Угрозы безопасности на DNS-уровне
Казалось бы, имея современный NGFW, пользователь получает все современные механизмы защиты, такие как межсетевое экранирование, предотвращение вторжений, контентную фильтрацию, антивирусную защиту. Возникает вопрос в необходимости дополнительных функций, связанных с защитой DNS. Текущее распределение рынка на западе показывает, что DNS Security составляет около трети от объема рынка NGFW, и крупнейшие иностранные компании, такие как Cisco и CheckPoint, вкладывают большие средства в развитие своих DNS Protection продуктов. Стоит также отметить, что и сами атаки злоумышленников не стоят на месте, тем самым доказывая актуальность защиты от DNS-угроз. По статистике экспертов почти 88% компаний ежегодно подвергаются DNS-атакам, причем 33% таких атак можно предупредить на уровне DNS.Архитектура современных сетей такова, что без DNS невозможно обойтись. Это один из самых древних протоколов Интернета. Практически на всех сетевых устройствах открыт порт 53/UDP (порт DNS). Злоумышленники знают об этом и активно применяют данное взаимодействие, ведь технология устроена таким образом, что пакеты поступают без предварительной проверки, а активность по 53/UDP практически никогда не отслеживается. Злоумышленникам гораздо легче создать пачку доменов под свои цели и обновлять их по мере необходимости, чем поддерживать взаимодействие через IP. В целом, если смотреть на мировые практики ИБ (NIST и CISA), становится очевидным, что DNS ⎯ это первый уровень защиты контура.
Для обхода современных СЗИ, использующих методы фильтрации по белым и черным спискам, злоумышленники регистрируют в автоматическом режиме случайные домены с коротким временем жизни. Таким образом доменные имена не успевают попадать в списки запрещенных доменов, а, например, бот, который проник внутрь контролируемой сети, используя заложенный алгоритм перебора, находит живой домен и связывается со своим командным центром. Таким образом DNS потенциально позволяет связываться ботнету с устройствами, которые, по мнению владельцев, не имеют выхода в интернет.
Защита DNS с помощью SkyDNS
SkyDNS выделяет следующие категории угроз информационной безопасности: ботнеты, фишинговые сайты тайпсквоттинг, криптоджекинг, DGA (Domain Generation Algorithm), запаркованные домены, программы-вымогатели и вредоносные программы.К ключевым функциональным возможностям защиты DNS относят перехват пользовательских DNS-запросов и блокировку автоматических серверов, предоставляющих сервисы DoH (DNS over HTTPS), что препятствует обходу системы DNS-фильтрации как для злоумышленников, так и для внутренних устройств, действующих в обход единой системы DNS. SkyDNS дополнительно применяет методы обнаружения аномалий трафика и N-грамм анализ для выявления DGA-доменов, которые не попадают под классическую фильтрацию по черным спискам.
Помимо указанных категорий информационной безопасности SkyDNS предоставляет дополнительно 65 категорий контента и возможность блокировок приложений, экосистем и облачных сервисов. База категорированных ресурсов SkyDNS включает практически 99% видимой части интернета и обновляется каждый день. Также ежегодно база фильтрации SkyDNS проходит оценку независимых лабораторий, показывая менее 2% ложно положительных срабатываний. База содержит более 120 собственных бинарных классификаторов и языковых моделей. SkyDNS обрабатывает 10 языков с разными диалектами и развивает полноценную нейронную сеть под каждую категорию контента или информационной безопасности со своими внутренними классификаторами и параметрами.
Наполнение базы происходит благодаря машинному обучению по трафику пользователей и отпечатков собственных краулеров, поисковых роботов. SkyDNS интегрирован с ICANN («Корпорация по управлению доменными именами и IP-адресами») для получения новых зарегистрированных доменов в реальном времени, подвергаемых тщательному наблюдению, поскольку в любой момент на таком домен может появиться новый контент, инструмент злоумышленника. В базе категорированных ресурсов сохранены исторические данные о владельцах доменов, взаимосвязями между доменами и подсетями, благодаря чему каждый зафиксированный запрос обогащается полезными данными и связями к сторонним ресурсам. Запросы также анализируются по принадлежности к той или иной инфраструктуре. Такой подход позволяет предиктивно выявить угрозы безопасности, поскольку злоумышленники не всегда под новую атаку создают новую инфраструктуру. Таким образом домен, обратившийся к определенной инфраструктуре, помеченной как вредоносная, будет заблокирован автоматически.
Для защиты от туннелирования внутри DNS-трафика применяются алгоритмы, основанные на расстоянии Ливенштайна. SkyDNS на своей стороне формирует ту же выборку популярных запросов, что и злоумышленники, и сравнивает запросы пользователя со своей эталонной выборкой. Расстояние Ливенштайна как раз показывает, какие домены с большей долей вероятности маскируются под известные марки и бренды, такие пользовательские запросы могут быть смело заблокированы.
Как было сказано выше, еще одна интересная категория доменов — недавно зарегистрированные домены. Принято считать, что 70% новых доменов являются потенциально плохими. Конечно, можно превентивно блокировать недавно зарегистрированные домены, с высокой долей вероятности это не повлечет за собой негативных последствий для пользователей и критических сервисов. Тем не менее лучше работать на опережение, чтобы избежать как минимум ложных блокировок. В связи с этим SkyDNS собирает актуальные и ретроспективные данные: сформировать набор актуальных запросов от своей базы пользователей, получить информацию о новых зарегистрированных доменах в моменте, то есть большое количество регистраторов доменных зон. Далее строятся графы связанности, где необходимо сохранять предыдущие связи «домен-IP» и «домен- Name-сервер», а также владельцев доменов и даты их регистрации. На третьем этапе графы связанности сверяются с данными маршрутов, определяя, к какой сети идет обращение. Тем самым SkyDNS понимает, когда и кем был зарегистрирован домен, была ли ранее зафиксирована вредоносная активность по родительским ресурсам и на каких сетях это располагается. То есть по ассоциации подозреваемого домена с сетью злоумышленника можно выявить нижний домен фактически еще до регистрации самого домена. Отсюда можно сделать вывод, контролируется ли указанная сеть злоумышленниками. И все домены, которые будут зарегистрированы на сети злоумышленника, можно смело блокировать.
Дополнительно SkyDNS обеспечивает логирование всех входящих и исходящих запросов, обогащая данные для SIEM-системах, а также предоставляя удобные отчеты для расследования инцидентов.
Интеграция Ideco и SkyDNS
Модуль DNS Security в Ideco NGFW опирается на облачные сервисы SkyDNS. Ideco NGFW поддерживает простую в настройке интеграцию с сервисом SkyDNS с помощью настроек DNS-сервера на резолвер SkyDNS. В ближайшее время для повышения удобства пользователей планируется вывод настроек интеграции внутри центральной консоли Ideco Center. Важным преимуществом DNS-фильтрации является то, что ее можно внедрить практически за полчаса.SkyDNS зарекомендовал себя как отказоустойчивый сервис, поскольку основан на Anycast-системе с несколькими десятками локаций.
Ideco и SkyDNS имеют долгие и прочные партнерские связи — изначально являясь внутренним проектом Ideco, уже в 2011 году SkyDNS отделилась в самостоятельное юрлицо для более глубокого погружения в вопросы фильтрации контента в интернете, а с 2015 года развивает собственное направление машинного обучения. Последние три года компания предоставляет услугу DNS-безопасности, ежедневно фильтруя трафик от 10 миллионов активных устройств из 69 стран, в пике дающих до 40 тысяч запросов в секунду, и блокируя более 80 миллионов угроз в день. С уходом из России иностранных производителей в 2022 году, компания заняла лидирующие позиции на отечественном рынке в области защиты DNS. В настоящий момент Ideco и SkyDNS активно делятся между собой кейсами по безопасности и успешным опытом противодействия угрозам.
Ideco предоставляет 30 дней триала сервиса SkyDNS. Разворачивание сети выполняется быстро через перенастройку DNS-сервера. Уже на этапе пилота можно оценить, сколько запросов DNS выполняется внутри сети, сколько из них легитимных, нелегитимных, есть ли вредоносное воздействие внутри сети, и выстроить первой слой защиты корпоративного контура на базе DNS Protection и контентной фильтрации с применением дополнительных инструментов для мониторинга и расследования инцидентов. Сервис позволяет выявить активность ботнетов и незамедлительно оповестить о них администратора. SkyDNS также предоставляет огромное количество инструкций и гайдов по подключению для различных систем и сетей через сетевые устройства. SkyDNS поддерживает профилирование, позволяя настроить кастомизированные страницы блокировки, расписание фильтраций и политики фильтраций. В настоящее время разрабатывается новый механизм блокировки приложений (стоковой перечень содержит порядка 130 наименований). Стоит отметить, что эксперты SkyDNS рекомендуют блокировать доступ через VPN-сервисы.