DNS Security – Warum ein secure DNS essenziell für Unternehmen ist
Das Domain Name System ist seit über 30 Jahren nahezu allgegenwärtig und aus unserem Alltag nicht mehr wegzudenken. Und somit der perfekte Ansatzpunkt für die unterschiedlichsten Angriffsszenarien! Denn das DNS-Protokoll ist grundsätzlich sowohl unverschlüsselt als auch nicht vertrauenswürdig. Eine Tatsache, die natürlich auch Cyber-Kriminelle kennen und zu schätzen wissen.
Schon deshalb ist der Ansatz eines secure DNS und individuell abgestimmter Kompatibilität der richtige Weg in Zeiten konstanter Bedrohung. Hier ein Überblick:
Konstante Bedrohungslage
Es vergeht kaum eine Woche ohne Meldungen über neue Datenlecks, Ransomware-Angriffe oder gar Manipulationen durch Angreifer. Dementsprechend wundert es auch niemanden, dass ein IT-Security Zwischenfall zu den wirtschaftlich gefährlichsten Bedrohungen eines Unternehmens gehört. Seit Jahren erhöhen sich die Ausgaben im Bereich der IT-Security und konzentrieren sich dabei bislang auf den Perimeter (NGFW, Web- & E-Mail-Security), den Endpunkt sowie den Bereich Security Analytics (SIEM, UBA, NTA). Auch Ansätze wie Zero-Trust, welche die Security in den Kern des Netzes rücken, decken dabei nicht alle Kommunikationskanäle ab.
DNS - unsecure by design
Das Domain Name System löst Domänen-Namen und damit URLs in IP-Adressen (oder andersherum) auf und fungiert somit als Auskunftsstelle eines jeden Netzwerkes und letztendlich des Internets. Bereits zu Beginn der 80er Jahre entwickelt, wurde das DNS ohne jegliche Sicherheitsverfahren und Prüfung der Authentizität designt. Dies bedeutet, es gab und gibt noch heute keine Möglichkeit, den Inhalt oder den Absender eines DNS-Paketes vertrauenswürdig zu betrachten. Um dies zu adressieren, gibt es diverse Weiterentwicklungen und Ergänzungen wie zum Beispiel DNSSEC, DoT & DoH. Auf deren Funktionsweise und Rolle im Bereich der DNS Security werden wir in einem späteren Blog-Beitrag eingehen.
DNS als Schlupfloch
Das klassische DNS ohne schlagkräftige DNS Security kann als das Schlupfloch für Cyber-Kriminelle bzw. deren Aktivitäten bezeichnet werden. Diese Aktivitäten können dabei grob in drei Szenarien unterteilt werden:
- Tarnung maliziöser Datenkommunikation
- Malware Command & Control Traffic
- Exfiltration und Infiltration
- Abführen von geheimen Geschäftsdaten
- Nachladen von Schadsoftware
- DNS basierte Angriffe
- DNS-Spoofing / DNS-Amplification
Neben der Erkennung und Vermeidung dieser Aktivitäten, kann ein secure DNS als Element der vordersten Verteidigungslinie eines jeden Sicherheitskonzeptes fungieren. Denn: Noch bevor ein Dateninhalt als tatsächlich maliziös erkannt wurde, kann eine auf DNS basierende Threatprevention gute von bösen Domain-Namen bzw. IP-Adressen unterscheiden und bereits den Verbindungsaufbau unterbinden.
DNS Threat Intelligence gegen moderne Angriffsverfahren
Gerade aufgrund der Tatsache, dass immer mehr Malware „tailor made“ auf dedizierte Systeme zugeschnitten ist, sind moderne Angriffsverfahren sehr schwer zu entdecken. Domains und IP-Adressen sind teilweise nur wenige Stunden aktiv und variieren sehr häufig. Hier setzt eine stream- und verhaltensbasierte Analyse der DNS-Daten an und bietet deutliche Vorteile gegenüber reaktionären, auf Feedlisten basierenden, Verfahren.
Diese sog. DNS Threat Intelligence stellt dabei kein autarkes Daten-Silo dar, sondern kann mit weiteren Security Events korreliert und analysiert werden, um ein situativ ganzheitliches Bild der IT-Sicherheitslage zu liefern.
Wie funktioniert DNS Security?
Das beschriebene Verfahren kann dabei rein passiv oder aktiv erfolgen. Über DNS-Firewalls kann der DNS-Datenverkehr erkannt, umgeleitet oder geblockt werden. In der Regel basiert dieses Verfahren auf DNS-Resolvern, deren Anfragen über sog. Response Policy Zones (RPZ) gefiltert werden. Die Filter können dabei entweder manuell, durch bereitgestellte Threat Feeds oder durch Echtzeitanalysen befüllt werden. Mittlerweile haben einige Hersteller diesen Markt für sich entdeckt und bieten sowohl onPremises- als auch Cloud-Lösungen im Bereich DNS-Security an.
Die richtige Lösung für ein secure DNS
Wichtig bei der Auswahl eines DNS Security Produktes, ist neben der Herkunft der DNS Threat Intelligence, als Feed oder streambased, auch die Kompatibilität zur jeweiligen Ausrichtung der eigenen Infrastruktur: Ist diese eher klassisch zentralisiert, über ein oder mehrere Data Center gestaltet oder dezentral in Richtung Cloud orientiert? Dementsprechend kann ein lokaler, hybrider oder cloudbasierter Ansatz der korrekte sein. Ebenso das Zusammenspiel oder gar die Integration mit der vorhandenen DNS-Lösung sowie das zugehörige Management der Daten & Policies sind entscheidende Faktoren. Nicht zuletzt sind auch das Reporting von Security-Events und die Integration mit weiteren Security-Systemenrelevant.
Abschließend gilt festzuhalten, dass das allseits vorhandene DNS-Protokoll vielmehr als nur einen sicherheitstechnisch relevanten Kontext liefern kann, sondern aktiv zur Stärkung und Komplettierung der IT-Security-Strategie beiträgt. Konkrete Anwendungsfälle und Produkte werden in den kommenden Beiträgen dieser beginnenden Beitrags-Serie folgen.