Bezpieczna firma w internecie = zabezpieczony DNS.

Bezpieczna firma w internecie = zabezpieczony DNS. Krótki przewodnik, co to jest i dlaczego jest pierwszym krokiem do osiągnięcia cyberbezpieczeństwa w firmie.

Jeśli jesteś jak większość ludzi, prawdopodobnie nie zwracasz uwagi na DNS lub nie martwisz się o inwestowanie w bezpieczeństwo warstwy DNS. W końcu cechą charakterystyczną dobrze funkcjonujących serwerów DNS jest ich niewidoczność. Ale ta niewidzialność ma swój lukę.

Ponieważ większość organizacji nie zawraca sobie głowy zabezpieczaniem warstwy DNS, hakerzy często wykorzystują ją do przeprowadzania cyberataków. W dzisiejszym artykule zagłębimy się w system nazw domen — czym jest, jak działa i jak inwestowanie w zabezpieczenia warstwy DNS może pomóc zmienić bezpieczeństwo sieci na lepsze.

Podstawy DNS

Zanim przejdziemy do bezpieczeństwa warstwy DNS, ważne jest, aby zrozumieć podstawy systemu nazw domen. Ludzie często określają DNS jako "książkę telefoniczną Internetu".
 Dzieje się tak, ponieważ każde urządzenie w Internecie - od komputera osobistego po serwery hostujące strony internetowe - posiada adres protokołu internetowego (IP), który składa się z unikalnej serii liczb. Połączenie z innym urządzeniem wymaga znajomości powiązanego z nim adresu IP, podobnie jak połączenie z innym telefonem wymaga znajomości powiązanego z nim numeru telefonu.  Jeśli masz te informacje pod ręką, możesz wpisać adres IP bezpośrednio do przeglądarki.

Na przykład, jeśli wiesz, że adres IP witryny Cisco Umbrella to 67.215.70.40, możesz użyć tego adresu, aby połączyć się bezpośrednio z naszą witryną. Jednak prawdopodobnie znacznie prościej byłoby wpisać adres umbrella.cisco.com. System nazw domenowych został wymyślony, aby ludzie nie musieli pamiętać długich adresów IP. Zamiast tego mogą odwiedzać witryny używające przyjaznych dla człowieka nazw, takich jak umbrella.cisco.com.

  A ponieważ w Internecie jest zbyt wiele witryn, aby komputer mógł przechowywać pełną listę odpowiadających im nazw domen i adresów IP, zadanie to zleca się wyznaczonym serwerom DNS. Prawdopodobnie korzystasz z DNS tysiące razy dziennie, nie wiedząc o tym - za każdym razem, gdy łączysz się z witryną internetową, otwierasz aplikację w telefonie komórkowym lub aktualizujesz oprogramowanie, Twoje urządzenie przeszukuje serwery DNS, aby znaleźć adres IP powiązany z domeną. Dlatego też często nazywamy DNS fundamentem Internetu.

Rekursywne i autorytatywne serwery DNS, czyli o tym jak kompleksowo zabezpieczyć DNS.

Szukając informacji na temat rozwiązań zabezpieczających warstwę DNS szybko przekonasz się, że występują one w dwóch odmianach: rekurencyjne i autorytatywne zabezpieczenia DNS.

Zrozumienie różnicy pomiędzy tymi dwoma opcjami wymaga nieco więcej wiedzy o tym, jak działa system nazw domen. Wróćmy na chwilę do naszej analogii z książką telefoniczną

Wyobraź sobie, że siadasz przy komputerze i wpisujesz do przeglądarki adres umbrella.cisco.com. Twoja przeglądarka potrzebuje kopii książki telefonicznej, aby znaleźć odpowiedni adres IP dla tej domeny, więc:

1) Twój komputer łączy się z rekurencyjnym serwerem DNS (czasami nazywanym resolverem DNS). Istnieją tysiące rekurencyjnych serwerów DNS na całym świecie, a większość użytkowników polega na resolverach dostarczonych przez ich dostawcę usług internetowych lub komórkowych.

2) Twój komputer pyta rekurencyjny serwer DNS: "Jaki jest adres IP przypisany do umbrella.cisco.com?".

3) Rekursywny serwer DNS łączy się z autorytatywnym serwerem DNS, który przechowuje kopię książki telefonicznej pasującą do adresu IP witryny Cisco Umbrella z powiązaną z nim nazwą domeny.

4) Autorytatywny serwer DNS wysyła właściwy adres IP do rekurencyjnego serwera DNS, który wysyła informacje z powrotem do komputera (i przeglądarki), który je zażądał.

5) Komputer łączy się z serwerem Cisco Umbrella przy użyciu adresu IP, umożliwiając załadowanie strony internetowej.

Cały proces przebiega zwykle tak szybko, że użytkownicy nie zauważają go, chyba że coś pójdzie nie tak. Problemy z DNS zauważamy zwykle w sytuacjach awarii serwera DNS, która uniemożliwi użytkownikom połączenie się ze stronami internetowymi lub znacznie wydłuży ich czas ładowania. Choć powyższe scenariusze mogą być dokuczliwe dla użytkowników a nawet wpływać na działanie firmy, nie doszliśmy jeszcze do kluczowych kwestii bezpieczeństwa związanego z DNS

Czy serwery DNS są bezpieczne?

Można by pomyśleć, że system, który funkcjonuje jako podstawa łączności internetowej, będzie zaprojektowany z myślą o bezpieczeństwie cybernetycznym. Niestety, tak nie jest. Jeśli nie posiadasz rozwiązania dedykowanemu zabezpieczeniu warstwy DNS, istnieje prawdopodobieństwo, że żadne z rozwiązań w Twoim systemie bezpieczeństwa nie sprawdza nawet aktywności DNS.

 W większości przypadków pakiety DNS - które zazwyczaj zawierają informacje o adresach IP - wchodzą do sieci przez odblokowane porty bez uprzedniego sprawdzenia ich przez protokoły bezpieczeństwa. Ponadto, aktywność DNS w sieci prawie nigdy nie jest monitorowana.   To sprawia, że warstwa DNS staje się idealnym punktem do wykorzystania przez cyberprzestępców. Wiele z dzisiejszych wyrafinowanych ataków opiera się na aktywności DNS. Malware, ransomware, phishing i inne oszustwa często wykorzystują DNS do zbudowania infrastruktury używanej do wsparcia kolejnych etapów cyberataku.  Na przykład:

Na przykład:

Ataki typu phishing: Ataki phishingowe to próby oszukania użytkowników poprzez podszywanie się pod znane instytucje finansowe lub firmy i przekierowywanie ich na fałszywe strony internetowe w celu wykradzenia poufnych informacji
Przekierowywanie DNS (DNS spoofing): Atak ten polega na manipulowaniu informacjami DNS, tak aby przekierować użytkownika na fałszywe strony internetowe, co może prowadzić do pobierania złośliwego oprogramowania lub kradzieży danych.
Złośliwe oprogramowanie (malware): Ataki malware polegają na infekowaniu komputerów i innych urządzeń złośliwym oprogramowaniem, które może służyć do kradzieży poufnych informacji lub przejęcia kontroli nad systemem.
Ataki DDoS: Ataki DDoS (rozproszony atak odmowy usługi) mają na celu przeciążenie serwera lub sieci poprzez wysyłanie wielu żądań jednocześnie, co prowadzi do zakłóceń w dostępie do zasobów sieciowych.
Zaufanie do niezaufanych źródeł: Korzystanie z niezaufanych źródeł może prowadzić do pobierania złośliwego oprogramowania lub dostępu do fałszywych stron internetowych, co może prowadzić do kradzieży danych lub infekowania urządzeń złośliwym oprogramowaniem.
DNS Cache Poisoning: DNS Cache Poisoning to atak na serwer DNS, w którym zostają wprowadzone fałszywe informacje w cache serwera DNS. To może prowadzić do przekierowywania użytkowników na fałszywe strony internetowe

Wszystkie te zagrożenia mogą wpłynąć na bezpieczeństwo użytkowników sieci i prowadzić do kradzieży danych lub infekowania urządzeń złośliwym oprogramowaniem. Dlatego też zabezpieczenie DNS jest bardzo ważne dla bezpieczeństwa sieci i prywatności użytkowników. Co zatem możesz zrobić, aby zabezpieczyć aktywność DNS w swojej sieci?

Jak bezpieczeństwo warstwy DNS pomaga powstrzymać cyberataki

Ponieważ cała aktywność w Internecie jest realizowana przez DNS, już samo monitorowanie zapytań DNS - jak również późniejszych połączeń IP – może znacznie pomóc w podniesieniu poziomu bezpieczeństwa. Wprowadzenie protokołów bezpieczeństwa w celu oznaczenia anomalii w aktywności DNS może wesprzeć lepsze wykrycie złośliwej aktywności i określenie podatności systemów na zagrożenia, a przez to wzmocnić ochronę sieci.

 W kolejnym kroku usprawniania zabezpieczeń, możesz nawiązać współpracę z dostawcą zaufanych serwerów DNS, który pozwoli komputerom w Twojej sieci korzystać z zastrzeżonych rekurencyjnych serwerów DNS. Dostawca skonfiguruje te serwery w taki sposób, aby identyfikowały niebezpieczną aktywność DNS i wdrażały protokoły bezpieczeństwa, które blokują szkodliwe połączenia DNS. Nic nie powstrzymuje ataków wcześniej niż zabezpieczenia warstwy DNS. W końcu DNS jest pierwszym krokiem do nawiązania połączenia w Internecie. Jeśli niebezpieczne połączenie zostanie zablokowane w warstwie DNS, atak zatrzymuje się w tym miejscu.

Rysunek 1. Niebieskie tarcze pokazują, gdzie zabezpieczenia warstwy DNS zatrzymują komunikację napastników

Na powyższym rysunku widać, jak zabezpieczenia warstwy DNS identyfikują miejsca, w których przechowywane są złośliwe domeny i inne niebezpieczne elementy używane przez hakerów. Bezpieczne serwery DNS blokują żądania pochodzące z tych miejsc zapobiegając w ten sposób zarówno próbom infiltracji, jak i eksfiltracji. Zabezpieczenie warstwy DNS zatrzymuje złośliwe oprogramowanie wcześniej i zapobiega połączenie z atakującymi, gdy zainfekowane maszyny próbują łączyć się z Twoją siecią.

Dlaczego warto wybrać Cisco Umbrella dla bezpieczeństwa warstwy DNS?

Cisco Umbrella – rozwiązanie znane wcześniej jako OpenDNS – zaczynało właśnie od świadczenia usług rekurencyjnego DNS dla organizacji poszukujących niezawodnej, bezpiecznej, inteligentnej i szybkiej łączności internetowej. Dzięki temu sieć rekurencyjnego DNS Cisco Umbrella może pochwalić się niesamowitą odpornością i 100% czasem sprawności od 2006 roku. Ponad 30 naszych centrów danych na całym świecie korzysta z routingu Anycast, dzięki czemu żądania DNS są w przejrzysty sposób wysyłane do najszybszego dostępnego centrum danych z automatycznym przełączaniem awaryjnym. Cisco Umbrella zapewnia szybką i niezawodna łączność internetowa, ale tym co wyróżnia to rozwiązanie to właśnie bezpieczeństwo w warstwie DNS.

Jako wiodący dostawca zabezpieczeń sieciowych i bezpiecznych usług rekurencyjnego DNS, Cisco Umbrella zapewnia najszybszy i najskuteczniejszy sposób poprawy pakietu zabezpieczeń. Niezależnie od tego, czy prowadzisz małą firmę bez dedykowanych specjalistów ds. bezpieczeństwa, czy międzynarodowe przedsiębiorstwo o złożonym środowisku, wdrożenie naszego rozwiązania w zakresie bezpieczeństwa warstwy DNS zajmuje zaledwie kilka minut. Oznacza to, że w ciągu kilku minut możesz zyskać nową warstwę ochrony przed naruszeniami i widoczność w Internecie zarówno w Twojej sieci, jak i poza nią.

Oto trzy korzyści, jakie można odnieść, stosując zabezpieczenia oparte na Cisco Umbrella DNS:

1. Możliwość blokowania zagrożeń, zanim dotrą do użytkownika

Tradycyjne urządzenia zabezpieczające i brokerzy muszą czekać, aż złośliwe oprogramowanie dotrze do obwodu (perimeter) lub punktu końcowego, zanim będą mogli je wykryć lub zapobiec. Jednak dzięki egzekwowaniu zabezpieczeń w warstwie DNS, Cisco Umbrella zatrzymuje zagrożenia zanim dotrą do sieci lub punktów końcowych.

Cisco Umbrella analizuje i uczy się na podstawie wzorców aktywności internetowej, automatycznie odkrywając infrastrukturę hakerską przygotowaną pod kątem obecnych i pojawiających się zagrożeń. Dzięki temu nasze rozwiązanie może proaktywnie blokować żądania dostępu do złośliwych miejsc w sieci, zanim jeszcze zostanie nawiązane połączenie lub pobrany złośliwy plik. Cisco Umbrella może również powstrzymać zagrożone systemy przed przenoszeniem danych za pomocą wywołań zwrotnych typu command and control (C2) do infrastruktury botnetu, przez dowolny port lub protokół.

W przeciwieństwie do urządzeń, nasza platforma bezpieczeństwa w chmurze chroni urządzenia zarówno w sieci korporacyjnej, jak i poza nią. W przeciwieństwie do brokerów, ochrona warstwy DNS, jaką oferuje Cisco Umbrella, rozciąga się na każde urządzenie podłączone do sieci - nawet IoT (czyli np. kamery czy sensory). Ponieważ wszystkie urządzenia podłączone do Internetu korzystają z rekurencyjnych usług DNS, Cisco Umbrella może być wdrożone wszędzie.

2. Możliwość wykorzystania mocy uczenia maszynowego
Cisco Umbrella wykorzystuje uczenie maszynowe do wyszukiwania, identyfikowania, a nawet przewidywania złośliwych domen. Dzięki uczeniu się na podstawie wzorców aktywności internetowej to rozwiązanie zabezpieczające warstwę DNS może automatycznie identyfikować infrastrukturę napastników, która jest przygotowywana do kolejnego ataku. Domeny te są następnie proaktywnie blokowane, chroniąc Twoją sieć przed potencjalnym zagrożeniem. Analizujemy terabajty danych w czasie rzeczywistym na wszystkich rynkach, w różnych regionach geograficznych i przy użyciu różnych protokołów. Ta różnorodność zapewnia wgląd w cały internet:

- Skąd pochodzą zagrożenia
- Kto je uruchamia
- Gdzie się odbywają
- Jak bardzo są rozpowszechnione
- Kiedy zostały zauważone po raz pierwszy i ostatni
- ...i wiele więcej

Łączymy ludzką inteligencję z trójwymiarowymi wizualizacjami, aby uczyć się nowych wzorców. Następnie stosujemy modele statystyczne do kategoryzowania tych wzorców, wykrywania anomalii i automatycznego identyfikowania znanych i pojawiających się zagrożeń.

Rysunek 2: Jak działa model uczenia maszynowego Cisco Umbrella

Modele statystyczne Cisco przewidują, które domeny i adresy IP mogą zostać wykorzystane do ataków, często przed jakimkolwiek innym dostawcą rozwiązań cyberbezpieczeństwa. Na przykład jeden z modeli wykorzystuje przetwarzanie języka naturalnego do wykrywania nazw domen, które fałszują marki i terminy techniczne w czasie rzeczywistym (cs.co/NLPRank). Inny wykorzystuje koncepcje analizy fal dźwiękowych do wykrywania domen, które mają nagłe skoki w swoich wzorcach żądań DNS (cs.co/SPRank).

3. Możliwość usprawnienia reakcji na incydenty i prowadzenia dochodzeń

Cisco Umbrella rejestruje całą aktywność DNS - zarówno normalną, jak i złośliwą - co ułatwia prowadzenie śledztw dotyczących ataków. Nasze bezpieczne rozwiązanie DNS zmniejsza również liczbę infekcji i alarmów otrzymywanych z innych produktów zabezpieczających poprzez zatrzymywanie zagrożeń na najwcześniejszym etapie. Rozwiązanie Cisco Threat Response automatyzuje integrację między produktami firmy Cisco, co pozwala na jeszcze szybsze udzielanie odpowiedzi.

Konsola Cisco Umbrella Investigate i interfejs API zapewniają kontekst w czasie rzeczywistym dotyczący złośliwego oprogramowania, phishingu, botnetów i innych zagrożeń. Umożliwia to szybsze badanie i reagowanie na incydenty. Wyobraź sobie, że masz w swoim zespole ponad 300 badaczy bezpieczeństwa - to właśnie otrzymujesz dzięki Cisco Talos threat intelligence, które jest wbudowane w Cisco Umbrella. Nie tylko my mówimy o skuteczności naszych zabezpieczeń warstwy DNS - badania AV-TEST innych firm wykazały, że Cisco Umbrella jest liderem w branży bezpiecznych rozwiązań DNS.

Czy jesteś gotowy, aby zabezpieczyć swoje działania w warstwie DNS?

Cyberbezpieczeństwo dla małych i średnich przedsiębiorstw

W Polsce małe i średnie przedsiębiorstwa często ignorują kwestie cyberbezpieczeństwa, uważając, że ich firma jest zbyt mała, aby stać się celem ataków hakerów, lub uznając pomysł wprowadzenia kompleksowych rozwiązań za zbyt skomplikowany i drogi. Jednak każdej firmie powierza się poufne informacje, jeśli znajdą się w niewłaściwych rękach, mogą doprowadzić dla katastrofalnych skutków dla organizacji lub jej klientów. Dlatego inwestowanie w platformę bezpieczeństwa będzie chronić nie tylko codzienne działanie firmy, ale również jej reputację. Jeśli chcesz dowiedzieć się więcej, "Cyberbezpieczeństwo dla Liderów Biznesu" jest doskonałym źródłem wiedzy.

Inicjatywa Akademii IT ALSO ma na celu zwiększenie świadomości na temat znaczenia cyberbezpieczeństwa oraz dostarczenie niezbędnych narzędzi i zasobów do zabezpieczenia sieci przed cyberzagrożeniami dla małych i średnich przedsiębiorstw w Polsce.

ALSO Polska - oferuje kompleksowy zakres rozwiązań i usług z zakresu cyberbezpieczeństwa, w tym doradztwo, konsulting i wsparcie, aby pomóc firmom każdej wielkości wyprzedzić stale zmieniający się krajobraz zagrożeń. Dzięki firmie ALSO Polska przedsiębiorstwa z Polski mogą mieć pewność, że otrzymują najwyższej klasy wiedzę z zakresu bezpieczeństwa cyfrowego, aby chronić swoje cenne dane i reputację.

AKADEMIA IT ALSO
CYBERSECURITY DLA LIDERÓW

Strona główna

Raporty

Artykuły

Webinary

Przewodniki