DNSDR kann als eine Weiterentwicklung des Extended Detection and Response (XDR)-Frameworks betrachtet werden: Es setzt direkt am ersten Verbindungspunkt für alle Netzressourcen an – dem Domain Name System (DNS). Das DNS erstreckt sich über das gesamte Unternehmen und verwaltet die Zuordnung von IP-Adressen in Doimainnamen. Alles, was sich im Netzwerk befindet oder sich mit ihm verbinden möchte, interagiert mit dem DNS – egal, ob E-Mails, Website-Verkehr, Geräte oder böswillige Akteure. Jeder Nutzer und jedes Gerät im System ist sichtbar und kann identifiziert werden. Das macht sich DNSDR zunutze: DNSDR filtert und blockiert alles Unerwünschte auf DNS-Ebene, bevor es das Unternehmensnetzwerk erreicht – und das, ohne dabei die Performance des Netzwerks einzuschränken.
Um die Funktionsweise zu veranschaulichen, ist es hilfreich, ein klassisches Angriffsszenario zu betrachten: Angreifer erstellen eine bösartige Payload und senden diese – beispielsweise über Spear-Phishing-Mails oder Smishing – an ihr Ziel. Klickt ein Mitarbeiter auf den Link, fordert das Gerät eine Verbindung mit dem Internet an, die Suche erfolgt über einen DNS-Server. Die Verbindung wird hergestellt. Sobald diese steht, wird die Payload heruntergeladen und auf dem Zielgerät ausgeführt. Die Malware ist in der Zielumgebung angekommen, die Angreifer können das Gerät fernsteuern und beispielsweise Daten filtrieren.
DNSDR kann den gesamten Angriffszyklus bereits im ersten Schritt unterbrechen – genau dann, wenn ein Benutzer oder Gerät versucht, eine Verbindung herzustellen. DNSDR erkennt das Ziel, mit dem sich der Endpunkt zu verbinden versucht, analysiert es und unterdrückt die Ziel-IP-Adresse – Verbindungen zu bösartigen Zielen werden effektiv blockiert. Rund 92 Prozent der Malware und Command-and-Control-Angriffe können über DNS identifiziert werden, wie eine Studie des Cybersecurity Directorate der National Security Agency (NSA) aus dem Jahr 2020 festgestellt hat.
DNSDR arbeitet auf vier Ebenen und kann schützen, erkennen, identifizieren und reagieren:
Dadurch wird das komplette Sicherheitssystem effizienter und der Schutz effektiver. DNSDR kann neben bekannten Phishing-Szenarien auch vor DGA (Domain Generation Algorithm = ein Programm, das große Mengen an Domainnamen generiert und Malware mit neuen Domains versorgt, um Sicherheitsmaßnahmen zu umgehen), Command-and-Control-Infrastrukturen, Malware, Ransomware und verdächtigen Domains schützen – und das mehrere Wochen oder Monate, bevor Standard-Sicherheitslösungen sie als böswillig erkennen. Durch Automatisierungen gelingt es der Software, Bedrohungsdaten, unbekannte Anwendungen, unbefugte Datenexfiltration und bösartiger DNS aufzuspüren und als verdächtig einzustufen.
Die rasanten Entwicklungen der letzten Jahre führen dazu, dass wir heute einer völlig neuen Bedrohungslage gegenüberstehen. Nicht nur die Technologien werden immer besser, sondern auch die Bedrohungsakteure. Es reicht nicht mehr aus, eine Bedrohung zu erkennen, wenn sie bereits da ist. Unternehmen müssen ihre Reaktionsfähigkeit verbessern. Glücklicherweise ermöglichen es DNSDR-Lösungen frühzeitig zu intervenieren.
ist Senior Manager Technical Sales für Central Europe bei Infoblox.
Ein elementarer Bestandteil einer effektiven Cloud-Strategie ist nach erfolgter Implementierung die künftige Verwaltung des Dienstes.
Die Neuerungen sollen den Digital Thread, die Low-Code-Entwicklung, die Visualisierung komplexer Baugruppen und das Lieferantenmanagement…
Eine Bitkom-Umfrage attestiert der Datenraum-Initiative des Bundes hohe Bekanntheit in der Industrie. Doch noch ist…
Ransomware-as-a-Service ist ein lukratives Geschäft und in den Händen professionell organisierter Gruppen. Jetzt können Kriminelle…
Bad Bots richten nicht nur wirtschaftlichen Schaden an. Laut dem Bad Bot Report von Imperva…
Studie von OVHcloud verdeutlicht Stellenwert von Datenresidenz und Datensouveränität bei KI-Anwendungen.