SkyDNS интегрирован с ICANN («Корпорация по управлению доменными именами и IP-адресами») для получения новых зарегистрированных доменов в реальном времени, подвергаемых тщательному наблюдению, поскольку в любой момент на таком домен может появиться новый контент, инструмент злоумышленника. В базе категорированных ресурсов сохранены исторические данные о владельцах доменов, взаимосвязями между доменами и подсетями, благодаря чему каждый зафиксированный запрос обогащается полезными данными и связями к сторонним ресурсам. Запросы также анализируются по принадлежности к той или иной инфраструктуре. Такой подход позволяет предиктивно выявить угрозы безопасности, поскольку злоумышленники не всегда под новую атаку создают новую инфраструктуру. Таким образом домен, обратившийся к определенной инфраструктуре, помеченной как вредоносная, будет заблокирован автоматически.

Для защиты от туннелирования внутри DNS-трафика применяются алгоритмы, основанные на расстоянии Ливенштайна. SkyDNS на своей стороне формирует ту же выборку популярных запросов, что и злоумышленники, и сравнивает запросы пользователя со своей эталонной выборкой. Расстояние Ливенштайна как раз показывает, какие домены с большей долей вероятности маскируются под известные марки и бренды, такие пользовательские запросы могут быть смело заблокированы.
Как было сказано выше, еще одна интересная категория доменов — недавно зарегистрированные домены. Принято считать, что 70% новых доменов являются потенциально плохими. Конечно, можно превентивно блокировать недавно зарегистрированные домены, с высокой долей вероятности это не повлечет за собой негативных последствий для пользователей и критических сервисов. Тем не менее лучше работать на опережение, чтобы избежать как минимум ложных блокировок. В связи с этим SkyDNS собирает актуальные и ретроспективные данные: сформировать набор актуальных запросов от своей базы пользователей, получить информацию о новых зарегистрированных доменах в моменте, то есть большое количество регистраторов доменных зон. Далее строятся графы связанности, где необходимо сохранять предыдущие связи «домен-IP» и «домен- Name-сервер», а также владельцев доменов и даты их регистрации. На третьем этапе графы связанности сверяются с данными маршрутов, определяя, к какой сети идет обращение. Тем самым SkyDNS понимает, когда и кем был зарегистрирован домен, была ли ранее зафиксирована вредоносная активность по родительским ресурсам и на каких сетях это располагается. То есть по ассоциации подозреваемого домена с сетью злоумышленника можно выявить нижний домен фактически еще до регистрации самого домена. Отсюда можно сделать вывод, контролируется ли указанная сеть злоумышленниками. И все домены, которые будут зарегистрированы на сети злоумышленника, можно смело блокировать.

Дополнительно SkyDNS обеспечивает логирование всех входящих и исходящих запросов, обогащая данные для SIEM-системах, а также предоставляя удобные отчеты для расследования инцидентов.


Интеграция Ideco и SkyDNS

Модуль DNS Security в Ideco NGFW опирается на облачные сервисы SkyDNS. Ideco NGFW поддерживает простую в настройке интеграцию с сервисом SkyDNS с помощью настроек DNS-сервера на резолвер SkyDNS. В ближайшее время для повышения удобства пользователей планируется вывод настроек интеграции внутри центральной консоли Ideco Center. Важным преимуществом DNS-фильтрации является то, что ее можно внедрить практически за полчаса.

SkyDNS зарекомендовал себя как отказоустойчивый сервис, поскольку основан на Anycast-системе с несколькими десятками локаций.

Ideco и SkyDNS имеют долгие и прочные партнерские связи — изначально являясь внутренним проектом Ideco, уже в 2011 году SkyDNS отделилась в самостоятельное юрлицо для более глубокого погружения в вопросы фильтрации контента в интернете, а с 2015 года развивает собственное направление машинного обучения. Последние три года компания предоставляет услугу DNS-безопасности, ежедневно фильтруя трафик от 10 миллионов активных устройств из 69 стран, в пике дающих до 40 тысяч запросов в секунду, и блокируя более 80 миллионов угроз в день. С уходом из России иностранных производителей в 2022 году, компания заняла лидирующие позиции на отечественном рынке в области защиты DNS. В настоящий момент Ideco и SkyDNS активно делятся между собой кейсами по безопасности и успешным опытом противодействия угрозам.

Ideco предоставляет 30 дней триала сервиса SkyDNS. Разворачивание сети выполняется быстро через перенастройку DNS-сервера. Уже на этапе пилота можно оценить, сколько запросов DNS выполняется внутри сети, сколько из них легитимных, нелегитимных, есть ли вредоносное воздействие внутри сети, и выстроить первой слой защиты корпоративного контура на базе DNS Protection и контентной фильтрации с применением дополнительных инструментов для мониторинга и расследования инцидентов. Сервис позволяет выявить активность ботнетов и незамедлительно оповестить о них администратора. SkyDNS также предоставляет огромное количество инструкций и гайдов по подключению для различных систем и сетей через сетевые устройства. SkyDNS поддерживает профилирование, позволяя настроить кастомизированные страницы блокировки, расписание фильтраций и политики фильтраций. В настоящее время разрабатывается новый механизм блокировки приложений (стоковой перечень содержит порядка 130 наименований). Стоит отметить, что эксперты SkyDNS рекомендуют блокировать доступ через VPN-сервисы.