contact us

Як безпека на DNS-рівні ефективна для виявлення та запобігання атакам вимагачів
Минулого року відбулася ціла низка атак з використанням програм-вимагачів. До гучних інцидентів, що потрапили до заголовків газет, увійшли група JBS, найбільший у світі м'ясопереробний завод, баскетбольна команда НБА Houston Rockets і трубопровідна компанія Colonial, а також багато інших. В результаті було заплачено мільйонні викупи, щоб отримати дані та відновити інфраструктуру ланцюжка поставок.

Learning Center

Навчальні завдання

Після прочитання цієї статті ви зможете:

  • Наскільки безпека на DNS-рівні ефективна для виявлення та запобігання атакам програм-вимагачів
  • Як DNS-рівень безпеки виявляє кіберзагрози?
  • Як відбуваються атаки програм-вимагачів?
  • Інструменти, що використовуються у програмах-вимагачах
  • Захист, що виявляє та запобігає атакам програм-вимагачів
  • Захист, що виявляє незавершені атаки
Як безпека на DNS-рівні ефективна для виявлення та запобігання атакам вимагачів

Наскільки безпека на DNS-рівні ефективна для виявлення та запобігання атакам програм-вимагачів

Минулого року відбулася ціла низка атак з використанням програм-вимагачів. До гучних інцидентів, що потрапили до заголовків газет, увійшли група JBS, найбільший у світі м'ясопереробний завод, баскетбольна команда НБА Houston Rockets і трубопровідна компанія Colonial, а також багато інших. В результаті було заплачено мільйонні викупи, щоб отримати дані та відновити інфраструктуру ланцюжка поставок.

Частота атак та пов'язані з ними високі витрати спонукали фахівців з кібербезпеки шукати більш надійні рішення безпеки, які могли б надійно захистити від атак програм-вимагачів. Рішення безпеки на DNS-рівні розглядалися як ймовірна відповідь на питання виявлення та блокування небезпечних кампаній з викупу.

Кібератаки орієнтовані на вразливі мережі. Тому експерти з кібербезпеки збирали дані про характер атак, досліджуючи загрози, що виникають, включаючи недавні атаки програм-вимагачів. Все це допомогло розробити рішення щодо безпеки на DNS-рівні для усунення вразливості мережі.

Як DNS-рівень безпеки виявляє кіберзагрози?

Система доменних імен, широко відома як DNS, дозволяє користувачам підключати різні веб-сайти та оновлювати програмне забезпечення, що дає змогу організаціям використовувати багато програм. DNS-рівень є найуразливішим у мережі, і протоколи безпеки рідко перевіряють їх. Вони можуть проходити через безліч незаблокованих портів, тому складні атаки програм-вимагачів ініціюються на DNS-рівні. Однак можна налаштувати DNS-сервери для збирання емпіричних даних з метою впровадження алгоритмів захисту або пошуку загроз.

Постачальники рішень безпеки на DNS-рівні, що збирають дані з авторитетних журналів DNS, можуть виявити будь-які потенційні атаки з боку шкідливих доменів, IP-адрес, ASN, нещодавно створених інфраструктур. Крім того, шаблон запиту користувача дозволяє виявити будь-які незавершені атаки з боку зламаних систем, команд і засобів керування.

Як відбуваються атаки програм-вимагачів?

Дуже важливо зрозуміти, як відбуваються атаки програм-вимагачів, щоб вжити заходів щодо запобігання чи пом'якшення будь-яких загроз.

Техніка, тактика та процедури атак програм-вимагачів залежать від різних сценаріїв; основний перебіг атаки приблизно однаковий.

- Користувач переходить на скомпрометований домен в Інтернеті та випадково завантажує шкідливу програму.

- Шкідливий файл запускає ланцюжок подій, спрямованих на створення основи для експлуатації ураженої мережі.

- Потім шкідлива програма переміщується мережею на інші комп'ютери.

- Заражає кілька комп'ютерів та шифрує критично важливі для бізнесу дані.

У 2020 році в атаках програм-вимагачів додався новий етап, який називається ексфільтрація даних.

Перш ніж зашифрувати дані, шкідлива програма спочатку переносить бізнес-дані з мережі жертв у мережу зловмисника за допомогою DNS-тунелів. Зловмисник вимагає подвійного викупу, що означає, що організація стикається з потенційним ризиком втрати своїх критично важливих даних. Вона також стикається з перспективою їхнього витоку в Інтернет або продажу в дарк-неті тому, хто більше заплатить.

Тривожним аспектом таких атак є те, що на виконання атаки програм-вимагачів потрібно лише п'ять годин. Атака в реальному часі може бути легко пропущена або не виявлена, якщо у вас немає надійної системи безпеки DNS-рівня, призначеної для розпізнавання таких атак.

Інструменти, що використовуються у програмах-вимагачах

Більшість атак використовує переваги мереж, що не захищають свою діяльність на DNS- рівні. Зловмисники використовують DNS-тунелювання для отримання контролю над мережею, витоку даних та виконання команд атаки.

Приклади методів атак з використанням DNS-тунелювання включають:

- Відомі атаки програм-вимагачів використовували DNS-маяк, що виникає при проникненні Cobalt Strike.

- Використання Sunburst для атаки на ланцюжки поставок

- Іранська група Oilrig, яка використовує ексфільтрацію даних через DNS-тунелі у своїх кампаніях кібершпигунства.

Загальним елементом всіх перелічених вище схем є активність DNS, чого достатньо, щоб зрозуміти, що багаторівнева безпека DNS має вирішальне значення для протидії майбутнім атакам програм-вимагачів.

Для протидії атакам програм-вимагачів необхідно запобігання та ослаблення атак, тільки тоді захист буде повним. Дані, зібрані з рекурсивних серверів DNS, виявляють загрози. Тим не менш, захист від майбутніх атак можливий, якщо користувачі будуть стежити за тим, щоб не підключатися до підозрілих доменів. зупиняти атаки до початку і виявляти незвичайні дії на DNS-рівні. Ці дії вказують на те, що атаки вже почалися, що дає команді безпеки достатньо часу для ізоляції зараженої системи та зменшення збитків.

Захист, що виявляє та запобігає атакам програм-вимагачів

Рішення для захисту DNS-рівня полягає в тому, щоб запобігати атакам із самого початку. Багато організацій віддають перевагу саме цьому підходу, і на те є вагомі причини. Ця тактика запобігає будь-яким втратам від постексплуатації.

Алгоритмів, які використовуються традиційними рекурсивними прапорами DNS-серверів для ризикованих доменів, недостатньо, а вбудований захист залишає бажати кращого. Вони оцінюють репутацію та вік домену при прийнятті рішення про те, чи дозволити користувачеві підключення до нього, але потрапляють у пастку поганих гравців з інсценованими доменами з гарною репутацією, аби пройти через протоколи безпеки DNS-рівня.

Багато постачальників рішень безпеки долають ці недоліки, настроюючи рекурсивні DNS-сервери так, щоб вони відзначали всі підозрілі домени для поглибленої перевірки, перш ніж дозволяти користувачам підключатися. Ця стратегія відсіює небезпечні домени та допомагає мінімізувати вікна вразливості користувачів до кількох хвилин.

Захист, що виявляє незавершені атаки

Запобігання початковій компрометації недостатньо, і зловмисники постійно вдосконалюють методи, що дозволяють уникнути найщільнішого захисту. Тому навіть за наявності захисту необхідні механізми для виявлення атак, що продовжуються.

Впровадження системи, яка фіксує будь-яке аномальне DNS-тунелювання в мережі, може бути однонаправленим та двонаправленим зв'язком між зловмисником та мережевими системами. Якщо діяльність DNS не захищена, зловмисники залишаються під радаром доти, доки їх атака не буде виконана. Але якщо рішення безпеки DNS-рівня ретельно контролюється, вони зможуть відстежити активність DNS у мережі та почати пом'якшувати наслідки атаки до того, як вони стануть катастрофічними.

Постачальники рішень безпеки пропонують своїм клієнтам інтегрований пакет, який забезпечує найкращий захист, наприклад алгоритми безпеки DNS-рівня, виявлення поведінки в реальному часі та евристику в реальному часі. Під час вибору постачальника послуг можна перевірити його роботу за допомогою статистики реального часу, щоб заблокувати з'єднання зі шкідливими доменами.