DNS je ideální brána pro počítačové zločince. Je nenápadná, používáme ji při každém zadání webové adresy. Nejlepším řešením pro její ochranu, je filtrace procházejícího obsahu.
Krátký souhrn:
Článek je na delší čtení (10 minut) a popisuje nejčastější vstupní bránu útoku do firemního prostředí – prostřednictvím komunikace DNS, kterou používáme při každém přístupu na internet. Statistiky ukazují, že se na této úrovni nachází přes 91 % hrozeb. Často těch, se kterými si neporadí antivirové programy – ani firewall. Filtrace aktivním filtrem, který zapojuje strojové učení a umělou inteligenci, se nabízí jako účinná ochrana, která je poměrně snadná na správu a rozhodně není drahá. Přečtěte si volný překlad článku z blogu Heimdal Security. Dole zmiňuji také další prvky ochrany Heimdal Security.
Budete-li chtít filtraci DNS vyzkoušet po dobu 30 dní zdarma nebo vytvořit nabídku, můžete vyplnit formulář nebo nám napište, a my se vám ozveme.
DNS jednoduše
Než se ponoříme do toho, co je filtrace obsahu DNS a proč ji vaše firma potřebuje, bude dobré si říci něco o tom, co všichni denně používáme (dokonce i vy, když čtete tento článek, i já, když jsem jej psal), nemusíte úplně rozumět tomu jak to funguje: totiž proces otevírání webových stránek. Cokoliv zadáte do kolonky URL adresy – třeba webová stránka s jednoduchým jménem pro naše snadné zapamatování, musí být nějakým způsobem přeloženo do jazyka počítačů. To má na starost DNS, tedy Domain Name System. Podrobnosti si můžete přečíst v odkazech třeba na wikipedii nebo v článku Heimdal Security. Zjednodušeně snad stačí říci, že DNS je hierarchický systém, který při vyhledávání webových stránek pomáhá překládat lidský jazyk do jazyka srozumitelného počítači. To provede v několika krocích: požadavek – dotaz na kořenový server – dotaz na doménu nejvyšší úrovně (TLD) – dotaz na název serveru v doméně. Jejich podrobné vysvětlení najdete v příspěvku Kaleba Fornera s názvem Is Anyone Out There? Monitoring DNS for Misuse. Ve zkratce je to znázorněno na obrázku níže:
Technické detaily nemusíme znát. Je však důležité si zapamatovat, že až 91,3% hrozeb se nachází na úrovni DNS. Důvodem je skutečnost, že počítačoví zločinci potřebují komunikovat se svým malwarem, aby dosáhli svého cíle: útok vedoucí k zisku (například ransomware), a DNS je pro ně tou nejkratší cestou. Ergo, DNS je velmi podstatnou součástí vaší sítě, pokud jde o kybernetickou bezpečnost, a to je opravdu důležité mít na paměti. Více informací o této problematice najdete také v dalších článcích na blogu Heimdalu – zde, zde, zde.
Nepleťme si prosím pojem DNS filtr s pojmem chráněné nebo zabezpečené DNS. Úkolem takové služby je, aby někdo nemohl násilně přesměrovat provoz na jinou stránku, než jste chtěli. Existují také spolehlivé DNS servery, kde máte relativní jistotu, že se dostanete tam, kam skutečně chcete, což není bohužel samozřejmé. Tyto služby ale v žádném případě neprovádějí filtraci DNS – tedy, že by Vás (nebo nějaký proces vašeho zařízení) nepustily na škodlivou stránku – když její adresu sami zadáte…
Filtrace obsahu DNS označuje proces, ve kterém internetový filtr povoluje nebo blokuje přístup k obsahu konkrétního webu podle jeho IP adresy, nikoli podle názvu domény. Některé filtry používají předdefinované nastavení, seznam škodlivých zdrojů a jiné jsou řízeny správcem. Z metod filtrace obsahu DNS zmiňme:
FILTRY KATEGORIÍ: Filtry kategorií umožňují správcům blokovat přístup podle povahy obsahu webových stránek (například rasová nenávist, pornografie atd.)
FILTRY KLÍČOVÝCH SLOV: Filtry klíčových slov umožňují blokovat přístup k určitým webům nebo webovým aplikacím pomocí konkrétních slov obsažených v obsahu webů (můžeme zmínit například „chat“ nebo „Netflix“).
BLACKLISTY A WHITELIST SEZNAMY ŘÍZENÉ SPRÁVCEM: Černé listiny a bílé listiny nabízejí přizpůsobené filtrování obsahu DNS: přístup k určitým webovým stránkám je tedy zcela určen správcem.
Jak může být filtrace obsahu DNS přínosem pro vaše podnikání?
Může vám pomoci předcházet malwaru, ransomwaru a phishingovým útokům (pamatujete si výše uvedených 91,3% hrozeb, které jsou aktivní na úrovni DNS, že?). Filtrace obsahu DNS navíc může pomoci zvýšit produktivitu, snížit problémy se zaměstnanci a zajistit bezpečnější prostředí při práci v internetovém prohlížeči.
Jaký typ útoků DNS můžete očekávat, pokud nepoužíváte filtrování obsahu DNS?
Pokud jde o typy útoků, kterých se vaše společnost může stát terčem, měli byste vědět, že existují desítky možných hrozeb, které se do vaší organizace mohou dostat mrknutím oka, kdykoli a kdekoli, což mívá za následek ztrátu peněz, dat, reputace a času.
Útoky na subdoménu – Útočníci by se mohli pokusit přetížit autoritativní jmenné servery dotazy na neexistující subdomény (například 111aaa.vasedomena.cz místo vasedomena.cz), spotřebovávat jeho prostředky a způsobit narušení legitimních dotazů, což může vést k nedostupnosti služeb spojených s vaší doménou.
Cache poisoning – Útoky typu otrava mezipaměti mají za cíl narušit odpovědi na DNS uložené v mezipaměti. Pokud uspějí, dostane jakýkoli následný dotaz pozměněnou odpověď. To vás může dovést třeba na podvrženou webovou stránku.
Phantom domain – Útoky Phantom domain způsobují požadavky na neexistující rekurzivní jmenné servery, což plýtvá časem serveru a vyplňuje mezipaměť zbytečnými odpověďmi.
Malware – Hackeři potřebují udržovat komunikaci, aby dosáhli svého cíle, a jeden způsob, jakým si ji zajišťují, je prostřednictvím DNS. Malware používá DNS ke komunikaci s tzv. Command and control serverem (řídícím serverem útočníka), a také pro vlastní aktualizaci, jako ransomware (např. WannaCry).
Únosy a přesměrování – V tomto typu útoku jsou uživatelé odesíláni na jiné cíle, než měli v úmyslu. Cílový klientský počítač může být infikován malwarem, který umožní odesílání všech požadavků DNS na server DNS pod kontrolou útočníka.
Exfiltrace / tunelování dat – Tunelování zahrnuje kódování zpráv v dotazech a odpovědích DNS, aby se zabránilo detekci. Lze je použít k legitimním účelům, ale také k exfiltraci citlivých dat. V takovém případě je díky neustále se měnícím názvům domén jeho detekce velmi obtížná.
Je vidět, že útoky přes DNS jsou mimořádně nebezpečné. Je dobré se tedy ptát, co udělat pro ochranu svého podnikání i svého soukromí. V zásadě máte dvě možnosti:
1. Použijte bezplatné filtrování obsahu DNS pro firmy, abyste dosáhli základní úrovně ochrany
Dansguardian – Dansguardian může běžet na Linuxu, FreeBSD, OpenBSD, NetBSD, Mac OS, HP-UX, Solaris a je vysoce konfigurovatelný, což vám umožňuje filtrovat reklamu a blokovat stahování obrázků nebo souborů. Pro různé počítače lze nasadit různé filtry podle domény, uživatele a zdrojové adresy IP.
K9 – Jedná se o řešení často používané ve školách, rozděluje filtrovaný obsah do více než 60 kategorií. Jedná se o desktopové řešení, které kontroluje všechny vaše požadavky na URL proti zadaným filtrům.
Open DNS – Nástroj pro filtrování obsahu DNS vhodný pro ty, kteří nemají čas nebo odborné znalosti pro nastavení a správu serveru pro úplnou filtraci obsahu. Vyžaduje, abyste změnili nastavení DNS na úrovni směrovače, přizpůsobili whitelisty, blacklisty a rozsah filtrů, které pro vás poskytují.
Squid Gard – Stejně jako Dansguard je i Squid Gard samostatný nástroj pro filtrování obsahu DNS, který lze připojit k proxy serveru (prostředník mezi počítačem a internetem, používaný ke zvýšení kybernetické bezpečnosti, protože brání útočníkům v napadení počítače / soukromé sítě napřímo). Jedná se o nástroj prostředí UNIX a velmi flexibilní řešení, které umožňuje vytvářet různé kombinace parametrů filtrování.
Clean Browsing DNS Pokud vás také zajímá, jak můžete filtrovat obsah stránek pro dospělé pomocí DNS, Clean Browsing může být docela dobrý bezplatný nástroj. Jeho základní bezpečnostní filtr blokuje škodlivý obsah, zatímco filtr pro obsah pro dospělé blokuje pornografické webové stránky.
SafeSurfer – Stejně tak můžete vyzkoušet SafeSurfer, novozélandskou službu, která je zřejmě podporována dobročinnými zdroji. SafeSurfer nabízí desktopové aplikace pro Windows, Mac a Linux, ale také mobilní aplikace pro Android a iOS.
2. Jděte profesionální cestou s našimi špičkovými řešeními
Jednou ze čtyř úrovní zabezpečení, na kterých jsou produkty zabezpečení Heimdal™ Security postaveny, je prevence. Pro dosažení jedinečné prevence hrozeb, nabízíme dva hlavní moduly: Heimdal Threat Prevention. Jeden chrání na úrovni koncového bodu (zařízení Windows, MacOS nebo Android), druhý na úrovni celého perimetru sítě (bez ohledu na operační systémy jednotlivých prvků – včetně výrobních (operačních) technologií a „chytrých“ krabiček.
Ať už jde o ochranu perimetru nebo koncového bodu, Heimdal Threat Prevention obsahuje výkonný systém prevence narušení (IPS), který vás chrání předchází, detekuje a blokuje ATP, ransomware, úniky dat a síťový malware. Zabraňuje připojení útočníka k příkazovému a řídicímu serveru Command and Control Server (C&C), zaznamenává síťový provoz a kontroluje, kdo co provádí, sleduje historii neznámých i známých hrozeb. K tomu vám samozřejmě nabízí také možnost používat vlastní blokaci stránek přes seznamy blacklist/whitelist – povolených a blokovaných stránek. Je sestaven ze dvou jader pod ochrannou známkou Heimdal Security: DarkLayer Guard™ a VectorN Detection™. DarkLayer Guard™ nabízí plnou ochranu DNS, včetně aktivního a pasivního režimu a úplné protokolování v síti, zatímco VectorN Detection™ využívá Neural Network Transformed AI pro sledování komunikace mezi zařízeními a infrastrukturou k odhalení a zastavení útoků, které brány firewall nemohou vidět.
K tomu všemu Hemdal Security přidává další prvky ochrany, jako je Patch and Asset management, který je řešením správy záplat pro Windows a softwaru třetích stran. Vzhledem k tomu, že 85% malwaru je nasazeno prostřednictvím tzv. exploit kitů (sady zneužívající zranitelnost), automatická instalace aktualizací pouhé 4 hodiny po jejich vydání (nebo v předem stanoveném čase) z vlastního zabezpečeného serveru, znamená značný přínos pro podnikovou kybernetickou bezpečnost. Díky tomu těžíte z řešení, které uzavírá zranitelnosti, pomáhá zákazníkům být v souladu s GDPR a přidává jedinečný lov hrozeb, prevenci a detekci pro zastavení ransomwaru, APT, finančních podvodů, úniku dat a škodlivých exploitů. To vše se děje na úrovni koncového bodu Windows, MacOS nebo Android.
Kdyby ani to nestačilo, existuje u Heimdal Security přímo služba Ransomware Encryption Protection, která okamžitě „zabije“ každý pokus o kryptování v daném koncovém bodě. Umožní tento proces jenom tomu softwaru, kterému to sami povolíte.
Pokud se vybavíte také antivirem Heimdal Next-Gen antivirus and MDM, ochranou E-mailu Heimdal E-mail Security, ochranou proti e-malovýh CEO fraudům Heimdal Email Fraud Prevention a správou privilegovaných účtů Heimdal Privileged Access Management a App Control, bude vaše prostředí vysoce zabezpečené před moderními hrozbami, před kterými rezignují dnes běžně používané standardní prvky ochrany.
Tyto prvky ochrany a jejich funkčnost si popíšeme v jiném příspěvku…
Filtrace obsahu DNS – závěr
Pokud stále váháte, zda vaše firma potřebuje filtraci provozu DNS, podívejme se na několik čísel statistik roku 2020:
Kybernetickou bezpečnost je nutno brát vážně a hned začít přijímat patřičná bezpečnostní opatření – profesionální řešení filtrace obsahu DNS je tím nejvýhodnějším a nejsnadnějším způsobem, jak chránit vaše podnikání před více než 90% dnešních (velmi pravděpodobných) hrozeb.
Ať už si vyberete cokoli, nezapomeňte, že Heimdal™ Security je tu proto, aby vám kryl záda a náš tým, aby pomohl chránit váš domov i vaši společnost. Tím vytvořit kulturu kybernetické bezpečnosti pro každého zájemce. Prvky Heimdal Threat Prevention jsou ideálním doplňkem, který položí účinnou vrstvu nad vaše stávající prvky ochrany. Získáte tak vysokou míru bezpečnosti před moderními online hrozbami. Vše můžete vyzkoušet zdarma po dobu 30 dní, když vyplníte formulář zde nebo pošlete e-mail. Rádi vám také vytvoříme nabídku pro vaše prostředí.
Zdroj obrázků: Heimdal Security a Pixabay