Эффективные подходы к
защите от атак на
DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS-
инфраструктуру
Эффективные подходы к защите от атак на DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS-инфраструктуру
Протокол DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS (Domain Name System• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS) является основой функционирования
современного интернета• Телекоммуникации и связь » Компьютерная сеть » Интернет. Ни для кого не секрет, что он обеспечивает
преобразование понятных человеку доменных имен• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS » Доменное имя в IP-адреса, которые
используются сетевым оборудованием• Телекоммуникации и связь » Сети передачи данных » Сетевое оборудование. Подход к построению современных систем
мониторинга предусматривает максимально глубокие периоды хранения сетевых
логов (межсетевых экранов• Телекоммуникации и связь » Сети передачи данных » Сетевое оборудование » Межсетевой экран и сетевых устройств• Телекоммуникации и связь » Сети передачи данных » Сетевое оборудование), но палитра современных
кибератак• Государство » Законы и право » Теория государства и права » Отрасль права » Информационное право » Компьютерные преступления
• Безопасность » Компьютерная безопасность » Атаки и эксплойты
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты вносит свои коррективы.
Именно поэтому мы рекомендуем также уделять особое внимание хранению и
отслеживанию DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS-трафика. Современная DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS-инфраструктура становится все более
уязвимой к разнообразным видам кибератак• Государство » Законы и право » Теория государства и права » Отрасль права » Информационное право » Компьютерные преступления
• Безопасность » Компьютерная безопасность » Атаки и эксплойты
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты: от фишинга• Телекоммуникации и связь » Компьютерная сеть » Интернет » Фишинг
• Государство » Законы и право » Теория государства и права » Отрасль права » Информационное право » Компьютерные преступления » Преступления в сфере информационных технологий » Фишинг
• Безопасность » Информационная безопасность » Фишинг и DDoS-атак• Безопасность » Компьютерная безопасность » Атаки и эксплойты » Ddos-атака
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты » Ddos-атака до отравления
кэша и DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS-туннелирования. Именно поэтому важно понимать, что анализ
DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS-трафика позволяет детектировать атаки на самых ранних этапах их развития и
зачастую производить превентивные мероприятия, направленные на предотвращение
инцидентов безопасности. В этой статье будут рассмотрены ключевые методы и
стратегии, позволяющие усилить защиту от потенциальных угроз, связанных с
протоколом DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS.
TL;DR
Что такое DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS?
Это распределенное хранилище ключей и значений (доменных имен• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS » Доменное имя и
соответствующих им IP-адресов). Протокол поддерживается с помощью иерархии
DNS-серверов• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS. Это означает, что сервера• Телекоммуникации и связь » Компьютерная сеть » Серверы по всему миру могут предоставить вам
значение по ключу, а если им неизвестен ключ, то они попросят помощи у другого
сервера• Телекоммуникации и связь » Компьютерная сеть » Серверы, который для него является корневым.
Подробнее с иерархичностью протокола можно ознакомиться, выполнив следующую
команду (также можно ознакомиться с визуализацией)
На скриншоте выше, помимо классических записей DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS (A, CNAME, MX, TXT и NS),
присутствуют также DS, RRSIG и NSEC3, которые свидетельствуют о том, что
доменные имена• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS » Доменное имя сегмента .ru подписываются с помощью DNSSEC• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS » DNSSEC.
DNSSEC• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS » DNSSEC расширение для DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS, позволяющее подписывать ответы от сервера• Телекоммуникации и связь » Компьютерная сеть » Серверы
цифровой подписью• Информационные технологии » Информатика » Защита информации » Аутентификация » Электронная цифровая подпись
• Информационные технологии » Информатика » Защита информации » Криптография » Электронная цифровая подпись. Оно предназначено для защиты от атак, таких как подделка
данных DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS или манипуляции с запросами и ответами. Это позволяет клиентам DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS
убедиться, что полученные ими ответы действительно происходят от авторитетных
серверов• Телекоммуникации и связь » Компьютерная сеть » Серверы и не были изменены в пути. Для успешного функционирования DNSSEC• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS » DNSSEC
важны следующие компоненты:
DS-запись (Delegation Signer) — специальная запись, которую можно вручную
добавить в родительскую зону, чтобы создать безопасное делегирование для
дочерней зоны.
RRSIG-записи. Это цифровая подпись• Информационные технологии » Информатика » Защита информации » Аутентификация » Электронная цифровая подпись
• Информационные технологии » Информатика » Защита информации » Криптография » Электронная цифровая подпись, связанная с каждым типом записи, которая
используется для подтверждения подлинности данных.
NSEC3-записи. Расширение DNSSEC• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS » DNSSEC, подтверждающее отсутствие записи без
возможности просмотра содержимого зоны.
Чтобы проверить, защищаются ли ваши DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS-запросы с помощью DNSSEC• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS » DNSSEC, вы можете
перейти по ссылке. Теперь перейдем к основным и актуальным атакам, связанным с
протоколом DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS.
Cпуфинг и отравление кеша DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS
Отравление кэша и спуфинг• Безопасность » Компьютерная безопасность » Атаки и эксплойты
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты системы доменных имен• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS (DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS) — виды кибератак• Государство » Законы и право » Теория государства и права » Отрасль права » Информационное право » Компьютерные преступления
• Безопасность » Компьютерная безопасность » Атаки и эксплойты
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты, в
которых особенности работы DNS-серверов• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS используются для направления жертвы на
вредоносный/мошеннический ресурс.
DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS-спуфинг• Безопасность » Компьютерная безопасность » Атаки и эксплойты
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты — атака перенаправления трафика на серверы• Телекоммуникации и связь » Компьютерная сеть » Серверы, имитирующие легитимные
путем подмены DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS-ответов.
Отравление кэша DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS — метод, зачастую реализуемый на стороне пользователя
(клиента) или внутри инфраструктуры, когда система записывает в кэш локальной
памяти поддельный IP-адрес.
Актуальная атака, в которой злоумышленники активно использовали DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS-спуфинг• Безопасность » Компьютерная безопасность » Атаки и эксплойты
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты,
связана с китайской группировкой StormBamboo, которые после взлома
интернет-провайдера перенаправляли запросы жертв на фиктивные ресурсы.
Отказ в обслуживании• Безопасность » Компьютерная безопасность » Атаки и эксплойты » Dos-атака
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты » Dos-атака
• Безопасность » Компьютерная безопасность » Атаки и эксплойты » Ddos-атака
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты » Ddos-атака
DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS Amplification (Усиление DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS) — техника DoS-атак• Безопасность » Компьютерная безопасность » Атаки и эксплойты » Dos-атака
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты » Dos-атака для использования системы
доменных имен• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS и увеличения трафика на целевые сайты. Преступник с помощью
IP-адреса жертвы отправляет поддельные IP-пакеты на DNS-сервер• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS с запросами
доменного имени• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS » Доменное имя цели. Используется опосредованное, асимметричное DoS
воздействие на DNS-сервер• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS.
DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS Flood. При этом методе сервер• Телекоммуникации и связь » Компьютерная сеть » Серверы атакуется многочисленными малозначимыми
запросами, что истощает ресурсы и делает сервер• Телекоммуникации и связь » Компьютерная сеть » Серверы недоступным. В этом типе атак
применяется прямое воздействие на сервер• Телекоммуникации и связь » Компьютерная сеть » Серверы DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS.
CVE. В данном случае для достижения целей отказа в обслуживании• Безопасность » Компьютерная безопасность » Атаки и эксплойты » Dos-атака
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты » Dos-атака
• Безопасность » Компьютерная безопасность » Атаки и эксплойты » Ddos-атака
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты » Ddos-атака используются
уязвимости• Безопасность » Компьютерная безопасность
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность протоколов или сервисов, например, CVE-2023-50387 и CVE-2023-50868.
Эти уязвимости• Безопасность » Компьютерная безопасность
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность позволяют добиться отказа в обслуживании• Безопасность » Компьютерная безопасность » Атаки и эксплойты » Dos-атака
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты » Dos-атака
• Безопасность » Компьютерная безопасность » Атаки и эксплойты » Ddos-атака
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты » Ddos-атака DNS-серверов• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS,
выполняющих валидацию с помощью DNSSEC• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS » DNSSEC, из-за возникновения высокой нагрузки
на CPU, которая мешает обработке других запросов. Важно понимать, что
появление вышеупомянутых уязвимостей• Безопасность » Компьютерная безопасность
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность вызвано определением в спецификации
DNSSEC• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS » DNSSEC возможности отправки DNS-сервером• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS всех доступных криптографических
ключей, тогда как резолверы• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS » Dns-резолверы обязаны обрабатывать эти ключи до успешного
завершения проверки либо до того момента, когда будут проверены все полученные
ключи.
Передача и перебор зоны AXFR. Метод, связанный с возможностью неконтролируемой
передачи DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS-зоны, позволяет злоумышленнику получить записи о внутренних и
внешних IP-адресах, поддоменах• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS » Поддомен и их записях, а также информацию о почтовых
серверах• Коммуникации » Интернет-коммуникации » Электронная почта » Почтовые Серверы и других внутренних сервисах.
Zone Walking. Метод, который используется злоумышленниками для перечисления
полного содержимого DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS-зон, подписанных DNSSEC• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS » DNSSEC. Эксплуатируется возможность
DNSSEC• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS » DNSSEC авторитетно утверждать, что данное доменное имя• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS » Доменное имя НЕ существует в зоне
DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS. В случае, если используется тип записи NSEC (Next Secure)
разведка злоумышленника сводится к простому перебору всех зон. Для NSEC3
(замена для NSEC) все немного сложнее, ведь данный тип пытается ограничить
возможность прямого перебора путем возвращения хешированных значений зон с
солью, но так как для хеширования• Информационные технологии » Информатика » Программирование » Алгоритм » Хеш-функции » Хеширование
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Алгоритм » Хеш-функции » Хеширование
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Алгоритм » Хеш-функции » Хеширование используется довольно простой SHA1• Информационные технологии » Информатика » Программирование » Алгоритм » Хеш-функции » Хеширование » SHA-1
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Программирование » Алгоритм » Хеш-функции » Хеширование » SHA-1
• Высокие технологии » Информационные технологии и телекоммуникации » Программирование » Алгоритм » Хеш-функции » Хеширование » SHA-1
возможные варианты зон можно подобрать, например, с помощью hashcat.
Для эксплуатации возможности передачи и перебора зоны можно применять
NSE-скрипты nmap (dns• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS-zone-transfer, dns• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS-nsec3-enum и dns• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS-nsec-enum)
Манипуляции с возможностями регистрации доменных имен• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS » Регистрация доменов
Domain• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS » Доменное имя fronting — способ маскировки реального домена, к которому обращается
приложение• Телекоммуникации и связь » Компьютерная сеть » Серверы или пользователь. Трафик сначала направляется на доверенный домен
(обычно, CDN), например, крупного облачного провайдера, а затем
перенаправляется на нужный сервер• Телекоммуникации и связь » Компьютерная сеть » Серверы, обходя блокировки.
Fast Flux DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS — метод динамического изменения IP-адресов, связанных с доменом,
чтобы усложнить его блокировку и обнаружение. Вредоносный сайт постоянно
«мигрирует» между различными IP, что затрудняет его отслеживание. Работает
путем добавления огромного количества записей A для полного доменного имени• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS » Доменное имя и
быстрого их изменения, а также изменения записей NS.
Dangling DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS — это уязвимость• Безопасность » Компьютерная безопасность
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность, возникающая, когда DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS-запись домена указывает
на несуществующий или больше неконтролируемый ресурс, например, удаленный
облачный сервер• Телекоммуникации и связь » Компьютерная сеть » Серверы или IP-адрес. Злоумышленники могут зарегистрировать этот
«осиротевший» ресурс и получить контроль над трафиком, направленным на данный
домен. Такая атака позволяет перехватывать запросы пользователей, подменять
содержимое или запускать фишинговые атаки.
DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS Rebinding — метод, в котором задача злоумышленника сводится к изменению
DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS-записи вредоносного ресурса таким образом, чтобы она соответствовала
адресу в локальной сети• Телекоммуникации и связь » Компьютерная сеть » Локальная вычислительная сеть жертвы. Это происходит после обращения жертвы к
контролируемому злоумышленниками сайту с каким-либо запросом и с коротким
значением параметра TTL для соответствия доменного имени• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS » Доменное имя конкретному
IP-адресу. Затем через очередной DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS-запрос злоумышленник меняет на своей
стороне IP-адрес домена, что заставляет жертву отправлять свои запросы к
IP-адресам уже внутри локальной сети• Телекоммуникации и связь » Компьютерная сеть » Локальная вычислительная сеть, то есть уже за защищающим их
брандмауэром• Телекоммуникации и связь » Сети передачи данных » Сетевое оборудование » Межсетевой экран Данный тип атаки особенно эффективен, если злоумышленник знает к
какому ресурсу внутри сети необходимо осуществить запрос, чтобы, например,
проэксплуатировать уязвимость• Безопасность » Компьютерная безопасность
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность.
Ducks Now Sitting — атака, позволяющая злоумышленникам захватывать домены без
доступа к учетной записи владельца из-за уязвимостей• Безопасность » Компьютерная безопасность
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность в настройках
делегирования DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS. Если домен использует в качестве авторитетного DNS-сервера• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS
другого провайдера, а не регистратора, и делегирование name-сервера• Телекоммуникации и связь » Компьютерная сеть » Серверы не
работает, то есть авторитетный name-сервер• Телекоммуникации и связь » Компьютерная сеть » Серверы не имеет информации о домене, то
злоумышленники могут зарегистрировать права на такой домен без проверки прав
собственности• Государство » Законы и право » Гражданское право » Право собственности. Эта техника уже привела к захвату около 35 000 доменов, которые
использовались для распространения вредоносного ПО, фишинга• Телекоммуникации и связь » Компьютерная сеть » Интернет » Фишинг
• Государство » Законы и право » Теория государства и права » Отрасль права » Информационное право » Компьютерные преступления » Преступления в сфере информационных технологий » Фишинг
• Безопасность » Информационная безопасность » Фишинг и других атак.
Атаки с использованием протокола DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS
DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS Tunneling — метод, при котором DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS-запросы становятся транспортом для
передачи данных• Телекоммуникации и связь » Сети передачи данных » Передача данных между устройствами. В таких атаках злоумышленник кодирует
данные в DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS-запросах и ответах, чтобы создать скрытый канал• Информационные технологии » Информатика » Защита информации » Стеганография » Скрытый канал связи между
зараженным устройством и сервером• Телекоммуникации и связь » Компьютерная сеть » Серверы, которым он управляет. Обычно используется
для отправки коротких команд и реже для эксфильтрации данных.
DGA (Domain• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS » Доменное имя Generation Algorithms) — это техника, используемая вредоносными
программами• Информационные технологии » Информатика » Защита информации для динамического создания множества доменных имен• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS » Доменное имя на основе
встроенных алгоритмов их определения. Данный подход позволяет злоумышленникам
обходить средства защиты информации и долгое время оставаться незамеченными.
Важно понимать, что алгоритмы зачастую генерируют новые домены на основе
определенных параметров, таких как время и дата, комбинации слов, хеша и
прочего, что делает их трудными для предсказания и блокирования.
CyberSquating (DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS-typosquatting) — техника атак социальной инженерии• Безопасность » Компьютерная безопасность » Социальный инжиниринг
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Социальный инжиниринг,
основанная на опечатках и орфографических ошибках в доменном имени• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS » Доменное имя.
Злоумышленник регистрирует доменное имя• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS » Доменное имя, которое преднамеренно очень схоже с
легитимным доменным именем• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS » Доменное имя. Примером может стать, например, доменное имя• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS » Доменное имя
api[.]wilbderreis[.]ru, используемое злоумышленниками Rainbow Hyena (Head
Mare).
NRD (Newly Registered Domain• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS » Доменное имя) — это скорее не техника, а констатация того
факта, что домены, которые были зарегистрированы недавно, часто используются
злоумышленниками для вредоносных целей, таких как фишинг• Телекоммуникации и связь » Компьютерная сеть » Интернет » Фишинг
• Государство » Законы и право » Теория государства и права » Отрасль права » Информационное право » Компьютерные преступления » Преступления в сфере информационных технологий » Фишинг
• Безопасность » Информационная безопасность » Фишинг или распространение
вредоносного ПО. Подобные домены особенно привлекательны для злоумышленников,
так как далеко не сразу попадают в списки вредоносных различных фильтров, хотя
еще в 2019 году компания PaloAlto писала, что 70% NRDs являются как минимум
подозрительными и нежелательными. Кстати, NRD часто используются в сочетании с
другими техниками, такими как DGA.
Защита от современных угроз, связанных с DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS инфраструктурой
Эффективная защита от атак на DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS-инфраструктуру требует комплексного подхода,
который включает технические и организационные меры, и, кроме того,
подразумевает внедрение и взаимодействие различных средств защиты информации.
Одним из первых шагов к повышению безопасности является внедрение DNSSEC• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS » DNSSEC,
который обеспечивает проверку целостности• Информационные технологии » Информатика » Защита информации » Криптография » Целостность информации и подлинности DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS-записей. Это
достигается с помощью криптографической• Информационные технологии » Информатика » Защита информации » Криптография подписи, которая помогает
предотвратить атаки типа «отравление кэша» и подмену DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS-ответов.
Впоследствии, защищенность протокола можно повысить, внедрив DoT
(DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS-over-TLS• Информационные технологии » Информатика » Защита информации » Криптография » TLS) или DoH (DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS-over-HTTPS• Информационные технологии » Информатика » Защита информации » Криптография » HTTPS).
Кроме того, важно сегментирование DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS-инфраструктуры, чтобы минимизировать
риск доступа злоумышленников к критически важным внутренним записям. Такой
подход позволяет изолировать внутренние и внешние запросы и достигается с
помощью следующих методов:
Сегментированные зоны DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS, в которых внутренние зоны обрабатываются
исключительно внутренними DNS-серверами• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS, изолированными от Интернета• Телекоммуникации и связь » Компьютерная сеть » Интернет.
Ограничение маршрутизации, при которой внутренние DNS-сервера• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS настраиваются
так, чтобы не перенаправлять запросы в Интернет• Телекоммуникации и связь » Компьютерная сеть » Интернет и не быть доступными из
внешних источников. Например, они могут обрабатывать только запросы от
доверенных IP-адресов или через VPN. Не стоит забывать и про рекурсивные
внешние DNS-сервера• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS, которые не должны иметь доступа к внутренним зонам и
должны обрабатывать запросы только к публичным ресурсам.
Использование облачных провайдеров для DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS-хостинга, которые предоставляют
отказоустойчивые и защищенные DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS-сервисы с поддержкой DDoS• Безопасность » Компьютерная безопасность » Атаки и эксплойты » Ddos-атака
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты » Ddos-атака-защиты и
мониторинга.
Следующим шагом может стать минимизация рисков передачи зоны DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS и атак,
связанных с манипуляцией над доменными именами• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS » Доменное имя. Это достигается путем
постоянной инвентаризации внешней инфраструктуры и внедрения лучших практик по
безопасной конфигурации устройств (hardening). Кроме того, решению данных
проблем, как и CyberSquating a, способствуют продукты типа ASM (Attack
Surface Management). С помощью подобных продуктов вы сможете контролировать
вашу внешнюю инфраструктуру с точки зрения забытых доменов,
небезопасных конфигураций, поиска теневых активов и аномалий, а также защиты
бренда.
Наиболее значимым элементом защиты является мониторинг и анализ DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS-трафика,
который позволяет выявлять аномальные паттерны и потенциальные угрозы в
реальном времени. Это достигается внедрением современных сетевых средств
защиты информации (NTA, NDR, NGFW, IDS• Безопасность » Компьютерная безопасность
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность\IPS и т.п.), которые, помимо
классического сигнатурного анализа трафика и черных списков, умеют производить
анализ DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS пакетов с помощью алгоритмов машинного обучения• Информационные технологии » Искусственный интеллект » Машинное обучение
• Информационные технологии » Информационно-коммуникационные технологии » Информационные технологии и телекоммуникации » Искусственный интеллект » Машинное обучение
• Высокие технологии » Информационные технологии и телекоммуникации » Искусственный интеллект » Машинное обучение и поведенческого
анализа, выявляя во всем DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS-трафике (объем которого всегда внушителен) редкие
запросы, исключения, временные и частотные аномалии. Такой подход позволяет
довольно достоверно определять наиболее сложные угрозы, исходящие от
DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS-трафика, такие как DGA домены и DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS-туннелирование.
Мониторинг и анализ DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS-трафика наиболее эффективен при внедрении обогащения
сетевых событий с помощью CTI- платформ (Cyber Threat• Государство » Законы и право » Теория государства и права » Отрасль права » Информационное право » Компьютерные преступления » Преступления в сфере информационных технологий Intelligence), который
может быть осуществлен с помощью SIEM-систем или хостовых СЗИ, таких как EDR.
Современные CTI-платформы содержат наиболее актуальные горячие
индикаторы компрометации и постоянно обновляют информацию об актуальных
угрозах с помощью фидов, а также учитывают и NRDs, интегрируясь с поставщиками
информации о DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS, что буквально позволяет блокировать угрозы до их появления.
Не стоит забывать и про обучение сотрудников, которое поможет повысить их
осведомленность о возможных атаках и методах социальной инженерии• Безопасность » Компьютерная безопасность » Социальный инжиниринг
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Социальный инжиниринг, ведь
большинство современных атак все еще опирается на человеческий фактор• Экономика » Бизнес » Менеджмент » Человеческий фактор. Также
внедрение vulnerability-менеджмента• Экономика » Бизнес » Менеджмент позволяет вовремя устанавливать обновления
и снижает риск эксплуатации свежих уязвимостей• Безопасность » Компьютерная безопасность
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность.
Заключение
В условиях растущей угрозы кибератак• Государство » Законы и право » Теория государства и права » Отрасль права » Информационное право » Компьютерные преступления
• Безопасность » Компьютерная безопасность » Атаки и эксплойты
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты мониторинг и анализ DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS становится
неотъемлемым элементом любой системы мониторинга и защищенной архитектуры,
ведь, помимо детектирования атак, анализ DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS-трафика помогает также и в
расследовании инцидентов, при поиске скомпрометированных хостов или
дополнительных индикаторов компрометации. Поэтому защита от атак на
DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS-инфраструктуру — это стратегическая задача, требующая комплексного подхода
и постоянного обновления знаний о новых угрозах, и даже элементарная
фильтрация DNS• Телекоммуникации и связь » Компьютерная сеть » Интернет » DNS-трафика сильно поможет в противодействии кибератакам• Государство » Законы и право » Теория государства и права » Отрасль права » Информационное право » Компьютерные преступления
• Безопасность » Компьютерная безопасность » Атаки и эксплойты
• Информационные технологии » Информатика » Защита информации » Компьютерная безопасность » Атаки и эксплойты.
ⓘ
Автор: «РТ-Информационная безопасность• Безопасность » Информационная безопасность»
Единый центр компетенций в сфере технологического обеспечения корпоративной
системы информационной безопасности• Безопасность » Информационная безопасность Государственной корпорации «Ростех• Объект организация » Организации по алфавиту » Организации на Ро » Ростех (Ростехнологии)» и ее
организаций. АО «РТ-Информационная безопасность• Безопасность » Информационная безопасность» — организация прямого
управления Государственной корпорации «Ростех• Объект организация » Организации по алфавиту » Организации на Ро » Ростех (Ростехнологии)». Мы выделяем особую значимость
вопросу защиты информационных систем критической, в том числе промышленной
инфраструктуры и реализуем задачи в соответствии с указаниями руководства
страны• Государство в рамках обновленной Концепции национальной безопасности• Государство » Национальная безопасность
• Безопасность » Национальная безопасность Российской
Федерации.
