Er is geen tekort aan beveiligingsproducten. Van NextGen firewalls en intrusion detection systemen tot NextGen endpoint en applicatie beveiliging. En terwijl elke categorie een belangrijke rol speelt bij het beveiligen van een organisatie, wordt een kritiek netwerkcomponent vaak vergeten: Domain Name Systems (DNS).
Samen met DHCP en IPAM, bevatten DNS-servers een schat aan informatie over netwerkactiviteit: welk apparaat toegang heeft tot welke middelen, hoe vaak, waar apparaten actief zijn, etc.
De meeste malware (90%) begint overigens met een DNS-lookup, zodra het de netwerkperimeter doorbroken heeft en het netwerk binnengedrongen is. Cruciaal voor de security levenscyclus dus om DNS als frontlinie, als eerste lijn van verdediging te zien samen met het delen van informatie over bedreigingen en context vanuit het netwerk met een breder ecosysteem.
Detectie
DNS kan worden gebruikt (enforcement-point) voor het detecteren en blokkeren van APT en malware activiteit, nog voor het zich horizontaal kan verspreiden en/of extra schadelijke software van de command and control (C&C) server kan downloaden. Dat geldt ook voor populaire phishing malware en ransomware, exploit kit activiteit en meer. Handhaving van het veiligheidsbeleid op DNS-niveau zorgt voor bescherming zonder de noodzaak voor endpoint agents. Dit is vooral handig als IOT-apparaten worden gebruikt.
Door de inzet van een hybride DNS-beveiligingsoplossing die gebruikers zowel op als buiten het bedrijfsnetwerk beschermt zorgt ervoor dat de beveiliging gebruikers volgt, waar ze ook naartoe gaan en aan het werk zijn.
Een andere optie is de inzet van zelfbeschermende DNS-servers die op intelligente wijze DNS DDoS-aanvallen detecteren, zoals amplification, reflection, protocol exploits, cache poisoning etc. en deze dienst beschikbaar houden, zelfs tijdens een aanval.
Preventie
DNS-based datadiefstal wordt steeds populairder, omdat aanvallers op zoek zijn naar manieren om traditionele DLP-oplossingen te omzeilen. Het stelen van data via de DNS “achterdeur” is zeer moeilijk te detecteren, helemaal wanneer aanvallers zero-day methoden, die geen bekende schadelijke bestemmingen of onbekende DNS tunnels, gebruiken. Maar met behulp van big data, machine-learning en streaming analytics op DNS-query’s wordt de kans geminimaliseerd dat deze zero-day methoden en pogingen tot DNS-based datadiefstal slagen.
Analyse en Opsporing
Security-teams worden tegenwoordig dagelijks overspoeld met zoveel waarschuwingen, dat het vaak moeilijk is om alle binnenkomende waarschuwingen te beoordelen en te prioriteren. Maar er is een schat aan informatie beschikbaar op DNS, DHCP en IPAM services. Gebruikmakend van de context van het netwerk en bruikbare, actiegerichte informatie kunnen risico’s en waarschuwingen beter beoordeeld en geprioriteerd worden, waardoor security-verantwoordelijken effectiever kunnen werken.
Verder voorzien automatische threat investigation tools tijdige toegang tot de context voor elke bedreigingsindicator (wat voor soort malware, verbonden campagnes, etc.). Dit maakt een zeer snel bedreigingsonderzoek mogelijk en zorgt ervoor dat security personeel tijd over heeft voor meer strategische taken.
DNS: de perfecte achterdeur voor hackers op zoek naar gevoelige gegevens
Diefstal van gegevens is een van de meest serieuze risico’s voor elke onderneming en de werkelijkheid is dat DNS kan worden misbruikt op allerlei onconventionele manieren. Dat maakt het de perfecte achterdeur voor hackers op zoek naar gevoelige gegevens en wordt vaak gebruikt voor data exfiltratie, omdat het meestal niet door alledaagse beveiligingsmaatregelen wordt geïnspecteerd.
Deze whitepaper bespreekt tactieken die hackers gebruiken om DNS te exploiteren voor DNS-tunneling en data exfiltratie. Lees verder…
Orchestration/ Ecosystemen
Het automatisch delen van DNS-based indicatoren rondom bedreigingen/afwijkingen met ecosysteem technologieën (Endpoint: Carbon Black, NAC: Cisco ISE, vulnerability scanner: Qualys, Rapid7, SIEM) kan de sanering versnellen en vereenvoudigt veiligheidsoperaties. Als een DNS security oplossing bijvoorbeeld kwaadaardige communicaties van een netwerkapparaat detecteert kan het een systeem in quarantaine zetten of, die informatie automatisch delen met een vulnerability scanner om het device onmiddellijk te scannen in plaats van het wachten op het eerstvolgende scanvenster, versnelt de sanering van die bedreiging.
Handhaving
Het gebruiken van actuele en geconsolideerde threat intelligence van hoge kwaliteit is cruciaal voor de handhaving van het security beleid. U kunt de ROI van threat intelligence maximaliseren door security beleid niet slechts op een deel van uw infrastructuur te handhaven, maar door het over de gehele linie te handhaven met behulp van een uitwisselingsplatform dat threat intelligence deelt met andere onderdelen van uw beveiligingsinfrastructuur.
ActiveTrust® Cloud Implementatie
ActiveTrust® Cloud specifiek ontwikkeld om roaming users te beschermen, waar ze zich ook bevinden. Feitelijk een secure DNS gebruiken ongeacht de locatie waar men werkt, beschermt tegen lekken van data en blokkeren van Malware.
Om de ActiveTrust Cloud service te kunnen gebruiken, hoeven gebruikers enkel de roaming-client te installeren op het apparaat van de eindgebruiker of simpelweg de lokale resolver aan de Infoblox service te koppelen. Infoblox is de eerste en enige DDI leverancier die in een hybride model voorziet voor de bescherming van gebruikers op locatie, in extern filialen of mobiel.
Als de Infoblox infrastructuur wordt ingezet op locatie, kunnen organisaties bovendien profiteren van uniform policy management en reporting. Ook worden dan ecosysteem integraties mogelijk met bestaande security technologieën zoals endpoint security, NAC, vulnerability scanners en SIEM voor geautomatiseerde incident response.
Wilt u meer weten over hoe Infoblox oplossingen in al het bovenstaande kunnen voorzien en meer? Bezoek dan de Infoblox website.
Probeer de ActiveTrust® Cloud vandaag nog!
ActiveTrust Cloud beschermt gebruikers overal – of ze zich nu in het kantoor, op het bedrijfsnetwerk, of in externe kantoren/vestigingen bevinden of onderweg zijn.
ActiveTrust Cloud biedt inzicht in geïnfecteerde en gecompromitteerde devices op of buiten het bedrijfsnetwerk, verhindert data diefstal via DNS en stopt automatisch de communicatie van apparaten met C&C’s en botnets.
ActiveTrust Cloud wordt geleverd als dienst en is gemakkelijk te implementeren, te gebruiken en te onderhouden.
Probeer de volledige functionaliteit van ActiveTrust Cloud vandaag nog voor 30-dagen en ontdek zelf wat deze oplossing allemaal kan. Klik hier!
