אבטחת DNS – קו ההגנה הראשון
על רקע ריבוי מתקפות הכופרה בתקופה האחרונה, איתי זיידל, מנהל הלקוחות האזורי של אינפובלוקס בישראל, מספר כיצד החברה מסייעת בהגנה מפני איומים אלה
למה חשוב להגן על ה-DNS?
"אבטחת DNS נותרה קו ההגנה הראשון, והיא חייבת להיות חלק קריטי בהגנה מפני תוכנות כופר של כל ארגון, שכן תוכנות כופר ורוב התוכנות הזדוניות משתמשות ב-DNS בשלב אחד או יותר של שרשרת התקיפה.
ניתן להשתמש ב-DNS במהלך שלב הסיור, כאשר מדובר בהתקפה ממוקדת. DNS משמש גם בשלב המסירה כקורבנות פוטנציאליים שמבצעים ביודעין שאילתות DNS עבור כתובות IP המעורבות בהתקפה. DNS ישמש גם בתהליך מסירת הדוא"ל, כאשר הכופר מתפשט באמצעות קמפיינים של ספאם. שלב הניצול עשוי לכלול שאילתות DNS כאשר המערכת של הקורבן נפגעת ומודבקת. DNS משמש לעתים קרובות גם כאשר מערכת נגועה נכנסה באמצעות תשתית הפקודה והשליטה (C&C).
"שימוש במודיעין איומים וניתוח ב-DNS הפנימי שלך יכול לזהות ולחסום פעילות נבזית כזו מוקדם, לפני שתוכנות כופר מתפשטות או מורידות את תוכנת ההצפנה".
אילו מגמות אתם מזהים?
"התקפות כופר הפכו לאחד האיומים המזיקים ביותר היום, ואין ארגון שיכול לראות את עצמו מוגן מפני מתקפות אלה. לאחרונה חל שינוי בהתקפות כופר, והן הפכו לשכיחות ומתוחכמות יותר – מגניבת נתונים עסקיים ועד שיבוש פעולות רפואיות. התקפות כופר מתבצעות בתדירות גבוהה יותר על ידי מדינות לאום ופשע מאורגן, וגורמות לנזקים בהיקף מיליוני דולרים בשל פגיעה במוניטין, הוצאות התאוששות, תשלומי כופר, אובדן הכנסות, חוסר יכולת להשתמש בתשתיות קריטיות ועוד.
"חשוב מאוד שהפונקציות העסקיות הארגוניות ופעולות הייצור יופרדו, ושהלקוח יידע לסנן ולהגביל בקפידה את הגישה לאינטרנט ולרשתות תפעוליות. צריך לזהות קישורים בין רשתות אלה ולפתח דרכים לעקיפת הבעיה על ידי פקודות ידניות כדי להבטיח שניתן יהיה לבודד רשתות ICS ולהמשיך לפעול אם הרשת הארגונית שלך נפגעת. נדרש לבחון באופן קבוע תוכניות מגירה, כגון בקרות ידניות, כך שניתן יהיה לשמור על פונקציות קריטיות לבטיחות במהלך אירוע סייבר".
על איזו אסטרטגיה אתה ממליץ לשיפור האבטחה של חברות ומשתמשים?
"אנו ממליצים על הגנה עמוקה כדי להבטיח שכלל מערך ה-IT הארגוני יעבוד באופן פרודוקטיבי. נוסף על כך אפשר להשתמש גם ב־DDI, שהוא שירות המוטמע בליבת הרשת על ידי ארגונים לצורך חיבור בין מכשירים, כדי לספק נראות קריטית על כל אחד מן החיבורים של כל מכשיר ברשת הארגונית. הדבר עוזר לארגונים לזהות פעילויות חשודות, אלגוריתמים ליצירת דומיינים זדוניים (DGA), תקשורת לשרתי שליטה ובקרה (C&C), והוצאת נתונים מתוך הרשת (DNS Exfiltration). כמו כן, שימוש במוצר לאבטחת DNS מסייע בשילוב כל כלי האבטחה שבהם משתמש הארגון להחלת מדיניות אבטחה אחידה ועקבית, המאיצה את הגילוי והתגובה עבור כלל האקו-סיסטם של הרשת, בין אם מדובר באתר עצמו או בענן".
איזו תמיכה מקבלים הלקוחות בישראל?
"כספק המוביל בעולם של פתרונות אבטחה לרשת הארגונית, אנו עוזרים ללקוחות לפשט ולהגדיל את שירותי הרשת היסודיים והאבטחה שלהם עבור עולם ה-"cloud-first. לאינפובלוקס (Infoblox) יותר מ־12,000 לקוחות ב־25 מדינות, וישראל הפכה, הודות לרמת ההתפתחות הגבוהה שלה ביישום טכנולוגיות סייבר חדשות, לשוק מפתח באגן הים התיכון.
"הלקוחות מקבלים תמיכה מקצועית רחבה מצוות אינפובלוקס המקומי בשיתוף עם חברת אקסקלוסיב נטוורקס (Exclusive Netwotks), שהינה המפיץ הגדול ביותר של אינפובלוקס בעולם והמפיץ הבלעדי בישראל.
"לסיכום, בהתחשב בגאות הגוברת של התקפות כופר, על ארגונים מוטלת האחריות להגן על עצמם ולשמור על המשאבים הארגוניים, על העובדים והשותפים שלהם בטוחים. זה תלוי בנו – בבניית עמדה ביטחונית חזקה באמצעות שימוש במודיעין ביטחוני, אבל גם על ידי אימוץ סדרה של שיטות עבודה מומלצות, המערבות את הארגון כולו. בדרך להשגת יעד זה, אל תחמיצו את התפקיד הקריטי שיש לניהול מאובטח של DNS בתהליך.
אינפובלוקס היא ספקית עולמית מובילה של שירותי DNS ורשת מאובטחים המנוהלים בענן, ומופצת בבלעדיות בישראל על ידי אקסקלוסיב נטוורקס (Exclusive Networks) .