NGFW с DNS-фильтрацией. Новая необходимость для защиты Enterprise-сегмента

NGFW с DNS-фильтрацией. Новая необходимость для защиты Enterprise-сегмента

Современный киберпреступник не брезгует никакими методами: фишинг, ботнеты, вредоносные сайты — всё это скрывается за обычными ссылками, которые легко пропустить. И несмотря на наличие современных NGFW, защита DNS становится более важной. С Дмитрием Хомутовым, директором Ideco, разберём, как NGFW и DNS защищает сетевой периметр компании.  

По данным Ideco, почти 88% компаний ежегодно подвергаются кибератакам, и около трети из них можно предотвратить на уровне DNS. Это подтверждает актуальность защиты от DNS-угроз и объясняет, почему крупные компании, такие как Cisco и Check Point, вкладывают значительные средства в развитие своих продуктов DNS Protection. А 31 июля 2024 года специалисты по информационной безопасности из Infoblox и Eclypsium обнаружили масштабную киберугрозу: злоумышленники захватили контроль над более чем 35 тысячами доменов, не имея доступа к учётным записям их владельцев. 

Угрозы безопасности на DNS-уровне

DNS — основа современного интернета, но она же становится мишенью для злоумышленников. Открытый порт 53/UDP на сетевых устройствах делает DNS уязвимым для атаки, так как пакеты поступают без предварительной проверки. Злоумышленникам легче создать и обновлять домены для своих целей, чем использовать IP-адреса. Современные системы защиты информации (СЗИ) часто основаны на белых и чёрных списках доменов. Злоумышленники обходят их, регистрируя случайные домены с коротким временем жизни, что не позволяет СЗИ заблокировать их. Таким образом, ботнет может связываться с устройствами в сети через DNS, даже если эти устройства не имеют доступа в интернет. По мнению экспертов NIST и CISA, DNS является первым уровнем защиты сети, и её безопасность крайне важна. 

Развитие Ideco NGFW: использование DNS Security в защите Enterprise-сегмента

Ideco NGFW с модулем DNS Security предлагает улучшенную защиту от DGA-атак с помощью анализа N-грамм и обнаружения аномалий, блокируя домены, которые не попадают под классическую фильтрацию. Он также предотвращает обход DNS-фильтрации за счёт блокировки как злоумышленников, так и внутренних устройств, пытающихся использовать сервисы DoH. Модуль прост в настройке и интегрируется с Ideco NGFW через настройки DNS-сервера, а в будущем будет доступен в центральной консоли Ideco Center. Важной особенностью DNS-фильтрации является её быстрое и простое внедрение — всего за полчаса. Кроме того, DNS предоставляет возможность блокировать контент и приложения с помощью 65 категорий и имеет обширную базу данных, которая покрывает почти 99% видимой части интернета и обновляется ежедневно.   

Новый вектор развития в защите компаний на уровне DNS — использование ИИ, где включаются более 120 классификаторов и языковых моделей, чтобы обеспечить надёжную защиту от разнообразных угроз. Более того, интеграция с ICANN позволяет получать информацию о новых зарегистрированных доменах в реальном времени, что позволяет своевременно выявлять потенциальные угрозы. Как правило, в базах собраны исторические данные о владельцах доменов и их взаимосвязях, что позволяет анализировать каждый запрос и выявлять возможные угрозы. Для защиты компании рекомендуем использовать алгоритмы, основанные на расстоянии Ливенштайна, чтобы защитить от туннелирования внутри DNS-трафика, что позволит отслеживать домены, которые пытаются маскироваться под известные марки и бренды, и блокировать их запросы. 

Например, Sky Security использует проактивный подход к защите от новых угроз, анализируя недавно зарегистрированные домены. Вместо блокировки всех новых доменов превентивно Sky Security собирает информацию о них и строит графы связанности, чтобы определить их историю и связь с известными сетями. Это позволяет выявлять потенциально вредоносные домены ещё до того, как они станут активными, основываясь на их связи с известными злоумышленниками. Таким образом, они блокируют домены, регистрируемые на сетях, известных своей вредоносной активностью. 

Реклама. ООО «АЙДЕКО», ИНН: 6670208848, Erid: 2Vfnxx3hD2Q