DNSDR: früh erkennen, schnell reagieren

Steffen Eid - Infoblox,
Linkedin

Domain Name System Detection & Response soll Sichtbarkeit verbessern, Bedrohungen reduzieren und Angriffe früher stoppen, sagt Steffen Eid von Infoblox.

DNSDR kann als eine Weiterentwicklung des Extended Detection and Response (XDR)-Frameworks betrachtet werden: Es setzt direkt am ersten Verbindungspunkt für alle Netzressourcen an – dem Domain Name System (DNS). Das DNS erstreckt sich über das gesamte Unternehmen und verwaltet die Zuordnung von IP-Adressen in Doimainnamen. Alles, was sich im Netzwerk befindet oder sich mit ihm verbinden möchte, interagiert mit dem DNS – egal, ob E-Mails, Website-Verkehr, Geräte oder böswillige Akteure. Jeder Nutzer und jedes Gerät im System ist sichtbar und kann identifiziert werden. Das macht sich DNSDR zunutze: DNSDR filtert und blockiert alles Unerwünschte auf DNS-Ebene, bevor es das Unternehmensnetzwerk erreicht – und das, ohne dabei die Performance des Netzwerks einzuschränken.

Nach Payload Gerät fernsteuern und Daten filtrieren

Um die Funktionsweise zu veranschaulichen, ist es hilfreich, ein klassisches Angriffsszenario zu betrachten: Angreifer erstellen eine bösartige Payload und senden diese – beispielsweise über Spear-Phishing-Mails oder Smishing – an ihr Ziel. Klickt ein Mitarbeiter auf den Link, fordert das Gerät eine Verbindung mit dem Internet an, die Suche erfolgt über einen DNS-Server. Die Verbindung wird hergestellt. Sobald diese steht, wird die Payload heruntergeladen und auf dem Zielgerät ausgeführt. Die Malware ist in der Zielumgebung angekommen, die Angreifer können das Gerät fernsteuern und beispielsweise Daten filtrieren.

DNSDR kann den gesamten Angriffszyklus bereits im ersten Schritt unterbrechen – genau dann, wenn ein Benutzer oder Gerät versucht, eine Verbindung herzustellen. DNSDR erkennt das Ziel, mit dem sich der Endpunkt zu verbinden versucht, analysiert es und unterdrückt die Ziel-IP-Adresse – Verbindungen zu bösartigen Zielen werden effektiv blockiert. Rund 92 Prozent der Malware und Command-and-Control-Angriffe können über DNS identifiziert werden, wie eine Studie des Cybersecurity Directorate der National Security Agency (NSA) aus dem Jahr 2020 festgestellt hat.

Schutz auf vier Schutz-Ebenen

DNSDR arbeitet auf vier Ebenen und kann schützen, erkennen, identifizieren und reagieren:

  • Angriffspotenziale werden in einem frühen Stadium identifiziert.
  • Die Infrastruktur der Angreifer wird mithilfe von DNS-zentrierten Informationen identifiziert und blockiert.
  • Unbekannte, bösartige DNS wird mit Hilfe von Threat Intelligence und intelligenten Algorithmen erkannt.
  • DNS-Anfragen werden explizit zu einer Nutzer- oder Geräteaktivität zugeordnet, um eine schnelle Reaktion zu ermöglichen.
  • Behebungsempfehlungen und -maßnahmen werden automatisch über das Ökosystem mitgeliefert.

Dadurch wird das komplette Sicherheitssystem effizienter und der Schutz effektiver. DNSDR kann neben bekannten Phishing-Szenarien auch vor DGA (Domain Generation Algorithm = ein Programm, das große Mengen an Domainnamen generiert und Malware mit neuen Domains versorgt, um Sicherheitsmaßnahmen zu umgehen), Command-and-Control-Infrastrukturen, Malware, Ransomware und verdächtigen Domains schützen – und das mehrere Wochen oder Monate, bevor Standard-Sicherheitslösungen sie als böswillig erkennen. Durch Automatisierungen gelingt es der Software, Bedrohungsdaten, unbekannte Anwendungen, unbefugte Datenexfiltration und bösartiger DNS aufzuspüren und als verdächtig einzustufen.

Vorteile von DNSDR
  • Früheres Stoppen von Angriffen und Blockieren von Malware am ersten Verbindungspunkt
  • Schutz im gesamten Unternehmen (einschließlich Multi-Cloud-Umgebungen sowie Internet of Things und Operational Technology)
  • Erkennen von Angriffen, die andere Systeme übersehen, inklusive der Möglichkeit, Sicherheitslücken zu schließen
  • Reduzierter Datenverkehr und effizientere Nutzung des Netzwerks durch das Filtern unerwünschter Inhalte
  • Schnelle und einfache Benutzer- und Gerätezuordnung für eine schnellere Reaktion auf Bedrohungen
  • Automatisierte Behebungsempfehlungen über Ökosystemintegrationen
  • Effektiverer Schutz

Die rasanten Entwicklungen der letzten Jahre führen dazu, dass wir heute einer völlig neuen Bedrohungslage gegenüberstehen. Nicht nur die Technologien werden immer besser, sondern auch die Bedrohungsakteure. Es reicht nicht mehr aus, eine Bedrohung zu erkennen, wenn sie bereits da ist. Unternehmen müssen ihre Reaktionsfähigkeit verbessern. Glücklicherweise ermöglichen es DNSDR-Lösungen frühzeitig zu intervenieren.

 

Steffen Eid

ist Senior Manager Technical Sales für Central Europe bei Infoblox.