NSA, CISA, geben Anleitung zu schützenden DNS-Diensten heraus

Cyber Security News

Die National Security Agency (NSA) und die Cybersecurity and Infrastructure Agency (CISA) haben am Donnerstag ein gemeinsames Informationsblatt veröffentlicht, das eine Anleitung zu den Vorteilen der Verwendung eines Protective Domain Name Systems (PDNS) bietet.

Ein PDNS-Dienst nutzt bestehende DNS-Protokolle und -Architekturen, um DNS-Anfragen zu analysieren und Bedrohungen zu entschärfen. Er nutzt verschiedene Open-Source-, kommerzielle und staatliche Bedrohungsdaten, um Domain-Informationen zu kategorisieren und Abfragen an identifizierte bösartige Domains zu blockieren.

Laut NSA und CISA bietet der Dienst Schutz an verschiedenen Punkten des Lebenszyklus einer Netzwerkexploitation und adressiert Phishing, Malware-Verteilung, Command and Control, Domain-Generierungsalgorithmen und Content-Filterung. Ein PDNS kann verdächtige Anfragen protokollieren und speichern und eine blockierte Antwort bereitstellen, wodurch bösartige Aktionen – wie das Sperren von Opferdateien durch Ransomware – verzögert oder verhindert werden, während Unternehmen anhand dieser protokollierten DNS-Anfragen Nachforschungen anstellen können.

Das Informationsblatt bietet eine Liste von Anbietern, aber NSA und CISA waren klar, dass die Bundesbehörden nicht einen Anbieter über einen anderen zu befürworten. Die sechs aufgeführten Unternehmen sind: Akamai, BlueCat, Cisco, EfficientIP, Neustar und Nominet.

Die Empfehlungen der NSA und der CISA basieren auf den Erkenntnissen aus einem PDNS-Pilotprojekt der NSA, bei dem die NSA in Zusammenarbeit mit dem Department of Defense Cyber Crime Center mehreren Mitgliedern der Verteidigungsindustrie PDNS-as-a-Service angeboten hat. Über einen Zeitraum von sechs Monaten untersuchte der PDNS-Dienst mehr als 4 Milliarden DNS-Anfragen von und zu den teilnehmenden Netzwerken und blockierte Millionen von Verbindungen zu identifizierten bösartigen Domains.

Forscher sagen, dass Sicherheitsexperten PDNS-Lösungen als eine “DNS-Firewall” betrachten sollten, die eine logische Möglichkeit darstellt, Bedrohungsinformationen in Bezug auf registrierte Domains aktiv zu nutzen, so Oliver Tavakoli, Chief Technology Officer bei Vectra.

“Wie andere präventive Ansätze sind sie nützlich, um Unternehmen vor bekannten Bösewichten zu schützen, aber sie greifen letztlich zu kurz, wenn es darum geht, die frühen Stadien eines neuen Angriffs oder raffiniertere Angriffe zu blockieren”, sagte Tavakoli. “Es ist also sinnvoll, PDNS zu implementieren, um die Angriffsfläche zu reduzieren, aber es sollte nicht als präventive Silberkugel betrachtet werden, die die Notwendigkeit überflüssig macht, Angreifer aufzuspüren, die wissen, wie man diese Schutzmaßnahmen umgeht.”

Ray Kelly, Principal Security Engineer bei WhiteHat Security, fügte hinzu, dass DNS-Exploits immer noch unglaublich weit verbreitet sind und eine gewisse Aufmerksamkeit erfordern, weil sie eine so effektive Technik sind, die von böswilligen Akteuren eingesetzt wird.

“Wenn eine DNS-Adresse kompromittiert wurde, ist es möglich, E-Mails umzuleiten, Webbrowser von Benutzern zu nutzen und Malware in großem Umfang zu verteilen”, so Kelly. “Alle Schritte zur Entschärfung von Angriffsvektoren wie DNS-Spoofing und DNS-Cache-Poisoning werden einen großen Beitrag dazu leisten, dass Benutzer und Unternehmen vor solchen Bedrohungen geschützt sind.”

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com