Che cos'è la sicurezza DNS?

Quando la maggior parte delle persone usa Internet, utilizza i nomi di dominio per specificare il sito web che desidera visitare, ad esempio checkpoint.com. Questi nomi di dominio sono indirizzi di facile utilizzo che vengono mappati dal Domain Name System (DNS) agli indirizzi Internet Protocol (IP) che i computer e altri componenti dell'infrastruttura di rete utilizzano per identificare i diversi dispositivi connessi a Internet. In sintesi, il Domain Name System è il protocollo che rende utilizzabile Internet permettendo l'uso dei nomi di dominio.

Il DNS gode di ampia fiducia da parte delle organizzazioni e il traffico DNS è in genere autorizzato a passare liberamente attraverso i firewall di rete. Tuttavia, è comunemente attaccato e abusato dai criminali informatici. Di conseguenza, la sicurezza del DNS è un componente critico della sicurezza della rete.

 

Richiedi una Demo Scopri di più

Che cos'è la sicurezza DNS?

Come viene utilizzato il DNS negli attacchi

Alcune minacce includono attacchi contro l'infrastruttura DNS:

  • Distributed Denial of Service (DDoS): L'infrastruttura DNS è essenziale per il funzionamento di Internet. Gli attacchi DDoS contro il DNS possono rendere irraggiungibili i siti web rendendo non disponibili i server DNS che li servono, saturando la rete con quello che sembra traffico legittimo. Un esempio classico è l'attacco DDoS del 2016 contro Dyn, in cui un esercito di bot ospitati su telecamere connesse a Internet ha causato interruzioni a molti siti web importanti, tra cui Amazon, Netflix, Spotify e Twitter.
  • Amplificazione DNS DDoS: Il DNS utilizza UDP, un protocollo senza connessione, per il trasporto, il che significa che un aggressore può falsificare l'indirizzo di origine di una richiesta DNS e far inviare la risposta a un indirizzo IP di sua scelta. Inoltre, le risposte DNS possono essere molto più grandi delle richieste corrispondenti. Gli aggressori DDoS sfruttano questi fattori per amplificare i loro attacchi, inviando una piccola richiesta a un server DNS e ricevendo una risposta massiccia trasmessa all'obiettivo. Ciò si traduce in un DoS dell'host di destinazione.
  • Altri attacchi Denial of Service (DoS): Oltre agli attacchi DDoS basati sulla rete, anche le applicazioni che girano sui server DNS possono essere bersaglio di attacchi DoS. Questi attacchi sono progettati per sfruttare le vulnerabilità nell'applicazione dei server DNS, rendendoli incapaci di rispondere alle richieste legittime.

Il DNS può anche essere abusato e utilizzato nei cyberattacchi. Esempi di abuso del DNS includono:

  • Dirottamento DNS: Il DNS Hijacking si riferisce a qualsiasi attacco che inganna l'utente facendogli credere di connettersi a un dominio legittimo, mentre in realtà è connesso a un dominio dannoso. Questo può avvenire utilizzando un server DNS compromesso o maligno, oppure ingannando un server DNS e facendogli memorizzare dati DNS errati (un attacco chiamato cache poisoning).
  • Tunneling DNS: Poiché il DNS è un protocollo affidabile, la maggior parte delle organizzazioni gli consente di entrare e uscire liberamente dalla propria rete. I criminali informatici sfruttano il DNS per l'esfiltrazione dei dati con malware le cui richieste DNS contengono i dati da esfiltrare. Poiché il server DNS di destinazione è in genere controllato dal proprietario del sito web di destinazione, gli aggressori si assicurano che i dati raggiungano un server in cui possano essere elaborati da loro, e che venga inviata una risposta nel pacchetto di risposta DNS.
  • Evasione della sicurezza con nomi di dominio casuali (DGA): Gli attori delle minacce utilizzano algoritmi sofisticati per generare centinaia di migliaia di nomi di dominio nuovi di zecca, utilizzando un algoritmo di generazione di domini (DGA). Il malware presente su un computer infetto utilizzerà poi questi nomi di dominio nuovi di zecca per eludere il rilevamento e connettersi al server di comando e controllo esterno dell'hacker. Le soluzioni di sicurezza tradizionali non sono abbastanza veloci per determinare se questi domini sono dannosi o meno, quindi si limitano a lasciarli passare.

L'importanza della sicurezza DNS

Il DNS è un protocollo vecchio ed è stato costruito senza alcuna sicurezza integrata. Sono state sviluppate diverse soluzioni per aiutare a proteggere il DNS, tra cui:

  • Filtraggio della reputazione: Come qualsiasi altro utente di Internet, la maggior parte dei malware deve effettuare richieste DNS per trovare gli indirizzi IP dei siti che sta visitando. Le organizzazioni possono bloccare o reindirizzare le richieste DNS verso domini noti come dannosi.
  • Ispezione DNS: Anche l'uso del DNS per l'esfiltrazione dei dati tramite tunneling DNS o l'evasione della sicurezza tramite algoritmi di generazione di domini può essere rilevato e bloccato in tempo reale da Next Generation Firewall (NGFW) che sfrutta threat intelligence alimentato da motori di Deep Learning dell'IA. Questo aiuta a bloccare anche il malware più sofisticato che utilizza il DNS per le comunicazioni di comando e controllo (C2) del malware e altri attacchi.
  • Proteggere il protocollo: Il DNSSEC è un protocollo che include l'autenticazione per le risposte DNS. Dal momento che la risposta autenticata non può essere spoofata o modificata, gli aggressori non possono utilizzare il DNS per inviare gli utenti a siti dannosi.
  • Proteggere il canale: Il DNS over TLS (DoT) e DoH (DNS over HTTPS) aggiunge un livello di sicurezza a un protocollo insicuro. Questo assicura che le richieste siano crittografate e autenticate, a differenza del DNS tradizionale. Utilizzando DoH e DoT, un utente può garantire la privacy delle risposte DNS e bloccare le intercettazioni delle sue richieste DNS (che rivelano i siti che sta visitando).

Analisi, threat intelligence e caccia alle minacce

Il monitoraggio del traffico DNS può essere una ricca fonte di dati per i team del Security Operations Center (SOC), che monitorano e analizzano la postura di sicurezza della sua azienda. Oltre a monitorare i firewall per gli Indicatori di Compromissione (IoC) del DNS, i team SOC possono anche essere alla ricerca di domini simili.

Prevenzione dell'uso dannoso del protocollo DNS

Check Point Quantum Next Generation Firewall rileva il traffico dannoso e gli attacchi di tunneling DNS tramite ThreatCloud IA, il suo sistema globale threat intelligence. ThreatCloud IA analizza le richieste DNS e invia un verdetto ai firewall - per eliminare o consentire la richiesta DNS in tempo reale. Questo impedisce il furto di dati attraverso il tunneling DNS e le comunicazioni di comando e controllo tra un host interno infetto e un server C2 esterno.

We encourage you to ask for a demo of new DNS Security capabilities in Quantum release R81.20 and learn more about the threat analytics and threat hunting capabilities of Check Point Infinity SOC.

×
  Feedback
Questo sito Web utilizza i cookie per motivi funzionali e a scopo di analisi e marketing. Continuando a utilizzare il sito Web, accetti implicitamente l'uso dei cookie. Per ulteriori informazioni, si prega di leggere la nostra Informativa sui cookie.
OK