Lleihau'r risgiau o ddefnyddio'r Adran Iechyd a'r DoT
Diogelu'r Adran Iechyd a'r DoT
Ydych chi'n rheoli eich traffig DNS? Mae sefydliadau'n buddsoddi llawer o amser, arian ac ymdrech i sicrhau eu rhwydweithiau. Fodd bynnag, un maes nad yw'n aml yn cael digon o sylw yw DNS.
Mae trosolwg da o'r risgiau a ddaw yn sgil DNS yn y gynhadledd Infosecurity.
Roedd 31% o'r dosbarthiadau ransomware a arolygwyd yn defnyddio DNS ar gyfer cyfnewid allweddi. Canfyddiadau'r Astudio
Defnyddiodd 31% o ddosbarthiadau ransomware a arolygwyd DNS ar gyfer cyfnewid allweddi.
Mae'r broblem yn ddifrifol. Yn Γ΄l labordy ymchwil Uned 42 Palo Alto Networks, mae tua 85% o malware yn defnyddio DNS i sefydlu sianel gorchymyn a rheoli, gan ganiatΓ‘u i ymosodwyr chwistrellu malware yn hawdd i'ch rhwydwaith yn ogystal Γ’ dwyn data. Ers ei sefydlu, mae traffig DNS wedi'i amgryptio i raddau helaeth a gellir ei ddadansoddi'n hawdd gan fecanweithiau diogelwch NGFW.
Mae protocolau newydd ar gyfer DNS wedi dod i'r amlwg gyda'r nod o gynyddu cyfrinachedd cysylltiadau DNS. CΓ’nt eu cefnogi'n weithredol gan werthwyr porwr blaenllaw a gwerthwyr meddalwedd eraill. Cyn bo hir bydd traffig DNS wedi'i amgryptio yn dechrau tyfu mewn rhwydweithiau corfforaethol. Mae traffig DNS wedi'i amgryptio nad yw'n cael ei ddadansoddi a'i ddatrys yn iawn gan offer yn peri risg diogelwch i gwmni. Er enghraifft, bygythiad o'r fath yw cryptolockers sy'n defnyddio DNS i gyfnewid allweddi amgryptio. Mae ymosodwyr bellach yn mynnu pridwerth o sawl miliwn o ddoleri i adfer mynediad i'ch data. Talodd Garmin, er enghraifft, $10 miliwn.
Pan fyddant wedi'u ffurfweddu'n gywir, gall NGFWs wadu neu amddiffyn y defnydd o DNS-over-TLS (DoT) a gellir eu defnyddio i wadu'r defnydd o DNS-over-HTTPS (DoH), gan ganiatΓ‘u i'r holl draffig DNS ar eich rhwydwaith gael ei ddadansoddi.
Beth yw DNS wedi'i amgryptio?
Beth yw DNS
Mae'r System Enwau Parth (DNS) yn datrys enwau parth y gall pobl eu darllen (er enghraifft, cyfeiriad ) i gyfeiriadau IP (er enghraifft, 34.107.151.202). Pan fydd defnyddiwr yn mewnbynnu enw parth i borwr gwe, mae'r porwr yn anfon ymholiad DNS i'r gweinydd DNS, gan ofyn am y cyfeiriad IP sy'n gysylltiedig Γ’'r enw parth hwnnw. Mewn ymateb, mae'r gweinydd DNS yn dychwelyd y cyfeiriad IP y bydd y porwr hwn yn ei ddefnyddio.
Anfonir ymholiadau ac ymatebion DNS ar draws y rhwydwaith mewn testun plaen, heb ei amgryptio, gan ei gwneud yn agored i ysbΓ―o neu newid yr ymateb ac ailgyfeirio'r porwr i weinyddion maleisus. Mae amgryptio DNS yn ei gwneud hi'n anodd olrhain neu newid ceisiadau DNS wrth drosglwyddo. Mae amgryptio ceisiadau ac ymatebion DNS yn eich amddiffyn rhag ymosodiadau Dyn-yn-y-Canol wrth berfformio'r un swyddogaeth Γ’'r protocol DNS testun plaen traddodiadol (System Enw Parth).
Dros yr ychydig flynyddoedd diwethaf, mae dau brotocol amgryptio DNS wedi'u cyflwyno:
-
DNS-dros-HTTPS (DoH)
-
DNS-over-TLS (DoT)
Mae gan y protocolau hyn un peth yn gyffredin: maent yn cuddio ceisiadau DNS yn fwriadol rhag unrhyw ryng-gipiad ... a chan warchodwyr diogelwch y sefydliad hefyd. Mae'r protocolau'n defnyddio TLS (Transport Layer Security) yn bennaf i sefydlu cysylltiad wedi'i amgryptio rhwng cleient sy'n gwneud ymholiadau a gweinydd sy'n datrys ymholiadau DNS dros borthladd nad yw'n cael ei ddefnyddio fel arfer ar gyfer traffig DNS.
Mae cyfrinachedd ymholiadau DNS yn fantais fawr i'r protocolau hyn. Fodd bynnag, maent yn achosi problemau i warchodwyr diogelwch sy'n gorfod monitro traffig rhwydwaith a chanfod a rhwystro cysylltiadau maleisus. Oherwydd bod y protocolau'n wahanol o ran eu gweithrediad, bydd y dulliau dadansoddi yn amrywio rhwng yr Adran Iechyd a'r Adran Drafnidiaeth.
DNS dros HTTPS (DoH)
DNS y tu mewn i HTTPS
Mae DoH yn defnyddio'r porthladd adnabyddus 443 ar gyfer HTTPS, y mae'r RFC yn nodi'n benodol mai'r bwriad yw "cymysgu traffig DoH Γ’ thraffig HTTPS eraill ar yr un cysylltiad", "ei gwneud hi'n anodd dadansoddi traffig DNS" ac felly osgoi rheolaethau corfforaethol ( ). Mae protocol yr Adran Iechyd yn defnyddio amgryptio TLS a'r gystrawen ceisiadau a ddarperir gan y safonau HTTPS a HTTP/2 cyffredin, gan ychwanegu ceisiadau DNS ac ymatebion ar ben ceisiadau HTTP safonol.
Risgiau sy'n gysylltiedig Γ’'r Adran Iechyd
Os na allwch wahaniaethu rhwng traffig HTTPS rheolaidd a cheisiadau Adran Iechyd, yna gall (a bydd) ceisiadau o fewn eich sefydliad yn osgoi gosodiadau DNS lleol trwy ailgyfeirio ceisiadau i weinyddion trydydd parti sy'n ymateb i geisiadau Adran Iechyd, sy'n osgoi unrhyw fonitro, hynny yw, yn dinistrio'r gallu i rheoli traffig DNS. Yn ddelfrydol, dylech reoli'r Adran Iechyd gan ddefnyddio swyddogaethau dadgryptio HTTPS.
Π yn y fersiwn diweddaraf o'u porwyr, ac mae'r ddau gwmni yn gweithio i ddefnyddio DoH yn ddiofyn ar gyfer pob cais DNS. ar integreiddio'r Adran Iechyd i'w systemau gweithredu. Yr anfantais yw bod nid yn unig cwmnΓ―au meddalwedd ag enw da, ond hefyd ymosodwyr wedi dechrau defnyddio'r Adran Iechyd fel ffordd o osgoi mesurau wal dΓ’n corfforaethol traddodiadol. (Er enghraifft, adolygwch yr erthyglau canlynol: , ΠΈ .) Yn y naill achos neu'r llall, bydd traffig da a maleisus yr Adran Iechyd yn mynd heb ei ganfod, gan adael y sefydliad yn ddall i'r defnydd maleisus o'r Adran Iechyd fel cyfrwng i reoli malware (C2) a dwyn data sensitif.
Sicrhau gwelededd a rheolaeth ar draffig yr Adran Iechyd
Fel yr ateb gorau ar gyfer rheoli DoH, rydym yn argymell ffurfweddu NGFW i ddadgryptio traffig HTTPS a rhwystro traffig DoH (enw'r cais: dns-over-https).
Yn gyntaf, gwnewch yn siΕ΅r bod NGFW wedi'i ffurfweddu i ddadgryptio HTTPS, yn Γ΄l .
Yn ail, crΓ«wch reol ar gyfer traffig cymhwysiad "dns-over-https" fel y dangosir isod:
Palo Alto Networks NGFW Rheol i Rhwystro DNS-dros-HTTPS
Fel dewis arall interim (os nad yw'ch sefydliad wedi gweithredu dadgryptio HTTPS yn llawn), gellir ffurfweddu NGFW i gymhwyso gweithred "gwadu" i'r ID cymhwysiad "dns-over-https", ond bydd yr effaith yn gyfyngedig i rwystro rhai ffynnonau penodol. gweinyddwyr DoH hysbys wrth eu henw parth, felly sut heb ddadgryptio HTTPS, ni ellir archwilio traffig DoH yn llawn (gweler a chwilio am "dns-over-https").
DNS dros TLS (DoT)
DNS y tu mewn i TLS
Er bod protocol yr Adran Iechyd yn tueddu i gymysgu Γ’ thraffig arall ar yr un porthladd, mae DoT yn hytrach yn defnyddio porthladd arbennig a gedwir at y diben hwnnw'n unig, hyd yn oed yn gwahardd yn benodol yr un porthladd rhag cael ei ddefnyddio gan draffig DNS traddodiadol heb ei amgryptio ( ).
Mae'r protocol DoT yn defnyddio TLS i ddarparu amgryptio sy'n crynhoi ymholiadau protocol DNS safonol, gyda thraffig yn defnyddio'r porthladd adnabyddus 853 ( ). Cynlluniwyd protocol DoT i'w gwneud yn haws i sefydliadau rwystro traffig ar borthladd, neu dderbyn traffig ond galluogi dadgryptio ar y porthladd hwnnw.
Risgiau sy'n gysylltiedig Γ’ DoT
Mae Google wedi gweithredu DoT yn ei gleient , gyda'r gosodiad diofyn i ddefnyddio DoT yn awtomatig os yw ar gael. Os ydych chi wedi asesu'r risgiau ac yn barod i ddefnyddio DoT ar lefel sefydliadol, yna mae angen i chi gael gweinyddwyr rhwydwaith yn benodol i ganiatΓ‘u traffig allan ar borthladd 853 trwy eu perimedr ar gyfer y protocol newydd hwn.
Sicrhau gwelededd a rheolaeth ar draffig DoT
Fel arfer gorau ar gyfer rheolaeth DoT, rydym yn argymell unrhyw un o'r uchod, yn seiliedig ar ofynion eich sefydliad:
-
Ffurfweddu NGFW i ddadgryptio'r holl draffig ar gyfer porthladd cyrchfan 853. Trwy ddadgryptio traffig, bydd DoT yn ymddangos fel cymhwysiad DNS y gallwch chi roi unrhyw gamau ar waith iddo, megis galluogi tanysgrifiad i reoli parthau DGA neu un sy'n bodoli eisoes a gwrth-ysbΓ―wedd.
-
Dewis arall yw cael yr injan App-ID yn rhwystro traffig 'dns-over-tls' yn gyfan gwbl ar borthladd 853. Mae hyn fel arfer yn cael ei rwystro yn ddiofyn, nid oes angen gweithredu (oni bai eich bod yn caniatΓ‘u cymhwysiad neu borthladd 'dns-over-tls' yn benodol traffig 853).
Ffynhonnell: hab.com