Soru: Bir alanın tehdit olup olmadığını belirlerken alan puanının önemi nedir?
Dave Mitchell, CTO, Hyas: Tüm kötü amaçlı yazılımların %93’ünden fazlasının, yönergeleri almak için komut ve denetimini (C2) tanımlayıp iletişim kurma mekanizması olarak DNS kullandığını biliyor muydunuz? Bu nedenle, gerçekten bütüncül bir siber güvenlik stratejisi, kötü amaçlı alanlardan korunmayı içermelidir.
Belirli bir etki alanının itibarını ve güvenliğini doğru bir şekilde değerlendirebilmek, ihlalleri önlemek için çok önemlidir. Bununla birlikte, bu sonuçlar genellikle, yanıltıcı bir şekilde statik sonuçlara işaret edebilen bir tehdit puanlama sistemi açısından sunulur. En etkili olmak için, bu alandaki çözümlerin ek veriler geldikçe etki alanlarını sürekli olarak yeniden değerlendirmesi ve yeniden puanlaması gerekir. Koruyucu DNS’ye yönelik eski yaklaşımlar, İnternet’in doğası gereği dinamik doğasına uyum sağlamakta başarısız olur. Proaktif bir sistem, DNS trafiğini kötü niyetli niyetin hem statik hem de dinamik göstergelerine dayalı olarak kategorize ederek potansiyel tehditleri gerçek zamanlı olarak puanlamalıdır.
İlk olarak, bilinen kötü etki alanları vardır. Bunlar, genel olarak bildirilen ve kötü amaçlı olduğu onaylanan alanlardır. Bu etki alanlarını engellemek çok önemlidir, ancak bu yalnızca tepkisel bir önlemdir. Kuruluşunuz, yeni kötü amaçlı yazılım veya yeni bir istismar kullanan bir saldırının ilk dalgası sırasında saldırıya uğrarsa, bu statik listeler yardımcı olmaz. Genel engelleme listelerini kullanmak, sizi farklı altyapılar kullanan bilinen tehditlerden gelen saldırılara da açık bırakır. Genel olarak bilinen kötü amaçlı alanlar, genellikle en katı koruma katmanına tabidir ve onlarla iletişim yasaktır. Birisinin bu alanlardan birine erişmek için çok iyi bir nedeni olması gerekir.
Daha proaktif puanlama yöntemleri, çok çeşitli göstergelere dayalı olarak sorgulanan tüm alanlara bir tehdit kategorisi atamaya dayanır. Bu, statik yaklaşıma göre çok büyük bir avantajdır, çünkü bir tehdidi erken aşamalarında tespit etmek, yöneticilere saldırıyla ilgili etki alanlarını saldırı yürütülmeden önce bloke etmek için ihtiyaç duydukları paha biçilmez zamanı verebilir ve böylece saldırıyı etkisiz hale getirebilir. Bunu etkili bir şekilde yapacak bir çözüm için, gelişmiş tehdit istihbaratı yetenekleri ve etki alanlarının nasıl ve kim tarafından kullanıldığını bilmek için saldırgan altyapısı ve metodolojisinin derinlemesine anlaşılması gerekir.
Bu bilgilere dayanarak, gelişmiş koruyucu DNS hizmetleri, alan trafiğini şüpheli göstergeler için izler. Örneğin, bir alan adı yepyeniyse, vicdansız bir kayıt kuruluşundan satın alınmışsa, siber suçla ilişkili bir bölgeden bir alıcı tarafından satın alınmışsa ve ücreti kripto para birimiyle ödenmişse, o alan adı kullanılmamış olsa bile muhtemelen onu engellemek akıllıca olacaktır. henüz bir saldırı. Bulduğu şüpheli göstergelerin sayısı ve ciddiyeti, sistemin etki alanını nasıl sınıflandırdığını belirleyecektir. Bazen göstergeler, alanla iletişime izin verecek kadar düşük önceliğe sahipken, yine de daha fazla analiz için işaretlenir. Etki alanının daha sonra kötü amaçlı olduğu belirlenirse, daha fazla iletişim engellenir. Alan adlarını puanlama söz konusu olduğunda her hizmet sağlayıcının kendi gizli sosu vardır, bu nedenle, bir hizmette karar kılmadan önce ödevinizi yapın ve bir dizi hizmetin tanıtımını yapın.
Bir hizmetin erişimi ne kadar yüksek kaliteli veriye sahipse, sürekli analizle birleştirildiğinde sonuçlarının o kadar doğru olması muhtemeldir. Bu, aşırı agresif engelleme (kullanıcıları rahatsız etme ve iş hızını potansiyel olarak yavaşlatma) veya daha da kötüsü, yanlışlıkla kötü amaçlı iletişimin geçmesine izin vererek korumayı en başta uygulama amacını boşa çıkarma arasındaki hassas dengeyi koruyan anlamlı puanlar oluşturmak için anahtardır.
Bu yerleşik korumaların ötesinde, yöneticiler genellikle sistemin kendilerini uyarmasını ve/veya bir etki alanının belirlenmiş parametreleri karşılayan veya aşan birden çok negatif özelliği varsa DNS isteklerini tamamen engellemesini sağlayan özel listeler veya ilkeler ayarlayabilir. Yöneticiler uyarıldıktan sonra olayı araştırabilir ve hasara yol açmadan önce proaktif olarak müdahale edebilir. Gelişmiş bir koruyucu DNS hizmeti, belirli DNS iletişimlerini önleyici olarak engelleyebildiğiniz için (örneğin, belirli bilgisayar korsanı yataklarında bir battaniye engellemesi oluşturarak) politikaların uygulanmasında size bir düzeyde kontrol sağlar. Temiz trafik bu özel kurallara takılırsa, etki alanlarını çözümün izin verilenler listesine eklemek yeterince kolaydır.
Her sağlayıcı, alan adlarını puanlamanın genel sürecine farklı şekilde – bazı durumlarda oldukça radikal bir şekilde – yaklaşır. Minimum (bazen ücretsiz) koruyucu DNS hizmetleri genellikle statik, herkese açık listelere dayanırken, daha karmaşık hizmetler biraz daha güncel kalmak için birinci sınıf istihbarat servislerinden gelen verileri içerir. Ancak en iyi seçenekler, alan riskini tahmin etmek için önceki saldırıların incelenmesine ve dinamik analize dayalı gelişmiş tehdit istihbaratını kullanır. İlk iki tipte, tepkisel bir duruşla hareket ediyorsunuz ve bir noktada bir saldırıya uğramanız neredeyse kesin. Bununla birlikte, gelişmiş bir koruyucu DNS, varlıklarınızın yeni ve gelişmekte olan tehditlere karşı korunmasına yardımcı olarak kuruluşunuza tehdit aktörlerine karşı üstünlük sağlar.
