Security-Löcher stopfen: Domain Name System kämpft in der ersten Reihe

DNS-Tunneling – Achtung bei SaaS-Lösungen!

Wie jede Form der Online-Kommunikation, arbeiten auch SaaS-Lösungen mit Domain-Namen. Hier ist aber Vorsicht geboten. Denn ein beliebter Weg der Angreifer, um Kreditkartendaten, Passwörter, Personaldaten, und so weiter unbemerkt aus Unternehmen heraus zu schleusen, ist das DNS-Tunneling. Das Domain Name System bietet ungeschützt nämlich die idealen Voraussetzungen für einen Angriff: Um die „Grundfunktion“ von DNS, das Übersetzen einfacher URL-Adressen in sperrige IP-Adressen, zu erfüllen, muss die Kommunikation zum DNS-Server stets funktionieren. Dabei führt der Weg meistens über den Port 53. Die Gefahr: Port 53 ist in zehn von zehn Fällen offen – auch für Angreifer. Diese nutzen den offenen „Highway 53“ indem sie eine Domain registrieren. Die empfängt DNS-Pakete, die ein durch Malware infizierter Client nach außen schickt. Dabei müssen Daten zwar in unterschiedliche Größen aufgeteilt werden, was etwas mühselig ist. Doch der Aufwand lohnt sich: Der DNS-Server denkt, die Daten gehen an eine externe Domain. Und so lässt er die Daten durch. Angreifer können so in Ruhe ihren Machenschaften nachgehen und munter Daten aus Unternehmen exfiltrieren.

Abwehrmittel Datenpool

DNS Response Policy Zones (RPZ) und Threat Intelligence Feeds können helfen, den Informationsaustausch via Domain Name System zu prüfen – und bösartige Anfragen gar nicht erst aufzulösen. Beispielsweise kennt der Datenpool des Infoblox ActiveTrust Feed derzeit über 4,5 Millionen schädliche Domain-Names, deren Anfragen umgehend isoliert und nicht bis zum angefragten Server durchgelassen werden – egal, ob es sich um bekannte Angriffsvektoren oder um 0-Day-Attacken handelt, die mittels Behavioural Analyse beziehungsweise Machine Learning erkannt werden können.

Entlastung für CISOs

Ebenfalls relevant für CISOs: Da DNS der kleinste gemeinsame Nenner für den Netzwerkzugriff ist und die Steuerung der Sicherheit damit auf der untersten Ebene beginnt, kann eine Vielzahl an Bedrohungen bereits hier gestoppt werden. Die Basis dafür ist die Masse an Informationen, die im DNS über IP-Adressen zur Verfügung steht.

DNS-Anwendungen überprüfen – ob physisch oder virtuell – viele Millionen Gefahren- Indikatoren (Indicators of Compromises oder IOCs) und damit übrigens weit mehr als Next Generation Firewalls, die jeweils bis zu 200.000 Regeln verarbeiten können. Sie fangen damit DNS-Bedrohungen ab und blockieren sie, bevor sie Schaden anrichten können. DNS-basierte Sicherheit reduziert den Traffic von Next Generation Firewalls um das bis zu 60-fache. Damit wird eine Sicherheitsstrategie auf Basis von DNS skalierbar. DNS-Sicherheit kann in jede bereits bestehende Sicherheitsinfrastruktur integriert werden und diese sofort über akut auftretende IOCs informieren. Threat Intelligence wird damit auf infizierten Geräten angewendet, bevor Malware die Chance zur Verbreitung hat.

Und noch einen weiteren positiven Aspekt gibt es: SecOps-Teams werden deutlich produktiver, denn die Zeit, die sie auf die Lösung von Sicherheitsbedrohungen aufwenden müssen, verkürzt sich. So stehen mehr personelle Ressourcen zur Verfügung, um sich auf strategische, geschäftskritische Sicherheitsentscheidungen zu fokussieren.

Auch DNS-Sicherheit wird mittlerweile direkt aus der Cloud angeboten. Unternehmen erhalten so eine noch skalierbarere Lösung, ohne eine neue physische Infrastruktur einrichten zu müssen.

Vorhandenes DNS sinnvoll nutzen

Durch den Einsatz von DNS-Security aus der Cloud als Grundlage von Netzwerksicherheit, lösen Unternehmen mehrere Probleme auf einmal: Die Anzahl der Tools, die zur Abwehr von Cyber-Bedrohungen benötigt werden, wird reduziert. Denn IOCs werden auf DNS-Ebene abgefangen und an automatisierte Tools zur Bedrohungsabwehr weitergeleitet. Dies reduziert die Anzahl der Bedrohungen, die vom Next Generation Firewalls bewertet werden müssen, enorm. Letztendlich wird dadurch die Belastung der SecOps-Mitarbeiter reduziert und die Auswirkungen des Fachkräftemangels abschwächt. DNS-Sicherheit sollte gerade in der heutigen Bedrohungslage und in Zeiten von Remote Work stets ein elementarer Bestandteil der Sicherheitsarchitektur von Unternehmen sein. CISOs setzen mit DNS-Sicherheit auf bereits vorhandene Ressourcen und können so effektiv ihre bisher blinden Flecken in der Bedrohungslandschaft aufdecken und Gefahren abwehren.