Карлос Арнал: «Экономические последствия DNS-атаки слишком велики, чтобы игнорировать уязвимости, обеспечивающие ее выполнение»
Одной из главных проблем DNS-атак является возрастающий размер наносимого ими ущерба, а также их быстрая эволюция и разнообразие типов атак. Эксфильтрация данных через DNS является серьезной проблемой в корпоративных средах. Чтобы защитить себя, организации уделяют приоритетное внимание безопасности конечных устройств в сети и улучшают мониторинг DNS- трафика. Мы решили обсудить данный вопрос с Карлосом Арналем, менеджером Panda Security по продуктовому маркетингу в секторе безопасности корпоративных конечных устройств.
Panda Security [ P . S .]: Как вы думаете, почему DNS -атаки на компании возросли до такой степени?
Карлос Арнал [К.А.]: Потому что это выгодный тип атаки для кибер-преступников, если мы говорим о достижении ими своих целей, которые варьируются от извлечения финансовой прибыли до получения данных – основного актива, которым сегодня владеют компании. Для достижения этой цели некоторые атаки направлены на то, чтобы обрушить определенные платформы (например, веб-сайт компании), нагружая ресурсы системы, в которой размещен корпоративный сервис, и посылая лавину запросов, которые система не успевает обработать. Другие атаки пытаются изменить IP-адреса, заменяя IP-адрес легального сервера поддельным IP-адресом и, тем самым, заставляя пользователя подключаться к подставному серверу, чтобы в конечном итоге злоумышленники получили данные (особенно пароли и данные учетных записей).
Однако следует отметить, что эти атаки совершаются не только организованными кибер-преступными группировками для получения финансовой выгоды, но они также могут совершаться злоумышленниками в качестве средства протеста и веб-активности против решений правительства или деятельности конкретной компании. Как мы уже видели в прошлом, такой тип атаки вызывал временные сбои в работе таких компаний, как Twitter, Tumblr, Spotify, The New York Times или CNN. Наконец, стоит подчеркнуть, что эти атаки негативно влияют не только на работу домашних пользователей, но и на многочисленные цифровые сервисы, которые необходимы в нашей повседневной деловой жизни, часто приводя их к сбоям в критические моменты.
P . S .: Считаете ли вы, что пандемия коронавируса стала одним из факторов такого роста атак?
К.А.: Точно так же, как увеличился объем применения мошеннических доменов, фишинговых писем и других кибер-преступных тактик, использующих COVID-19 в качестве приманки, возросло и количество DNS-атак. Причем не только по количеству – возросли объемы потребляемой этими атаками пропускной способности сети и ресурсов, а также повышается их уровень сложности. Хотя Интернет-провайдеры и облачные решения для обеспечения безопасности конечных устройств стремились справиться с возросшим трафиком, но учитывая внезапные изменения в управлении системой и необходимость усиления защиты конечных устройств за пределами типичного периметра безопасности (из-за роста сотрудников, работающих удаленно) нам также пришлось бороться с DNS-злоумышленниками, которые стали все более активны во время самоизоляции, как показывают недавние исследования.
P . S .: Каковы основные опасности и последствия этих видов угроз?
К.А.: Существует широкий спектр типов DNS-атак, против которых компании должны принимать превентивные меры. Каждый из таких типов атак имеет свои особенности, но все они одинаково опасны для бизнеса. Во-первых, следует упомянуть про DDoS-атаки (распределенный отказ в обслуживании) на DNS-серверы, которые «бомбардируются» огромным количеством устройств. DDoS-атаки часто проводятся ботами: зараженными системами, владельцы которых часто не знают, что их устройства являются частью вредоносной сети. Такие атаки отличаются от «обычных» DDoS-атак тем, что при DDoS-атаках каждый запрос поступает со специфического IP-адреса, поэтому его гораздо сложнее обнаружить.
Вторая форма таких атак, которая больше всего беспокоит компании, - это эксфильтрация DNS-данных. В этом случае кибер-преступники используют преимущества DNS для извлечения информации с помощью протокола DNS, создавая туннель для передачи информации или даже захватывая контроль над компьютерами. Файерволы и другие традиционные решения по обеспечению безопасности, хотя и остаются полезными, недостаточны для борьбы с этой угрозой, поскольку они не имеют возможности обнаруживать, блокировать или устранять такие атаки.
Другой вариант этих атак, вызывающих у ИТ-специалистов наибольшую головную боль, - атака нулевого дня. Здесь злоумышленники используют брешь в безопасности протокола DNS или серверного программного обеспечения с того дня, когда эта уязвимость была обнаружена, и до того момента, как она была устранена. Отправив заранее сформулированный запрос на сервер, злоумышленники могут заблокировать систему и вызвать серьезные проблемы у компании-жертвы.
Наиболее эффективным способом избежать этих угроз и защитить корпоративные сети и системы от их последствий является внедрение передовых решений в области информационной безопасности с опциями расширенной защиты (EDR), таких как семейство решений Panda Adaptive Defense, которые обеспечивают централизованную защиту всех конечных устройств и серверов с автоматизированными EDR-функциями предотвращения, обнаружения и восстановления.
P . S .: Чувствуете ли вы, что, несмотря ни на что, в компаниях повышается осведомленность о том, как бороться с такими атаками?
К.А.: Экономические последствия DNS-атаки слишком велики, чтобы игнорировать потенциальные уязвимости, обеспечивающие их выполнение, поэтому среди компаний растет уровень осведомленности о таком типе атаки и о важности информационной безопасности в целом. За последний год число атак против организаций выросло на 34%, а это означает, что средний ущерб составляет порядка 950 тысяч евро. Небезопасная система DNS сама по себе является открытым приглашением для злоумышленников получить доступ к информации компании и сократить время работы онлайн-сервиса. По этой причине крайне важно, чтобы компании инвестировали как можно больше ресурсов в реализацию соответствующих мер и решений в области информационной безопасности, особенно учитывая, насколько широко распространились эти атаки.
P . S .: Как можно улучшить практику использования DNS и как клиентам достичь этого?
К.А.: Компания Panda Security предлагает четыре совета по борьбе с DNS-атаками:
Управление патчами и обновлениями может стать наиболее эффективным инструментом для защиты предприятия от уязвимостей и наименее затратным для запуска при эффективной настройке. Настоятельно рекомендуется автоматизировать обнаружение, планирование, применение и мониторинг критических исправлений и обновлений для вашей организации. Таким образом, организация предотвращает использование уязвимостей хакерами для проникновения в системы. Результатом является сокращение поверхности атаки, усиление превентивных и сдерживающих возможностей в случае инцидентов безопасности
Используйте инструменты для фильтрации сетевого трафика, который компьютеры отправляют или получают в соответствии с типом сети, к которой они подключаются. Такие инструменты могут обеспечить максимальную защиту от DNS -атак с помощью системных правил, защиты программ и их коммуникаций, а также системы обнаружения вторжений и искаженных пакетов трафика
Внедрите систему обнаружения и предотвращения вторжений ( IDS / IPS ), которая отслеживает соединения и предупреждает о попытках несанкционированного доступа или злоупотребления протоколами. Правильно настроив файервол и систему обнаружения вторжений ( IDS ), можно сократить поверхность атаки и степень воздействия на устройства, а также предотвратить внешнюю коммуникацию программ.
Внедрите передовые решения информационной безопасности с опциями расширенной защиты, которые централизованно защищают все рабочие станции и серверы, а в идеале – решение, объединяющее традиционные превентивные технологии и инновационные адаптивные технологии предотвращения, обнаружения и реагирования на передовые и сложные кибер-угрозы. Такой тип облачного решения также должен включать файервол веб-приложений ( WAF ), который может быть полезен для предотвращения и смягчения последствий DoS -атак («отказ в обслуживании»).
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.