fbpx

Czym jest tunelowanie DNS i jak je zatrzymać?

Udostępnij

Flubot wykorzystuje tunelowanie DNS

Rozprzestrzeniał się cicho, niewidocznie i bez poszanowania granic. Przenosił się z Androida na Androida, uzyskując dostęp do listy kontaktów każdego urządzenia, aby zwiększyć skalę cyberataku.

Niedawno, rządy na całym świecie rozbiły infrastrukturę stojącą za tym atakiem, nazwaną FluBot. Zanim go powstrzymali, analitycy bezpieczeństwa ujawnili kluczową część sukcesu tego ataku – wykorzystanie tunelowania DNS do ukrycia swojej infrastruktury C2.
Czym są ataki tunelowania DNS, jakie są wyzwania związane z wykrywaniem i opcje ograniczania tego ryzyka w Twojej firmie?

Co to jest tunelowanie DNS?

System nazw domen lub DNS (Domain Main System) to protokół, który tłumaczy łatwe do zrozumienia nazwy domen lub adresy URL na adresy IP, używane przez komputery do kierowania ruchu do określonego miejsca docelowego. Ataki tunelowania DNS wykorzystują i nadużywają protokołu DNS, umożliwiając złośliwemu oprogramowaniu z zainfekowanych komputerów, implementację kanałów komunikacji, które ustanawiają mechanizmy C2, między zaatakowanym hostem a serwerem atakującego. Ta eksploatacja wygląda na legalny ruch, ale może ukryć eksfiltrację danych, wykorzystywaną w atakach ransomware.

Jak powszechne są ataki tunelowania DNS?

Ataki tunelowania DNS istnieją od dłuższego czasu, jednak od czasu pandemii COVID-19 zaobserwowano dramatyczny wzrost. W raporcie IDC Global DNS Threat Report z 2021 r. stwierdzono, że 87% uczestników ankiety — w tym menedżerów sieci, specjalistów ds. bezpieczeństwa IT, decydentów i wpływowych osób — doświadczyło jakiejś formy ataku DNS w ciągu ostatnich 12 miesięcy, co stanowi wzrost o 8% w porównaniu z zeszłorocznym raportem. Podkreśla to potrzebę wzmocnienia bezpieczeństwa DNS, ponieważ przedsiębiorstwa coraz bardziej polegają na pracownikach zdalnych i programach „bring your own device”.

Dlaczego tunelowanie DNS jest trudne do wykrycia?

Ataki tunelowe DNS to ciche zagrożenia, które mogą stać się częścią poważnego incydentu, z jednym z najwyższych wskaźników średniego czasu wykrycia spośród różnych metod cyberataków. Zespoły SOC (centrum operacji bezpieczeństwa) często potrzebują kilku miesięcy, aby zdać sobie sprawę z eksfiltracji danych spowodowanej atakami tunelowania DNS, ponieważ atakujący mogą wtopić się w oczekiwany ruch sieciowy, aby uniknąć zauważenia.

Atak łańcucha dostaw, którego celem byli klienci SolarWinds, został po raz pierwszy ujawniony w grudniu 2020 r., ale analiza wykazała, że najwcześniejsza modyfikacja oprogramowania miała miejsce w październiku poprzedniego roku. Jest to przykład, ile czasu może potrwać wykrycie ataków wykorzystujących tunelowanie DNS. Ataki te są wyrafinowane i wymagają równie specjalistycznego podejścia do wczesnego wykrywania i ostrzegania.

4 strategie ograniczania ryzyka tunelowania DNS

Oto kilka przydatnych strategii zmniejszających ryzyko, że Twoja organizacja stanie się ofiarą tunelowania DNS:

1. Przyjmij zasady zerowego zaufania

Podejście do zabezpieczeń o zerowym zaufaniu zwalczają ataki tunelowania DNS poprzez domyślną postawę „odmowy”, która może znacznie zmniejszyć ryzyko, ponieważ traktuje wszystkich użytkowników w sieci i poza nią jako potencjalne zagrożenie.

Zazwyczaj żądania DNS mogą przechodzić przez zaporę. Jednak przy zerowym zaufaniu Twoja organizacja może stosować zasady listy kontroli dostępu (ACL), jako mechanizm egzekwowania. W tym momencie możesz odkryć podejrzane zachowanie. Problemy zero-day można również zatrzymywać, blokować i rozwiązywać. Obejmuje to zagrożenia wewnętrzne, które próbują wykraść dane.

2. Wybierz szczegółową kontrolę dostępu

Podstawą bezpieczeństwa sieci jest kontrola dostępu — nierozłączna część zerowego zaufania. Razem tworzą granicę dostępu opartą na tożsamości i kontekście. Zmniejsza to obszar ataku i wzmacnia bezpieczeństwo DNS.

3. Zawieraj AI/ML

Gartner przewiduje, że do 2035 r. 90% wykrywania i 60% reakcji na cyberataki będzie obsługiwana przez sztuczną inteligencję.

„Skala i szybkość ataków wzrośnie kilkukrotnie. Sztuczna inteligencja (programy) będzie klasyfikować te ataki i podnosić alarm dopiero po osiągnięciu określonego progu, umożliwiając zespołowi ds. cyberbezpieczeństwa skoncentrowanie się na atakach, które mają znaczenie” – powiedział wybitny analityk VP Gartnera- Andrew Walls.

Model AI również poprawia wrażenia użytkownika, przyspieszając wykrywanie i automatyzując reakcję przy mniejszej liczbie ręcznej interwencji.

 4. Stale oceniaj warunki bezpieczeństwa

Ustal warunki bezpieczeństwa dla dostępu „dokładnie na czas” i „dostatecznie wystarczająco”, z możliwością dynamicznego dostosowywania zasad kontroli dostępu. Nowoczesne cyberataki nieustannie rosną na sile, więc organizacje również muszą nieustannie podnosić swoje bezpieczeństwo. Polityka zerowego zaufania stwarza również możliwość lepszego dostosowania NetOps, SecOps i ITOps, ponieważ wdrożenie jest wysiłkiem między funkcyjnym.

Dostęp do sieci o zerowym zaufaniu i zaawansowane zagrożenia

Jeśli planujesz lub wdrażasz podejście zerowego zaufania, powinieneś rozważyć rozwiązanie Zero Trust Network Access (ZTNA), które umożliwia wykrywanie tunelowania DNS i innych nowoczesnych zagrożeń typu Flubot, przy użyciu zaawansowanych technik uczenia maszynowego w celu identyfikacji ryzyka w sieci.

Jak to rozwiązanie wykrywa tunelowanie DNS? Znajduje się w ścieżce danych, gdzie może monitorować i analizować ruch w celu wykrycia nietypowego zachowania. Utrzymuje również obszerną listę podejrzanych domen, z których korzystają cyberprzestępcy i monitoruje aktywność DNS w niezaufanych miejscach docelowych.

Za kulisami rozwiązania ZTNA, z przewidywaniem przyszłych realizacji, przy wsparciu sztucznej inteligencji, przeprowadzana jest analiza statystyczna i wykrywanie tunelowania, oparte na uczeniu maszynowym, na podstawie informacji przesyłanych przez kanał C2, aby wykrywać wyróżniające się wartości i ostrzegać administratorów za pomocą alertów tunelowania DNS. Alerty te dostarczają niezbędnych szczegółów zdarzenia, w tym nazwy serwerów używanych w ataku dla każdego żądania DNS.

W celu poprawy stanu bezpieczeństwa firma BlackBerry zaleca, aby oprócz zasad kontroli dostępu, organizacje rozważyły wdrożenie filtrowania treści i reguł opartych na ryzyku, aby wyprzedzić cyberprzestępców. Na przykład struktura listy kontroli dostępu CylanceGATEWAY oferuje pojedynczy zintegrowany przepływ pracy, którego administratorzy sieci mogą używać do definiowania akcji (zezwalaj/nie zezwalaj), dostępu (miejsce docelowe) i powiązania (użytkownik/ryzyko).

Jak zabezpieczyć system DNS?

CylanceGATEWAY jest rozwiązaniem klasy Zero Trust Network Access bazującym na sztucznej inteligencji. Umożliwia bezpieczny zdalny dostęp do zasobów z dowolnego urządzenia i miejsca. Zapewnia skalowany dostęp wyłącznie dla ruchu wychodzącego dla dowolnej aplikacji, pozwalając na ukrycie krytycznych zasobów przed nieautoryzowanym dostępem, minimalizując powierzchnię ataku.

Zminimalizuj ryzyko swojej sieci!