Das Domain Name System (DNS) ist ein zentraler Punkt jedes Netzwerks und essenziell für die Kommunikation über das Internet. Längst haben Cyber-Kriminelle DNS als Schwachstelle für Attacken ausgemacht. Doch besser als das DNS bloss gegen Angriffe zu sichern, ist das aktive Einsetzen des Systems zur Verteidigung! Das Ziel der proaktiven Sicherheit auf DNS-Ebene – beispielsweise die Verwendung von DNS-Daten zur Eindämmung von Bedrohungen, die von netzwerkbasierten Kontrollen übersehen werden – besteht darin, Bedrohungen zu blockieren, bevor sie das Unternehmensnetzwerk oder die Endpunkte erreichen. Wie dies genau geht und worauf Sie bei der Auswahl einer geeigneten Lösung achten sollten, wollen wir Ihnen in diesem Blogbeitrag aufzeigen.
Das Domain Name System (DNS) löst IP-Adressen in Domain-Namen auf oder umgekehrt. Gibt ein Nutzer eine bestimmte URL in den Browser ein, ergänzt das DNS die entsprechende IP-Adresse des Servers. Um den Hostnamen zu erkennen, muss der Server eine DNS-Anfrage starten: Der Reverse Lookup spricht die IP-Adresse des Clients an. Damit gilt das DNS als Telefonbuch für das Internet. Das in den 1980er Jahren entwickelte DNS verfügt über keinerlei Sicherheitsfunktion und basiert auf der Annahme, dass Menschen und Unternehmen auch tatsächlich diejenigen sind, für die sie sich ausgeben. In dieser Zeit konnte nicht vorhergesehen werden, dass die Entwicklung des Internets zum zentralen Angelpunkt unseres täglichen Lebens auch die Grundlage für diverse kriminelle Machenschaften bilden würde. Die Problematik liegt an der offenen und verteilten Architektur des DNS.
Cyber-Kriminelle missbrauchen das altgediente System heute als Schlupfloch für ihre Aktivitäten. Ob das Abgreifen vertraulicher Unternehmensdaten (Data Exfiltration), das Einschleusen von Malware in gestückelten Paketen (Data Infiltration) oder der Bau von Tunneln, um Daten unbefugt zu transportieren: Hacker haben das DNS für sich entdeckt, um in fremde Systeme einzudringen, Daten zu verschlüsseln, Informationen zu stehlen – oder gar Daten zu zerstören. Da Angriffe immer häufiger stattfinden und Unternehmen zunehmend verteilt arbeiten, stehen Unternehmen vor der Herausforderung, ihre Netzwerke und Daten zu schützen, während sie ihren Technologie-Stack modernisieren. Sicherheitskontrollen auf DNS-Ebene sind deshalb ein wichtiges Element der Sicherheitsstrategie.
Next-Gen-Firewalls, E-Mail-Sicherheit, Endpunktsicherheit und Web-Gateways sind wichtige Defense-in-Depth-Tools zum Schutz vor verschiedenen Bedrohungsvektoren. Dennoch gibt es immer noch Lücken und offene Türen, die es Angreifern ermöglichen, in Netzwerke einzudringen, sich seitlich auszubreiten und Daten zu stehlen. Das Domain Name System ist eine wichtige Netzwerkinfrastruktur, die für die Online-Konnektivität erforderlich ist. Die meisten Schadprogramme, darunter auch Ransomware, sind auf DNS angewiesen, um sich mit ihren Command-and-Control-Servern (C2) zu verbinden und Verschlüsselungssoftware sowie andere bösartige Tools auf das angegriffene Gerät herunterzuladen. Die Tatsache, dass viele Sicherheitstools DNS nicht überprüfen, ist bedauerlich, da dies Angreifern einen «Freifahrtschein» bietet, um bestehende Sicherheitsmassnahmen zu umgehen und Cyber-Angriffe durchzuführen.
DNS kann weiter zum Einschleusen von Malware oder zum Exfiltrieren von Daten missbraucht werden. Diese Exfiltration von Daten über DNS (oder DNS-Tunneling) kann geschehen, indem sensible Daten in kleine Teile zerlegt und in den DNS-Verkehr zum Internet eingebettet werden. Ein Beispiel für eine Bedrohungsgruppe, die DNS-Tunneling ausgiebig genutzt hat, ist OilRig. Im Rahmen des SUNBURST-Angriffs auf die Lieferkette nutzt die Malware DNS, um Daten über das Opfer zu exfiltrieren.
Wenn DNS-Server mit Bedrohungsinformationen über bekannte C2- und andere bösartige Ziele ausgestattet werden, kann der von der Malware genutzte Rückkanal geschlossen werden. Ihr DNS wird somit zu Ihrer ersten Verteidigungslinie gegen Malware. Da die Server Suchanfragen zu diesen bösartigen Websites nicht auflösen, werden Benutzer daran gehindert, eine bösartige Website aufzurufen und die Kommunikation zu den C2-Servern von kompromittierten Geräten wird blockiert. Die Kopplung von Bedrohungsdaten mit der Analyse von DNS-Anfragen bietet eine weitere Verteidigungsebene, indem Zero-Day-Bedrohungen auf DNS-Basis erkannt werden.
Viele Unternehmen haben die Schwachstelle DNS bereits erkannt und versuchen, diese Lücke mit dedizierten DNS-Servern, regelmässigen Scans und Schwachstellen-Software zu schliessen. Doch über die reine Security-Hygiene hinaus, erkennen immer mehr Unternehmen den Wert des DNS als aktive Verteidigungslinie, eingebettet in ein tiefgreifendes und umfassendes Sicherheitskonzept. Dies ist sinnvoll, denn das DNS ist Bestandteil jeglicher Netzwerkverbindung – egal ob bösartig oder harmlos. Das DNS ist im Netzwerk einzigartig positioniert, um als zentraler Kontrollpunkt zu entscheiden, ob eine gutartige oder eine bösartige Anfrage eingeht.
Eine DNS-basierte Security-Strategie legt Wert auf vorbeugenden Schutz. Als verbindendes Element zwischen Nutzern, Browsern und Webinhalten kann ein sicherer DNS-Security-Service Security-Policies durchsetzen und verdächtige Verbindungen blockieren. So können beispielsweise Inhalte wie Pornografie, Glücksspiele und so genannte «Hate Sites» gefiltert werden.
Als Mittelsmann jeglicher Netzwerkverbindung ist das DNS eine allwissende Informationsquelle über zig Millionen Internet-Domain-Namen und Abermilliarden aktiven IP-Adressen. Diese können mit den TTPs (Tactics, Techniques and Procedures) der Hacker und Cyber-Kriminellen abgeglichen werden. DNS Threat Intelligence kann mit anderen Open-Source- und weiteren Threat-Intelligence-Feeds sowie Analytics-Systemen wie EDR (Endpoint Detection and Response) und SIEM (Security Information and Event Management) integriert werden und so ein ganzheitliches, situationsorientiertes Bild der Sicherheitslage liefern. Gleichzeitig unterstützen DNS-Security-Services die Abstimmung der Störfallbeseitigung, indem IOCs (Indicators of Compromise) sowie IOAs (Indicators of Attacks) mit anderen Sicherheitstechnologien wie Firewalls, Netzwerk-Proxys, Endpunkt-Security, NACs (Network Access Controls) und Schwachstellenscannern geteilt werden und diesen reichhaltige Kontextinformationen zur Verfügung stellen.
Transparenz ist der erste Schritt zum Schutz des Netzwerks und dessen, was sich im Netzwerk befindet. In der heutigen Welt der physischen Rechenzentren, Multi-Cloud-Implementierungen, Direct-to-Internet-Zweigniederlassungen und IT/OT-Systeme scheint vollständige Transparenz beinahe ein utopisches Konzept zu sein. Es gibt jedoch eine Netzwerkressource, die Sie bereits besitzen und die Ihnen diese vollständige Transparenz grösstenteils ermöglicht: DNS, zusammen mit der DHCP und IP-Adressverwaltung (IPAM). Zusammen werden sie als DDI bezeichnet und bilden so die Grundlage der Core-Netzwerkdienste, die die gesamte Kommunikation über ein IP-basiertes Netz überhaupt erst ermöglichen.
Der DHCP-Server kann Systemmerkmale wie Gerätetyp und Betriebssystemversion identifizieren, während die IPAM-Metadaten Informationen über den Netzwerkstandort und den Benutzernamen (bei Integration mit Active Directory) liefern. Diese Informationen sind bei der Untersuchung von Vorfällen von entscheidender Bedeutung, da Sie nun über alle forensischen Informationen verfügen, um die Schwere und den Umfang des Vorfalls schnell zu verstehen. Ausserdem bietet DNS einen wertvollen Prüfpfad, der Ihnen genau sagt, auf welche Ressourcen ein bestimmter Vermögenswert, und auf welche Ressourcen eine bestimmte Anlage zu einer bestimmten Zeit zugegriffen hat. Die Verwendung von DDI ermöglicht somit eine Erkennung in Echtzeit.
Wichtig ist die Fähigkeit, bösartige Domains, URLs sowie IP-Adressen in Echtzeit zu erkennen und zu blockieren. Integrationen mit DNS-Firewalls, DNS-Threat-Intelligence-Services sowie der weiteren Security-Infrastruktur sollten im Paket enthalten sein. Mit Hilfe von Verhaltensanalysen werden DNS-Pakete genauestens untersucht nach Grösse, Zeit, Art der Verschlüsselung und weiterer Anomalien. Nur so kann dem Missbrauch des DNS für das Abgreifen von Daten ein Riegel vorgeschoben werden. Eine hybride Architektur bestehend aus On-Premises Appliances und cloudbasierten Komponenten bietet optimale Sicherheit für Zweigniederlassungen, Home Office und das Arbeiten von unterwegs.
Das zentrale Management für jeglichen DNS-Datenverkehr ist ein weiterer elementarer Bestandteil. Nur durch Verwaltungsfunktionen für Policies, Konfigurationen und das Reporting kann das Security-Team Überblick über sämtliche Alerts, den Status der eingeloggten Geräte und potenzielle Bedrohungen behalten.
Nicht zuletzt sollte auf einen Hersteller gesetzt werden, der Integrationen und Allianzen mit anderen Security-Herstellern bietet. In der weitverzweigten Security-Landschaft wird Integration die Zukunft sein. Nur wenn zwischen den verschiedenen Komponenten Interoperabilität herrscht und alle Zugriffe auf die relevanten Informationen haben, kann Sicherheit in Echtzeit gewährleistet werden. Sicherheitsteams wissen nur zu gut, dass sie kein weiteres isoliertes Tool in ihren Netzwerken brauchen, das keine Daten austauscht und nicht interoperabel ist. Die Integration von Sicherheits- und Netzwerk-Tools bietet einen Weg zur gemeinsamen Nutzung von Daten und zur Beschleunigung der Reaktionszeiten. Da DNS, DHCP und IPAM eine wahre Fundgrube für forensische (und kontextbezogene) Informationen sind, kann die Integration von SIEM- und SOAR-Tools (Security Orchestration, Automation and Response) in die DDI-Plattform den Sicherheitsbetrieb unterstützen.
Infoblox ist der führende Hersteller für DNS-, DHCP- und IPAM-Lösungen. Die Lösung kombiniert die Leistung von lokalen, anwendungsbasierten Diensten mit einer erweiterten dezentralisierten Datenbanktechnik. So wird eine konstant funktionierende Verwaltung mit optimaler Verfügbarkeit, Steuerung und Transparenz gewährleistet. Sie möchten mehr über Infoblox und dessen Vorteile wissen? Gerne zeigen wir Ihnen die Möglichkeiten von Infoblox im Detail auf und unterstützen Sie in allen Fragen der Cyber-Sicherheit. Haben Sie Fragen?
Ein Sicherheitsvorfall kann Sie auch trotz aller Sicherheitsmassnahmen treffen. Deshalb ist es entscheidend, sich auf einen solchen Vorfall vorzubereiten, damit schnell und professionell gehandelt werden kann. Unser Incident Response Retainer ist hier die optimale und effektivste Lösung. In einem gemeinsamen Onboarding-Workshop bereiten wir Sie auf den Ernstfall vor. Sollte dieser eintreten, kann unser CSIRT (Computer Security Incident Response Team) zusammen mit Ihnen richtig reagieren: schnell, kompetent und mit viel Erfahrung – und das 24/7 . Mehr zu unserem Incident Response Retainer erfahren Sie hier: