Protocolul DNS (Domain Name System) a fost creat pentru a conecta, si nu pentru a proteja. Scopul sau este sa conecteze utilizatori cu site-uri web sau cu aplicatii intr-un mod rapid si corect, si DNS reprezinta o componenta fundamentala a Internetului. Noi folosim DNS-ul de mii de ori pe parcursul unei zile fara sa constientizam acest lucru, de fiecare data cand accesam un site, cand deschidem o aplicatie pe telefon, cand facem update-uri de software, backup-uri de sistem/fisiere sau sincronizari cu servicii cloud. Folosim DNS ca o agenda telefonica atunci cand vrem sa accesam o resursa: dispozitivul nostru va intreba un server DNS ce adresa IP este asociata unui nume. De exemplu, atunci cand voi incerca sa accesez https://www.dendrio.com, broswer-ul meu va interoga serverul de DNS si va primi ca raspuns 35.157.223.136. DNS ne ajuta sa folosim nume atunci cand stabilim conexiuni cu anumite resurse, in loc de adrese numerice care sunt greu de tinut minte pentru noi ca oameni.
Cele mai multe organizatii trec repede cu vederea securizarea nivelului DNS si astfel rateaza foarte multe oportunitati de a bloca atacurile informatice din etapele lor incipiente. Un raport recent facut de Global Cyber Alliance arata ca 1 din 3 brese de securitate putea fi izolata de nivel de DNS. Amenintarile sofisticate de astazi folosesc tehnici de atac care se bazeaza pe DNS. Dam ca exemplu modul in care gruparea criminala Conti reuseste sa execute cu succes atacurile sale de ransomware.
Infectia cu ransomware-ul Conti incepe adesea cu livrarea unui fisier JavaScript malitios (payload-ul initial) anexat unui email de phishing. Daca nu am mai intalnit acest cuvant, phishing, desi este foarte putin probabil acest lucru, el inseamna practica de a trimite email-uri malitioase care apar ca provin de la o sursa de incredere (persoana cunoscuta, coleg de serviciu, colaborator) sau de la o sursa reputabila (din partea bancii, a unui furnizor de utilitati, servicii online, etc.) cu scopul de a fura date sensibile precum date bancare si credentiale de login sau de a instala malware pe masina victimei. Conform Cisco, in 2021 in 86% din organizatii cel putin unul dintre utilizatori a incercat sa se conecteze la un site de phishing.
Daca fisierul JavaScript este rulat pe un sistem Windows, acesta va instala malware-ul IcedID care are rolul de a colecta informatii despre masina tinta si de a decide daca merita sa fie infectat. Informatiile sunt trimise catre un server de command and control (C2 servers) de-alea atacatorilor. Daca sistemul reprezinta o tinta valida, atunci serverul C2 instaleaza malware-ul aditional CobaltStrike care va incerca sa isi escaladeze privilegiile, sa se propage lateral, sa exflitreze fisierele de pe sistemul tinta si apoi sa cripteze toate datele cu AES-256 folosind ransomware-ul Conti. In acest timp, malware-ul ca incerca sa se conecteze si la alte sisteme prin SMB pentru a le compromite si pe acestea.
Multe dintre pasii executati in timpul atacului pot fi blocati la nivel de DNS. Si exact aceasta este protectia oferita de solutia de securitate cloud-based Cisco Umbrella.
Prin folosirea serviciului de protectie la nivel de DNS Cisco Umbrella companiile capata urmatoarele beneficii:
- blocheaza malware-ul – printr-o securitate la nivelul DNS-ului, Cisco Umbrella blocheaza atacurile ransomware, de phishing si botnet inainte ca aceastea sa poata infecta sistemele si sa produce daune pentru organizatie.
- management simplificat al securitatii – nu exista niciun haardware de instalat si niciun software de updatat manual. Blocand pericolele inainte ca ele sa se transforme in amenintari pentru infrastructura si endpoint-uri se vor reduce considerabil numarul de infectari si de alerte detectate de restul stivei de securitate.
- performanta imbunatatita la accesarea Internetului – Cisco Umbrella are 100% uptime din 2006, ceea ce denota o retea extrem de resilienta. Cisco Umbrella consta intr-o retea de servere distribuite global care foloseste rutarea Anycast pentru a trimite cererile de DNS ale clientului catre serverul care ofera cel mai rapid raspuns, toata solutia avand un mecanism de failover automat.
- vizibilitate crescuta: prin monitorizarea activitatii DNS din organizatie, Cisco Umbrella ofera o acuratete imbunatatita pentru detectia statiilor compromise cu malware (acestea vor incerca sa stabileasca sesiuni cu serverele C2 ale atacatorilor).
- capabilitati de threat hunting prin serviciile Umbrella Investigate si SecureX care ajuta in partea de „criminalistica” a incidentelor de securitate, respectiv in automatizarea raspunsului la un incident de securitate.
Inginerii Dendrio va pot ajuta cu servicii de consultanta si de implementare a solutiei Cisco Umbrella pentru ca organizatia dumneavoastra sa isi imbunatatesca semnificativ postura de securitate in doar cateva minute.
Mihai Dumitrascu, Sr Systems Engineer
