Menü

Kiemelt témánk

Feliratkozás


Eseménynaptár

előző hónapkövetkező hónap
59_schulcz_norbert.jpg
Schulcz Norbert, Palo Alto NetworksForrás: ITB

A DNS protokoll (Domain Name Sytstem) lényege, hogy a domainneveket a hálózati eszközök által érthető IP-címekre fordítja, ezáltal hozzáférhetővé teszi a különböző webhelyeket. A hagyományos DNS-kérések a hálózaton titkosítatlanul és kódolás nélkül közlekednek. Minden internetes alkalmazás használata szinte biztosan egy DNS lekérdezéssel kezdődik. Nem lehet nem használni vagy letiltani a tűzfalon, ez pedig igen vonzó tényező a hackerek szemében. – Schulcz Norbert, a Palo Alto Networks rendszermérnökének gondolatai.

1001 különböző módon használják a hackerek a DNS-t rosszindulatú tevékenységre. Például a DNS tunneling bár régi technika, ma is jól működik. Leginkább a megfertőzött hosztok C&C (command and control) kommunikációjánál találkozhatunk vele, így parancsolnak a feltört belső gépeknek, routereknek, printereknek, tableteknek és egyéb eszközöknek, vagy lopják el az adatainkat.

Éppen ezért az enterprise hálózatokban biztonsági szempontból ajánlott komolyan venni a DNS forgalom elemzését, és érdemes nem egy veszélytelen IT-szolgáltatásként tekinteni a DNS-re.

 

Generált domainek algoritmusa és ami mögötte van

Sok malware ellen tudnak úgy védekezni a szakemberek, hogy megakadályozzák a C&C-domainek elérését. Ez ellen a hackerek különböző algoritmusokat (DGA: domain generating algorythm) fejlesztettek ki, melyek segítségével soha nem használja kétszer ugyanazt a domaint a gép. Az így generált domainekhez hozzáfér a hacker és mivel a malware által használt algorimust is ő írja, olyan C&C-technikát használ, amilyet csak akar. Ezzel heckerünk viszonylag könnyen elérte a célját, nem lehet megfogni a C&C-hálózatát egy konkrét domain tiltásával.

Az elmúlt években olyan mennyiségű generált C&C domain keletkezett, hogy ilyen hatalmas méretű adatbázist már nem lehet a tűzfalakban fenntartani. Mára százmilliós nagyságrendű domainről beszélünk, ezért iszonyatosan gyors és pontos threat intelligence háttér kell a védelemhez, amit irreálisan drágán lehet céges adatközponton belül tartani.

 

Létezik jó megoldás?

A Palo Alto Networks tűzfalain elérhető DNS Security szolgálatás szíve a PANW europai adatközpontjaiban fut, ahogyan a PAN-DB URL filtering vagy a Wildfire sandbox is. SOC 2 Type 2, GDPR-ready és egyéb dokumentációk is a rendelkezésre állnak. A valós idejű Wildfire kapcsolat miatt gyorsan értesül a rendszer egy-egy új C&C vagy exploit kitet tartalmazó domainről.

Machine learning alkalmazásával valós időben felismeri a DGA által generált domaineket. A generált nevek zömét az emberi szem simán kiszúrja, de pont a gépek általi felismerés nehézkes, ezért is nagy áttörés a Palo Alto Networks DNS védelmi szolgáltatása. Például egy „nhtrd6hv2.asia” domain nyilván sok embernek lenne gyanús, de az ilyenek kiszűrésére külön biztonsági elemzőket alkalmazni nem könnyű feladat, mivel kevés van belőlük, és még lassabban is dolgoznak a machine learning–big data párosnál.

A DNS tunneling használatát minden csomag Layer-7 szintű elemzésével vizsgáljuk, machine learning algoritmusunk rengeteg más mellett entrópiát és patterneket elemezve jelöli meg a gyanús domaineket, majd DNS sinkhole címre küldi a fertőzött hosztokat.

A dinamikusan dagadó DNS security adatbázis a Palo Alto Networks adatközpontban található, ami több szempontból is előnyös: nem a helyi erőforrásokat emészti fel, de működése így is valós idejű és nem kell hatalmas infrastruktúrába beruházni a DNS-forgalom vizsgálatáért. Elég egy előfizetéssel bővíteni a Palo Alto Networks tűzfalakat.

Karrierszkenner

Kíváncsi, hol dolgozik egykori kollégája, üzleti partnere?
Szeretné, ha az ön karrierjéről is hírt adnánk?

Böngésszen és regisztráljon!

Jelenleg 2072 személy szerepel adatbázisunkban.
Az utolsó regisztrált:Laufer Tamás

A legkeresettebb emberek:

Cégszkenner

Melyek az ict-iparág legfontosabb cégei?
Melyek a fontosabb felhasználók más iparágakból?

Regisztrálja cégét Ön is!

Jelenleg 4951 cég szerepel adatbázisunkban.

A legkeresettebb cégek: