Contramedidas eletrônicas

Durante as guerras no Iraque e no Afeganistão, o uso de dispositivos explosivos improvisados ​​(IEDs) dos insurgentes proliferou. Os Estados Unidos aumentaram o desenvolvimento do equipamento de contra-IED para melhorar a detecção de explosivos e componentes precursores explosivos e para derrotar os próprios IEDs como parte de uma capacidade de defesa mais ampla. Uma estratégia efetiva foi bloquear ou interromper comunicações de freqüência de rádio (RF) para contrariar IEDs com rádio controlado (RCIEDs). Esta abordagem perturba as partes críticas das comunicações de RF, fazendo com que a comunicação do RCIED se ative de forma ineficaz, salvando vidas e propriedades de guerreiros e civis. Há algum tempo, o mundo cibernético também foi atacado por um conjunto difuso de inimigos que improvisam suas próprias ferramentas em muitas variedades diferentes e escondem-nas onde podem causar muito dano. Esta analogia tem suas limitações; No entanto, aqui eu quero explorar a idéia de interromper as comunicações de códigos mal-intencionados, como o ransomware usado para bloquear seus recursos digitais, ou o software de dados-exfiltração usado para roubar seus dados digitais.

A analogia do IED foi alavancada na Lockheed Martin Corporation Cyber ​​Kill Chain (CKC) , que descreve os estágios do ataque cibernético em uma abordagem baseada em processo (novamente, essa imagem tem suas limitações). Embora o CKC tenha sido usado principalmente na exfiltração de dados como a “ação sobre objetivos”, uma abordagem semelhante pode ser descrita para ransomware, com o bloqueio de seus ativos digitais como o resultado final pretendido. Tal como as iniciativas contra-IED desenvolvidas pelos militares dos EUA, os recursos de segurança cibernética estão disponíveis para uma empresa em várias fases do “ciclo de vida” desse software mal-intencionado e podem ser implantados para combater esses ataques. O código malicioso ou o malware depende muito de seus meios de comunicação de rede para executar várias atividades nefastas e implementar muitas etapas de sua exploração. Em um sentido, o CKC demonstra que, se a cadeia de comunicação pode ser quebrada, você pode neutralizar o efeito do código malicioso e desativar sua capacidade de alcançar sua ação no objetivo. A figura abaixo mostra um portfólio de segurança cibernética com vários recursos de segurança cibernética que podem quebrar a cadeia de atividades maliciosas contra uma empresa.

Figure1_dnsblocking_sarvepalli.png

Esses recursos fornecem níveis variáveis ​​de interrupção de sinal ou interferência de comunicações ao código malicioso, bloqueando sua capacidade de completar sua ação no objetivo. A capacidade mais à esquerda – bloqueio do protocolo – bloqueia as comunicações de rede de risco e pode ser realizada no nível da rede. A capacidade mais à direita – bloqueio de arquivos – geralmente requer presença no ponto final ou no host. À medida que você se desloca para a direita deste portfólio de defesa, você pode garantir uma maior precisão em sua defesa contra códigos maliciosos. No entanto, ele vem com mais complicações na implementação e a expectativa de ter visibilidade de cada dispositivo de ponto final na empresa e o custo adicional. O bloqueio de Serviços de Nomes de Domínio (DNS) cai no meio desses tipos de capacidade, garantindo um grande impacto, evitando a complexidade de ter que instalar ou instrumentar cada dispositivo em sua empresa. A chave para levar é a meta de uma interrupção na cadeia de malware para minimizar sua eficácia e o sucesso pretendido pelo desenvolvedor de código mal-intencionado.

Keytakeaway_dropquote_sarvepalli.png

O DNS fornece uma pesquisa semelhante à lista telefônica de recursos da Internet. O bloqueio do DNS nega a pesquisa da lista telefônica ou responde de uma maneira que desabilita a comunicação para um recurso de internet específico. Nesse sentido, o bloqueio de DNS fornece uma defesa valiosa contra múltiplos estágios do CKC e pode ser comparado ao Duke V3 , um sistema eletrônico de contramedidas para RCIEDs desenvolvido pela SRC, Inc. e utilizado no Afeganistão. O sucesso do Duke V3 foi atribuído à sua capacidade de interromper as comunicações críticas do canal de controle que ativam o IED. Duke V3 foi promovido pelo seu baixo custo e alto raio de proteção. O bloqueio de DNS, em um sentido semelhante, pode ser implantado no perímetro de uma empresa com um custo razoável e tem um grande impacto no bloqueio de comunicações mal-intencionadas. Este blog passa pelo processo de criação e habilitação de um recurso de bloqueio de DNS em sua empresa.

Escolhendo o que bloquear o uso do DNS

Os serviços de DNS recursivos de nível corporativo de hoje fornecem uma variedade de opções para bloquear nomes de domínio. Aqui exploraremos algumas categorias e seus benefícios.

  1. Lista negra de domínio de nível superior. Em vez de escolher nomes de domínio para bloquear de forma exclusiva, você optar por bloquear domínios de nível superior inteiro, como .XXX (pornografia), .BIT (servidores de troca de arquivos BitTorrent) ou .TOR2WEB (proxy TOR). Esta abordagem pode ser extremamente benéfica na redução das categorias de nomes de domínio com risco de serem resolvidas pela sua empresa.
  2. Novos domínios. Serviços como Domínios Recentemente Observados (NOD) podem fornecer proteção rápida de nomes de domínio que foram registrados recentemente para fins maliciosos. Esse tipo de lista de bloqueios pode tornar difícil para autores de malware criar novos domínios e usar algoritmos de geração de domínio para manter suas comunicações mal-intencionadas inatingíveis.
  3. Subscrição da Zona de Política de Resposta (RPZ). Em vez de criar listas elaboradas de nomes de domínio incorretos, o DNS RPZ pode ser usado para pesquisa on-demand de nomes de domínio através de um provedor de serviços para obter sua reputação ou suas categorias e usá-los para bloquear os nomes de domínio.
  4. Por resposta ou solicitação de IP / bloco de rede . Os nomes de domínio que resolvem um bloco de rede que esteja em um país ou em uma zona de rede não confiável podem ser completamente bloqueados. Essa abordagem também pode ser usada para bloquear um dispositivo interno ou uma rede que está solicitando acesso a um recurso baseado na Internet. Usando esse método, você pode restringir todos os segmentos de rede interna de suas organizações do acesso a recursos externos.Você também pode restringir outras comunicações de risco, como a ligação de DNS , em que um nome de domínio externo pretende ser um recurso local.
  5. Por tipos de dados anômalos e respostas . As respostas de nomes de domínio a tipos desconhecidos de solicitações (queixa não RFC, não relevante) e respostas absurdas (NULL) podem ser usadas para bloquear o tunelamento DNS e abuso do protocolo DNS para criar canais secretos. Este método é muito eficaz na eliminação de comunicações falsas ou tentativas de comunicações de canais secretas usando o DNS.

Escolhendo como bloquear

O bloqueio de DNS é realizado para domínios maliciosos no limite recursivo da empresa usando três categorias amplas de resposta de nome:

  1. Domínio inexistente (NXDOMAIN ): esse método é usado para fornecer uma resposta que o domínio solicitado ou a própria entidade de domínio não existe.
  2. Domínio redirecionado : neste caso, um pedido de domínio mal-intencionado é redirecionado para um recurso local para colocá-lo em quarentena e fornecer suporte para mitigação e recuperação.
  3. Pedido negado : o servidor se recusa a responder uma consulta específica (Response Code 5: Query Refused) para interromper cargas de DNS anômalas.

Em muitos casos, a resposta NXDOMAIN é mais simples de implementar e fornece uma maneira de negar pedidos para recursos de nomes de domínio maliciosos. No entanto, a NXDOMAIN torna difícil fornecer feedback aos usuários que podem clicar em links maliciosos ou tentar trabalhar em torno do bloco, sem saber que é uma violação de segurança. Essas três opções oferecem uma variedade de opções para planejar seu “bloqueio” de comunicações mal-intencionadas para que você não consiga limitar apenas o risco, mas também recuperar dispositivos provavelmente infectados em sua empresa. Por exemplo, escolher redirecionamento de domínio para colocar em quarentena um conjunto de domínios de alto risco permite que você colete informações em seus computadores corporativos ou sistemas infectados com malware.

Desafios para bloqueio de DNS

É importante notar que o bloqueio de DNS coloca alguns desafios para a empresa. Aqui estão algumas práticas que sua organização pode usar para reduzir seu impacto em sua empresa ou missão e reforçar sua solução, permitindo o bloqueio de DNS em seu perímetro.

  1. Lista branca antes da lista negra. Os nomes de domínio confiáveis ​​e as extensões de domínio que devem ser permitidas na sua empresa para garantir comunicações críticas como VOIP, email e comunicação para parceiros confiáveis ​​não são afetados negativamente por essa capacidade. É importante que você crie uma lista branca e garanta que ela seja mantida com documentação, rastreamento e gerenciamento de ciclo de vida claros.
  2. Usando DNSSEC . Extensões de segurança DNS (DNSSEC) permitem assinaturas digitais de nomes de domínio, tornando-os invioláveis. As assinaturas digitais podem ser um desafio para implementar o bloqueio de DNS porque os recursos internos da empresa podem ignorar a resposta fornecida pelo sistema de bloqueio de DNS. Uma técnica de mitigação é fazer com que o sistema de bloqueio DNS atue como um servidor autêntico para domínios DNSSEC bloqueados. Você pode prosseguir isso uma vez que você mediu o uso do DNSSEC em sua empresa e avaliou a necessidade de evitar quaisquer estrangulamentos que ele introduz.
  3. Gerenciando a lista negra (volume, ciclo de vida, privado versus público, lista negra classificada) . As listas negras de DNS gerenciadas localmente podem tornar-se rapidamente impossíveis de gerenciar em tamanho e complexidade. Na maioria dos casos, é melhor associar-se a um fornecedor que pode gerenciar essas “zonas” na lista negra e fornecer respostas via RPZ sob demanda. Isso reduz o tamanho da lista negra, enquanto fornece uma pesquisa sob demanda para domínios desconhecidos válidos. As empresas também devem gerenciar a lista negra local com atividades claras do ciclo de vida e garantir que os domínios sejam expirados e removidos da lista negra. A série de provedores de lista negra também pode ser difícil de avaliar, mas avaliá-los para sua indústria irá ajudá-lo a escolher o provedor de serviços de lista negra mais adequado. Eu recomendo que você reserve listas negras classificadas (de governo) ou de propriedade privada (inteligência de ameaça interna) para a pesquisa final, depois de investigar todas as outras listas negras, para garantir que seus recursos críticos de análise de ameaças sejam focados em atores de ameaças avançados. Isso pode ser comparado aos sistemas de controle de loop multi-loop , onde vários filtros são usados ​​para afinar um loop de controle efetivo. Nos sistemas de controle multi-loop, os filtros com efeito amplo de “soma” são priorizados nas fases iniciais.
  4. Logging e análise . As consultas de DNS para uma empresa podem ser volumosas, variando de 30.000 para 80.000 consultas cumulativas por segundo em uma empresa de grande escala. Estes podem ser muito difíceis de registrar para todo o sistema recursivo DNS. No entanto, o registro de consultas de DNS bloqueadas e a análise delas são essenciais para entender a eficácia de sua capacidade de bloqueio de DNS. Logging e análise também permite solicitações sistemáticas dos usuários a lista branca de certos nomes de domínio. Além de aplicar as melhores práticas gerais para suas ferramentas de segurança cibernética, os logs de bloqueio de DNS devem manter informações mínimas para entender suficientemente (a) o que foi bloqueado, (b) quando o bloqueio foi acionado, (c) qual dispositivo ou rede a jusante solicitou o bloqueio Recurso, e (d) qual política foi desencadeada no evento de bloqueio.

Way Forward no bloqueio de DNS

O bloqueio de DNS continuará a desempenhar um papel crítico na cadeia de valores de capacidades de segurança cibernética da empresa. As capacidades de ponta mais altas em sua empresa que fazem trabalhos complexos como a aprendizagem por máquina continuarão a se beneficiar de indicadores como listas negras de DNS. Toda empresa deve explorar seu papel e sua abordagem pertinente para habilitar o bloqueio do DNS. À medida que sua organização amadurece no bloqueio do DNS, aqui estão algumas idéias avançadas nesta área para explorar para garantir que o serviço não se torne obsoleto, mas mudanças dinâmicas para enfrentar novos desafios na segurança cibernética:

  1. Explore opções para provedor de serviços de Internet (ISP) ou serviços gerenciados.
    Um serviço de bloqueio DNS gerenciado pelo ISP pode ser tanto econômico quanto simples para sua empresa prosseguir. Mas, normalmente, você deve considerar um serviço gerenciado pelo ISP somente depois de ter uma capacidade de bloqueio de DNS em sua empresa, porque primeiro você deve entender as necessidades da sua organização nessa área para que possa comunicá-la efetivamente como requisitos para um provedor de serviços externo. Um ISP a montante que fornece bloqueio de DNS como um serviço também pode estar explorando o uso de vários provedores RPZ para garantir a segurança das comunicações de dados. Um serviço de bloqueio gerenciado pelo ISP pode ser uma opção viável, especialmente se ele também fornece log para sua análise.
    Buttypically_dropquote_sarvepalli.png
  2. Aumente sua lista negra com pontualidade e contexto . Muitos provedores de lista negra não oferecem um contexto ou compreensão suficiente de domínios bloqueados por uso malicioso ou intenção maliciosa. Este contexto é crítico para uma organização que está construindo sua própria lista negra e protegendo contra alguns atores de ameaças avançadas. Sempre que possível, aumente sua lista negra com o máximo de contexto possível para garantir que você tenha informações suficientes para analisar os eventos de bloqueio e entender ameaças e riscos específicos experimentados pela empresa.
  3. Mude para além dos indicadores para entender as técnicas adversárias . Novas modalidades de computação fornecem a capacidade de analisar dados em escala e usar padrões para reconhecer técnicas adversárias. Métodos como aprendizado de máquina e análise preditiva podem ajudar a obter conhecimento dos dados obtidos usando recursos como o bloqueio de DNS. Depois de ter amadurecido sua capacidade e ter dados volumosos, você pode aplicar técnicas para ampliar sua lista negra para detectar padrões de uso mal-intencionado e expandir sua lista negra para capturar técnicas adversárias (como algoritmos de geração de domínio ou técnicas de registro de domínio) em vez de indicadores específicos (como nomes de domínio).

As técnicas usadas pelos ciber adversários continuam a evoluir, usando mais ataques de camada de aplicativos respaldados por um conjunto de ferramentas muito sofisticado. É necessário que uma estratégia de defesa da empresa seja oportuna, econômica e ativa para continuar a proteger seus sistemas e dados. O bloqueio de DNS é claramente uma dessas capacidades para ativar e mitigar os riscos associados às ameaças cibernéticas.

Referências e Leitura adicional

(Referências a produtos, processos ou serviços comerciais específicos não implicam necessariamente aprovação pela Universidade Carnegie Mellon ou pelo Instituto de Engenharia de Software).

Counter IED: https://en.wikipedia.org/wiki/Counter-IED_equipment

Mietzner, Jan, et al. “Conexões de comunicações sensíveis contra dispositivos explosivos improvisados ​​com controle de rádio”. IEEE Communications Magazine 50.10 (2012): 38-46.

Uma abordagem orientada pela ameaça para a segurança cibernética: http://lockheedmartin.com/content/dam/lockheed/data/isgs/documents/Threat-Driven%20Approach%20whitepaper.pdf

Introdução DNS RPZ: https://dnsrpz.info/

Técnicas de configuração RPZ: http://www.zytrax.com/books/dns/ch7/rpz.html

RPZ em escalas empresariais: http://blogs.cisco.com/security/using-dns-rpz-to-block-malicious-dns-requests

Serviço RPZ Spamhaus botnet: https://www.spamhaus.org/news/article/669/spamhaus-dbl-as-a-response-policy-zone-rpz

Serviço NOD Farsight: https://www.farsightsecurity.com/solutions/threat-intelligence-team/newly-observed-domains/

Visão geral do serviço Cisco Umbrella sobre a segurança do DNS: https://learn-umbrella.cisco.com/solution-briefs/dns-layer-network-security

Reencaminhamento de DNS: https://en.wikipedia.org/wiki/DNS_rebinding

Sistemas de controle multi-loop: http://portal.tpu.ru/f_ic/files/international/publications/36.pdf

Anúncios