{"id":18436,"date":"2021-03-18T11:19:00","date_gmt":"2021-03-18T10:19:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=18436"},"modified":"2021-03-15T10:28:33","modified_gmt":"2021-03-15T09:28:33","slug":"security-loecher-stopfen-domain-name-system-kaempft-in-der-ersten-reihe","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=18436","title":{"rendered":"Security-L\u00f6cher stopfen: Domain Name System k\u00e4mpft in der ersten Reihe"},"content":{"rendered":"\n<p>Autor\/Redakteur: <a href=\"https:\/\/www.infoblox.com\/\">Felix Blank, Senior Manager Solutions Architects CEUR bei Infoblox<\/a>\/gg<\/p>\n\n\n\n<p>CISOs sind frustriert: Um die komplexe IT-Landschaft in ihren Unternehmen abzusichern, sind sie gezwungen, auf eine F\u00fclle an Security-Tools zu setzen. Doch w\u00e4hrend ein Teil des Netzwerks gut gesch\u00fctzt ist \u2013 einiges gar doppelt und dreifach \u2013 klaffen an anderen Stellen Sicherheitsl\u00fccken auf, die so gut wie gar nicht \u00fcberwacht werden. Um aus der Frustration zu gelangen, gilt es f\u00fcr CISOs zwei Dinge zu unternehmen: Zum einen m\u00fcssen sie alle eingesetzten Tools und Verteidigungsstrategien neu bewerten. Welche sind in der heutigen Umgebung \u00fcberhaupt sinnvoll? Bei welchen entstehen durch \u00dcberschneidungen nur noch gr\u00f6\u00dfere Sicherheitsl\u00fccken? Zum anderen m\u00fcssen CISOs alle vorhandenen Ressourcen auf bessere M\u00f6glichkeiten zur Absicherung untersuchen. Zu den am meisten \u00fcbersehenen Ans\u00e4tzen geh\u00f6ren DNS-Analysen. Welche Vorteile aber hat gerade der Einsatz des Domain Name Systems?<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/03\/B1TD-image_1200x780px.jpg\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"666\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/03\/B1TD-image_1200x780px-1024x666.jpg\" alt=\"\" class=\"wp-image-18437\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/03\/B1TD-image_1200x780px-1024x666.jpg 1024w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/03\/B1TD-image_1200x780px-300x195.jpg 300w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/03\/B1TD-image_1200x780px-768x499.jpg 768w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/03\/B1TD-image_1200x780px.jpg 1200w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/a><figcaption>Die hybride BloxOne Threat Defense von Infoblox stellt sicher, dass Unternehmensnetzwerke jederzeit und \u00fcberall gesch\u00fctzt sind. Mit dem Domain Name System (DNS) nutzt sie bereits vorhandene Infrastruktur. (Grafik: Infoblox)<\/figcaption><\/figure>\n\n\n\n<!--more-->\n\n\n\n<p><strong>Vom Netzwerk zum Security-Tool<\/strong><\/p>\n\n\n\n<p>Historisch gesehen liegt das Domain Name System, kurz DNS, meist in den H\u00e4nden der Netzwerkmanager. Doch die Zeiten haben sich ge\u00e4ndert. Auch SOCs sollten ungefilterten Zugriff auf alle DNS-Eintr\u00e4ge haben. Warum? Weil DNS in der heutigen Bedrohungslandschaft der beste Freund eines CISOs sein kann. Es bietet umfassende, unternehmensweiten Erkennungs- und Kontrollmechanismen, die kein anderes Tool so bereitstellen kann.<\/p>\n\n\n\n<p><strong>Mehr als Namensaufl\u00f6sung<\/strong><\/p>\n\n\n\n<p>Das DNS wird n\u00e4mlich h\u00e4ufig nur als die Grundlage der Nameserver des Internets betrachtet. Dabei kann das Domain Name System hervorragend in der ersten Reihe der Verteidigung k\u00e4mpfen. Denn da jede Kommunikation zwischen Servern \u00fcber das DNS l\u00e4uft, k\u00f6nnen die meisten Angreifer hier direkt erkannt und aufgehalten werden.<\/p>\n\n\n\n<p>Rund 90 Prozent der Malware nutzt in irgendeiner Form DNS. Beispielsweise haben Cyberkriminelle das Domain Name System als guten Weg f\u00fcr Daten-Exfiltration oder als Kommunikationsweg von Botnets und Malware mit Command&amp;Control Servern entdeckt. Auch im Fall des <a href=\"https:\/\/blogs.infoblox.com\/cyber-threat-intelligence\/solarwinds-second-update\/\">SolarWinds-Hacks<\/a> spielten DNS-Anfragen eine entscheidende Rolle.<\/p>\n\n\n\n<p><strong>DNS f\u00fcr Security nutzen<\/strong><\/p>\n\n\n\n<p>Aber welchen Unterschied kann eine DNS-Analyse in Sachen Sicherheit machen? Die NSA hat im Sommer 2020 in den USA ein <a href=\"https:\/\/www.politico.com\/newsletters\/morning-cybersecurity\/2020\/06\/19\/nsa-launches-secure-dns-788668\">Pilotprogramm<\/a> gestartet, um die Verteidigungsindustrie der USA gegen Malware zu st\u00e4rken. Der Test konzentrierte sich ausschlie\u00dflich auf den DNS-Schutz. Laut Anne Neuberger, Leiterin des Cybersecurity Directorate der NSA \u201ehat die Analyse ergeben, dass die Verwendung von Secure DNS bei 92 Prozent der Malware-Angriffe Wirkung zeigen w\u00fcrde.\u201c<\/p>\n\n\n\n<p>Selbst die modernsten Verteidigungstaktiken von heute k\u00f6nnen nicht replizieren, was DNS leisten kann, insbesondere bei der Bek\u00e4mpfung eines gro\u00dfen Angriffs. Der gro\u00dfe Vorteil dabei: DNS liefert sofortige Sichtbarkeit.<\/p>\n\n\n\n<p>Somit ist DNS eine gute Grundlage f\u00fcr umfassende Netzwerk-Sicherheit. Dabei ist das interne DNS der Zugang zu den Netzwerkressourcen und -protokollen. Diese stellen alle wichtigen Informationen \u00fcber Angriffe jeder Art zur Verf\u00fcgung. CISOs, die das DNS und damit diese Sichtbarkeits- und Kontrollinformationen nutzen, habe hier die M\u00f6glichkeit, Bedrohungen fr\u00fcher zuerkennen und automatisiert zu reagieren. Das \u201eWer, Was, Wann, Wo und Warum\u201c des Netzwerkzugriffs werden damit zu wertvollen Informationen \u00fcber die Bedrohungslage. Als netzwerkinh\u00e4rentes Tool m\u00fcssen f\u00fcr eine DNS-Security-L\u00f6sung keine weiteren Netzwerk-Ressourcen bereitgestellt werden. Auch die Koordination durch ein Expertenteam entf\u00e4llt.<\/p>\n\n\n\n<!--nextpage-->\n\n\n\n<p><strong>DNS-Tunneling \u2013 Achtung bei SaaS-L\u00f6sungen!<\/strong><\/p>\n\n\n\n<p>Wie jede Form der Online-Kommunikation, arbeiten auch SaaS-L\u00f6sungen mit Domain-Namen. Hier ist aber Vorsicht geboten. Denn ein beliebter Weg der Angreifer, um Kreditkartendaten, Passw\u00f6rter, Personaldaten, und so weiter unbemerkt aus Unternehmen heraus zu schleusen, ist das DNS-Tunneling. Das Domain Name System bietet ungesch\u00fctzt n\u00e4mlich die idealen Voraussetzungen f\u00fcr einen Angriff: Um die \u201eGrundfunktion\u201c von DNS, das \u00dcbersetzen einfacher URL-Adressen in sperrige IP-Adressen, zu erf\u00fcllen, muss die Kommunikation zum DNS-Server stets funktionieren. Dabei f\u00fchrt der Weg meistens \u00fcber den Port 53. Die Gefahr: Port 53 ist in zehn von zehn F\u00e4llen offen \u2013 auch f\u00fcr Angreifer. Diese nutzen den offenen \u201eHighway 53\u201c indem sie eine Domain registrieren. Die empf\u00e4ngt DNS-Pakete, die ein durch Malware infizierter Client nach au\u00dfen schickt. Dabei m\u00fcssen Daten zwar in unterschiedliche Gr\u00f6\u00dfen aufgeteilt werden, was etwas m\u00fchselig ist. Doch der Aufwand lohnt sich: Der DNS-Server denkt, die Daten gehen an eine externe Domain. Und so l\u00e4sst er die Daten durch. Angreifer k\u00f6nnen so in Ruhe ihren Machenschaften nachgehen und munter Daten aus Unternehmen exfiltrieren.<\/p>\n\n\n\n<p><strong>Abwehrmittel Datenpool<\/strong><\/p>\n\n\n\n<p>DNS Response Policy Zones (RPZ) und Threat Intelligence Feeds k\u00f6nnen helfen, den Informationsaustausch via Domain Name System zu pr\u00fcfen \u2013 und b\u00f6sartige Anfragen gar nicht erst aufzul\u00f6sen. Beispielsweise kennt der Datenpool des Infoblox ActiveTrust Feed derzeit \u00fcber 4,5 Millionen sch\u00e4dliche Domain-Names, deren Anfragen umgehend isoliert und nicht bis zum angefragten Server durchgelassen werden \u2013 egal, ob es sich um bekannte Angriffsvektoren oder um 0-Day-Attacken handelt, die mittels Behavioural Analyse beziehungsweise Machine Learning erkannt werden k\u00f6nnen.<\/p>\n\n\n\n<p><strong>Entlastung f\u00fcr CISOs<\/strong><\/p>\n\n\n\n<p>Ebenfalls relevant f\u00fcr CISOs: Da DNS der kleinste gemeinsame Nenner f\u00fcr den Netzwerkzugriff ist und die Steuerung der Sicherheit damit auf der untersten Ebene beginnt, kann eine Vielzahl an Bedrohungen bereits hier gestoppt werden. Die Basis daf\u00fcr ist die Masse an Informationen, die im DNS \u00fcber IP-Adressen zur Verf\u00fcgung steht.<\/p>\n\n\n\n<p>DNS-Anwendungen \u00fcberpr\u00fcfen \u2013 ob physisch oder virtuell \u2013 viele Millionen Gefahren- Indikatoren (Indicators of Compromises oder IOCs) und damit \u00fcbrigens weit mehr als Next Generation Firewalls, die jeweils bis zu 200.000 Regeln verarbeiten k\u00f6nnen. Sie fangen damit DNS-Bedrohungen ab und blockieren sie, bevor sie Schaden anrichten k\u00f6nnen. DNS-basierte Sicherheit reduziert den Traffic von Next Generation Firewalls um das bis zu 60-fache. Damit wird eine Sicherheitsstrategie auf Basis von DNS skalierbar. DNS-Sicherheit kann in jede bereits bestehende Sicherheitsinfrastruktur integriert werden und diese sofort \u00fcber akut auftretende IOCs informieren. Threat Intelligence wird damit auf infizierten Ger\u00e4ten angewendet, bevor Malware die Chance zur Verbreitung hat.<\/p>\n\n\n\n<p>Und noch einen weiteren positiven Aspekt gibt es: SecOps-Teams werden deutlich produktiver, denn die Zeit, die sie auf die L\u00f6sung von Sicherheitsbedrohungen aufwenden m\u00fcssen, verk\u00fcrzt sich. So stehen mehr personelle Ressourcen zur Verf\u00fcgung, um sich auf strategische, gesch\u00e4ftskritische Sicherheitsentscheidungen zu fokussieren.<\/p>\n\n\n\n<p>Auch DNS-Sicherheit wird mittlerweile direkt aus der Cloud angeboten. Unternehmen erhalten so eine noch skalierbarere L\u00f6sung, ohne eine neue physische Infrastruktur einrichten zu m\u00fcssen.<\/p>\n\n\n\n<p><strong>Vorhandenes DNS sinnvoll nutzen<\/strong><\/p>\n\n\n\n<p>Durch den Einsatz von DNS-Security aus der Cloud als Grundlage von Netzwerksicherheit, l\u00f6sen Unternehmen mehrere Probleme auf einmal: Die Anzahl der Tools, die zur Abwehr von Cyber-Bedrohungen ben\u00f6tigt werden, wird reduziert. Denn IOCs werden auf DNS-Ebene abgefangen und an automatisierte Tools zur Bedrohungsabwehr weitergeleitet. Dies reduziert die Anzahl der Bedrohungen, die vom Next Generation Firewalls bewertet werden m\u00fcssen, enorm. Letztendlich wird dadurch die Belastung der SecOps-Mitarbeiter reduziert und die Auswirkungen des Fachkr\u00e4ftemangels abschw\u00e4cht. DNS-Sicherheit sollte gerade in der heutigen Bedrohungslage und in Zeiten von Remote Work stets ein elementarer Bestandteil der Sicherheitsarchitektur von Unternehmen sein. CISOs setzen mit DNS-Sicherheit auf bereits vorhandene Ressourcen und k\u00f6nnen so effektiv ihre bisher blinden Flecken in der Bedrohungslandschaft aufdecken und Gefahren abwehren.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>CISOs sind frustriert: Um die komplexe IT-Landschaft in ihren Unternehmen abzusichern, sind sie gezwungen, auf eine F\u00fclle an Security-Tools zu setzen. Doch w\u00e4hrend ein Teil des Netzwerks gut gesch\u00fctzt ist \u2013 einiges gar doppelt und dreifach \u2013 klaffen an anderen Stellen Sicherheitsl\u00fccken auf, die so gut wie gar nicht \u00fcberwacht werden. Um aus der Frustration zu gelangen, gilt es f\u00fcr CISOs zwei Dinge zu unternehmen: Zum einen m\u00fcssen sie alle eingesetzten Tools und Verteidigungsstrategien neu bewerten. Welche sind in der heutigen Umgebung \u00fcberhaupt sinnvoll? Bei welchen entstehen durch \u00dcberschneidungen nur noch gr\u00f6\u00dfere Sicherheitsl\u00fccken? Zum anderen m\u00fcssen CISOs alle vorhandenen Ressourcen auf bessere M\u00f6glichkeiten zur Absicherung untersuchen. Zu den am meisten \u00fcbersehenen Ans\u00e4tzen geh\u00f6ren DNS-Analysen. Welche Vorteile aber hat gerade der Einsatz des Domain Name Systems?<\/p>\n","protected":false},"author":3,"featured_media":18437,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,37],"tags":[705,1501,11311,14726,555,1411],"class_list":["post-18436","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-security","tag-ciso","tag-dns","tag-infoblox","tag-rpz","tag-saas","tag-soc"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/18436","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/3"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=18436"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/18436\/revisions"}],"predecessor-version":[{"id":18438,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/18436\/revisions\/18438"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/18437"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=18436"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=18436"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=18436"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}