Что такое DNS, и как оно может помочь в борьбе с киберугрозами

Какие технические средства можно использовать для дополнительной защиты своей компании от сторонних атак.

ИТ-безопасность — важный компонент в стратегии компании. Так или иначе, все стали гораздо серьезнее относиться к борьбе с киберугрозами, стали выделять средства для этого. Некоторые впервые подняли на своих периметрах первые файерволлы, взрослые компании наконец-то завершили внедрение микросегментации сети, а зрелые компании начали интересоваться “Почем там стоит построить SOC?”.

Но давайте представим, что мы четверть трафика в своей корпоративной сети не видим вообще. Эти данные не проходят через наши средства защиты периметра, не фильтруются, не анализируются. “Такого быть не может”, скажут многие, но исследовательская компания Gartner с ними не согласится. По прогнозам Gartner, уже в этом году 25% трафика обойдет защиту периметра — из-за развития технологий, появления мобильных сотрудников, сервисов в облаках и филиалов с локальным подключением в Интернет.

В 2019 году из этих оставшихся 75% три четверти будут зашифрованы, а из оставшихся 25% четверть вообще не будет проходить через периметр безопасности. Это уже NSS Labs провела исследование и спрогнозировала долю незашифрованного web-трафика. Есть, конечно, способы расшифровать и проверить этот трафик особенно внутри компании. Но есть и другой способ защиты.

Как вы отнесетесь к возможности устранить угрозу до ее появления? Уберечь пользователя от захода на опасный сайт, еще до того, как сработает антивирус, отработают все компоненты защиты периметра?

Как это реализовать? Первое, к чему обращается браузер при запросе любого сайта — это DNS. Именно благодаря ему, единственное, что мы должны помнить для захода на сайт нашей компании SI BIS — это имя “sibis.com.ua”, а не набор цифр, к примеру, 89.184.92.192. То есть это сервис, который знает, куда идет пользователь еще до того, как он туда дойдет. И если оснастить этот сервис интеллектом, позволяющим не пускать пользователя с обрыва в пропасть вирусов, это было бы полезно. Если эта служба будет работать для всех корпоративных компьютеров, 24 часа в сутки, вне зависимости от местоположения пользователя, — было бы идеально.

Такая служба есть. Продукт Cisco Umbrella может гораздо больше, чем просто не пустить пользователя на “плохой” сайт. Он может предотвращать заход на подозрительные домены, созданные тайпсквоттерами (это когда регистрируют домены в надежде, что человек может “промахнуться” на клавиатуре). Может блокировать нежелательные категории сайтов, создавать свои черные или белые списки, интегрироваться с другими средствами безопасности, системами анализа. Umbrella подменяет собой внутренний DNS-сервер и все запросы проходят через него. Каждый запрос пересылается в облачную часть службы и анализируется. При этом на компьютерах пользователей ничего не нужно устанавливать и настраивать — они работают, как и раньше.

Поделюсь личным опытом. В 2016 году случилась масштабная атака на одну организацию. Она была таргетированной, направленной именно на эту организацию. И как большинство таких атак, оказалась успешной — довольно большое количество компьютеров в сети оказались зараженными. Оперативно определить, какие именно компьютеры заражены, не представлялось возможным. Мы установили тестовую версию Cisco Umbrella.

В течении пары часов были выявлены почти все зараженные компьютеры. Нашли их по их обращениям к известным командным центрам ботнетов. После переустановки операционных систем и приложений на этих компьютерах подозрительные запросы исчезли. Помониторили еще несколько дней, и выявили еще несколько зараженных машин, эти были заражены другим трояном, который опрашивал свой командный центр гораздо реже. В итоге нашли и обезвредили все зараженные станции.

Разумеется, этот продукт не единственный на рынке для защиты DNS, есть бесплатные сервисы. Например, дома я использую бесплатный OpenDNS, недавно IBM анонсировали свой сервис защиты DNS Quad9.

К уже широко известным антивирусам, песочницам и защите периметра, средства защиты DNS добавляют новый уровень к безопасности. Это комплекс технических средств, который должен дополнять комплекс организационных мер, таких например, как обучение персонала правилам кибер-гигиены относительно перехода по подозрительным ссылкам.