Szerző: Kristóf Csaba | Utolsó módosítás: 2016.10.05.
https://biztonsagportal.hu/a-biztonsag-szolgalataba-all-a-dns.html
A Cisco egyre nagyobb hangsúlyt helyez a DNS-alapú védelmi technológiákra és szolgáltatásokra. Úgy tűnik, hogy az OpenDNS felvásárlása kezd beérni.
Csordás Szilárdot, a Cisco szakértőjét a vállalat által nemrégen kiadott évközi biztonsági jelentésben szereplő trendekről, illetve a DNS biztonsági célokra történő felhasználási lehetőségeiről kérdeztük.
Biztonságportál: A Cisco évközi biztonsági jelentésében középpontba kerültek a zsaroló programok, nyilván nem véletlenül. Ön miként látja a ransomware-ek fejlődését?
Csordás Szilárd: Amikor a ransomware-ek 10-15 évvel ezelőtt megjelentek, még csak szimmetrikus titkosítást használtak. Ezért a visszafejtéshez használható kulcsnak a fertőzött gépen kellett lennie, ami a dekódolást megkönnyítette. Az idő előrehaladtával azonban a vírusírók egyre inkább áttértek az aszimmetrikus titkosításra, és folyamatosan fejlesztették a háttérinfrastruktúráikat. Elkezdték használni a Tor hálózatokat, illetve a HTTPS-alapú, titkosított csatornákat annak érdekében, hogy a felderítést megnehezítsék. A fejlődés következő mérföldkövét jelentette a nemrégen megjelent, SamSam nevű ransomware, amely az első olyan zsaroló programnak számít, amely már emberi beavatkozás nélkül is képes fertőzni. Az összes eddigi ransomware igényelte azt, hogy a felhasználó valahová kattintson, letöltsön egy fájlt vagy makrókat engedélyezzen. A SamSam viszont sérülékeny JBOSS alkalmazásszervereken keresztül, automatizáltan terjed.
A ransomware üzletben érdekelt csalók a reputációra is adnak. Érdekük, hogy fizetés után átadják a dekódoló kulcsot, hiszen ha csak azt látják a felhasználók, hogy senki nem kapja meg a helyreállításhoz szükség információkat, akkor nem fognak fizetni. A SamSam terjesztői azonban mindezzel visszaéltek, és előfordult, hogy fizetés után további összegeket követeltek.
Jelenleg még csak kapargatjuk a jéghegy csúcsát. A jövőben még automatizáltabb, célzottabb támadásokra kell felkészülnünk. Abból kiindulva, hogy mennyire profitábilis ez az üzlet a vírusírók számára, még sokat fogunk foglalkozni ezzel a területtel.
Biztonságportál: A Cisco mit javasol a ransomware-ek elleni védekezéshez és a kockázatok csökkentéséhez?
Cs. Sz.: Vannak olyan vállalatok, amelyek úgy döntöttek, hogy fertőzés esetén inkább kifizetik a váltságdíjat, és elkülönítenek némi pénzt az ilyen jellegű esetek kezelésére. Úgy látják, hogy ez olcsóbb számukra, mint felépíteni egy komoly védelmi infrastruktúrát, embereket alkalmazni és oktatni. Ugyanakkor ez a hozzáállás, még ha érthető is adott esetben, de nem visz közelebb a megoldáshoz.
Ami a zsarolóprogramok elleni védekezést illeti, azon kívül, hogy legyen rendszeres biztonsági mentés, nincsenek igazán nagy különbségek a ransomware-ek és a más típusú malware-ek elleni védekezésben. Használjuk a klasszikus, jól bevált technikákat, alkalmazzuk a legjobb gyakorlatokat, és fordítsunk figyelmet a patch menedzsmentre. Nyilván ezt könnyebb mondani, mint csinálni. Vállalati környezetben időt kell szánni a tesztelésre is, de otthoni gépeknél ez nem lehet kifogás. Használjuk az automatikus frissítéseket az operációs rendszerben és a különböző szoftverekben. Érdemes az OpenDNs-t alkalmazni, ami otthonra teljesen ingyenes.
Biztonságportál: A malware-ek és a támadási technikák gyorsan fejlődnek, ezért a detektálás sebessége kritikus fontosságú. A Cisco a jelentésében azt állította, hogy az iparágban átlagosnak mondható 200 napos detektálási időt 13 órára szorította le. Hogyan sikerült ezt elérni?
Cs. Sz.: A gyors detektáláshoz számos engine-re van szükség, amelyeket egymásra épülve kell alkalmazni. Szisztematikusan felépített, réteges védelmet kell kialakítani. A detektáló motorok legtöbbje cloud alapú. Nyilván ezt sokan nem szeretik, de egy részük akár privát felhős környezetben is működhet. Ha van egy nagy adathalmaz, és vannak ügyes szakemberek, akik tudnak jó engine-eket írni, valamint optimalizálni, akkor mindez nagyon hatékony lehet. Minél több adaton, minél több engine-t célszerű használni. Emellett azonban a finomhangoláshoz, felügyelethez szükséges emberi tényezőt sem szabad mellőzni.
Biztonságportál: A Cisco felmérései is azt mutatják, hogy a támadók az akcióik során egyre gyakrabban mozdulnak el a kliensektől a szerverek felé. Minek köszönhető mindez?
Cs. Sz.: Mindig azt kell figyelembe venni, hogy a támadónak mi a célja. Ha egy legitim szervert kompromittál, akkor azt használhatja bástyaként a szervezet további támadásához. Egy ilyen kiszolgálót felhasználhat más kampányokban, akár malvertising tevékenységekhez is. Egy legitim domain mögül jobban leplezheti a kilétét. (Ilyen esetekben ugródeszkaként szolgál a szerver.) Nem utolsó sorban pedig a kiszolgálókon általában több értékes adatot tárolunk, amit pénzzé lehet tenni.
Biztonságportál: Biztonsági berkeken belül a DNS elsősorban a védelemi szükségletek miatt szokott szóba kerülni. A DNS szolgáltatásokat a botnetek, az átirányítások és az elosztott szolgáltatásmegtagadások ellen is óvni kell. A Cisco az OpenDNS felvásárlásával elindult egy olyan irányba, amely a DNS-t is segítségül hívja a védekezéshez. Hogy működik mindez a gyakorlatban?
Cs. Sz.: A DNS egy olyan technológia, amelyet eddig biztonsági szempontból nem használtunk ki igazán. Teljesen transzparensen működik, és a támadók is intenzíven használják, akár forgalomátirányításhoz vagy vezérlőszerverekkel való kapcsolatfenntartáshoz. A Cisco szerint a felhasználók kétharmada nem alkalmazza a DNS-t védelemi célokra, sőt nem is logolja a működését. Pedig nagyon sok minden kiderülhet a naplókból, és nagyon jó mintákat lehet felfedezni bennük. Egy támadó a malware-ének kódját szabadon módosíthatja. A károkozó terítésekor azonban a DNS-kérések mintáit – ha nem is lehetetlen –, de nagyon nehéz befolyásolni. Ezért ez egy olyan technika, ami jó lehetőséget ad a fenyegetettségek és a fertőzések kimutatására. Emellett preventív módon meg lehet akadályozni a további károkozásokat.
Biztonságportál: Az OpenDNS-en keresztül átlagosan napi 90 milliárd DNS-kérés kiszolgálására kerül sor. Óhatatlanul adódik a kérdés, hogy ekkora adatmennyiség esetén milyen szerephez jutnak az adatbányászati és a mesterséges intelligencia technológiák?
Cs. Sz.: Az OpenDNS fejlesztői csak ezzel foglalkoznak, mert másként nem működhet. Ez statisztika, játék a számokkal. A kutatók – akár biztonsági jelentések, beszámolók alapján – megfigyelik, hogy a támadásokban milyen módon kap szerepet a DNS. Felállítanak egy hipotézist, és kitalálnak egy algoritmust, amit megírnak, majd lefuttatnak egy nagy adathalmazon. Az optimalizálás pedig folyamatosan zajlik.
Biztonságportál: Ha egy cég domainje felkerül egy fekete listára, akkor az hírnévvesztéshez vezethet. Milyenek a tapasztalatok a false pozitív riasztásokkal?
Cs. Sz.: Minden biztonsági rendszerben van false pozitív riasztás. A lényeg ennek a mértéke és kezelése. Amennyiben bármelyik detektáló engine klasszifikál egy domaint, az nem jelenti azt, hogy a végtelenségig így is marad. Ezek a detektáló eljárások folyamatosan futnak, és ha nem találnak további gyanús aktivitást, akkor az adott domaint leveszik a listáról. Ha pedig egy végfelhasználó tapasztal hamis riasztást, akkor van lehetőség ennek jelzésére.
Biztonságportál: Az OpenDNS vállalati szintű felhasználásához elengedhetetlen a megfelelő menedzselhetőség, és az integrálhatóság a meglévő rendszerekkel. Ezen a téren folynak fejlesztések?
Cs. Sz.: Kulcsfontosságú az integráció, enélkül nem fog működni a védelem. Az alap OpenDNS rendszer egy ötezer fős vállalatnál körülbelül 30 perc alatt beállítható. A háttérben kapcsolatban áll a Threat Grid nevű sandboxing megoldásunkkal, ami a malware-ek elleni védekezést tovább erősíti. De ha más gyártótól származó sandbox technológia áll rendelkezésre, akkor azzal is együtt tud működni az OpenDNS.
További integrációs lehetőséget jelent, hogy a Cisco AnyConnect VPN már tartalmazza az OpenDNS klienst. Mindezek mellett OpenDNS integrációval a Cisco routerek is rendelkeznek. Így a klienseken nem kell semmit konfigurálni, mivel a router a kéréseket titkosítottan továbbítja ellenőrzésre az OpenDNS infrastruktúra felé. Nem utolsó sorban pedig API-k is léteznek az egyéb IT-megoldásokkal való együttműködés biztosításához.
