BI.Zone Secure DNS

Основная статья: Межсетевой экран (Firewall)

BI.ZONE Secure DNS - услуга на базе собственной разработки по поиску и блокировке опасных доменов, фишинга, попыток эксфильтрации данных, DNS-туннелей, вредоносного ПО, командных серверов (C&C), а также алгоритмически сгенерированных доменов (DGA).

2024

Поддержка cookie-файлов для повышения безопасности DNS-транзакций

Вышло обновление BI.ZONE Secure DNS. Об этом BI.Zone сообщила 14 ноября 2024 года.

Данная версия сервиса предоставляет больше механизмов для контроля DNS-трафика, в том числе списки перенаправления и мониторинга, а также поддержку cookie-файлов для повышения безопасности DNS-транзакций. Кроме того, теперь политиками фильтрации можно управлять не только при помощи API, но и через личный кабинет.

По данным BI.ZONE, почти 80% компаний не отслеживают DNS-трафик, что дает злоумышленникам возможность проводить длительные и трудно обнаруживаемые атаки. Преступники могут воспользоваться этой слепой зоной, чтобы украсть данные, доставить вредоносное ПО или перенаправить пользователей на фишинговые ресурсы.

Эффективно выстроенная защита DNS-трафика помогает организации заблокировать атакующим доступ в ее ИТ-инфраструктуру и в целом заметно укрепить безопасность. При разработке обновлений мы поставили цель: сделать отслеживание трафика еще более прозрачным и управляемым. Так мы ответили на запрос самих клиентов: теперь у них есть больше возможностей настраивать решение под свои задачи кибербезопасности, — рассказал Дмитрий Царев, руководитель управления облачных решений кибербезопасности BI.ZONE.

Добавили список перенаправления и список мониторинга. Ранее DNS-фильтрация основывалась только на белых и черных списках. Теперь за счет более точечных настроек клиент может не только блокировать или разрешать переход на определенные ресурсы, но и перенаправлять пользователя на другой IP-адрес либо отслеживать и сохранять информацию о запросах, не предпринимая при этом никаких действий. Как DevOps-сервис помогает «разгрузить» высоконагруженные системы BPMSoft 2.2 т

Разработали механизм перенаправления в рамках фильтрации по веб-категориям. Если сотрудник обращается к нежелательному сайту из категории, к которой компания запретила доступ (сайты с азартными играми, социальные сети и т. п.), механизм позволяет не блокировать запрос, а перенаправлять его на другой ресурс. Например, на страницу с информацией о блокировке.

Добавлена поддержка DNS-cookies. При обращении к авторитативному серверу решение само выставляет значение DNS-cookies и таким образом обеспечивает дополнительную защиту от DNS-спуфинга. Это помешает злоумышленнику реализовать атаку и подменить результат разрешения доменного имени.

В 2 раза увеличена производительность ядра сервиса. Таким образом, увеличилось количество обрабатываемых DNS-запросов.

Добавлен механизм инвалидации записей в DNS-кеше. Это нужно для того, чтобы вовремя очищать данные в кеше второго уровня. Таким образом повышается достоверность данных в случае внештатных ситуаций.

Ускорен процесс получения данных с BI.ZONE Threat Intelligence — портала с информацией об актуальных киберугрозах. Оптимизировали механизм получения идентификаторов компрометации (IoC). Теперь вместо массовых единичных запросов, содержащих требующий проверки домен, BI.ZONE Secure DNS делает один запрос по всем доменам, которые пришли в единицу времени. Таким образом, сократили время проверки и нагрузку на обе системы.

Уменьшена задержка передачи информации об актуальных угрозах. Добавлена возможность передавать эту информацию между облачным и клиентским узлом, используя расширение протокола DNS — EDNS0. В итоге быстрее принимается решение: блокировать или пропустить запрос на стороне узла заказчика.

Оптимизирована передача информации через протокол DNS-over-HTTPS (DoH). В данной версии улучшен механизм буферизации сообщений — теперь взаимодействие через DoH стало более стабильным.

Пользователи теперь могут управлять политиками фильтрации BI.ZONE Secure DNS прямо в личном кабинете. В частности, настраивать механизмы обнаружения и блокирования DNS-туннелей, сгенерированных алгоритмом доменов (DGA), перепривязывания DNS (DNS rebinding), а также управлять черными и белыми списками и модулем интеграции с BI.ZONE Threat Intelligence. Ранее это было возможно только при помощи API.

Обнаружение DGA

Обновленная версия BI.ZONE Secure DNS предоставляет пользователям расширенные возможности для контроля DNS-трафика, включая обнаружение DGA (domain generation algorithm), а также усовершенствованную функциональность личного кабинета. Это позволяет повысить видимость трафика и облегчить управление безопасностью. Об этом разработчик решения сообщил 10 июня 2024 года.

Одна из ключевых проблем кибербезопасности — сетевые угрозы через протоколы системы доменных имен (DNS). Несмотря на то что эта система критична для работы большинства организаций, 79% компаний, по данным BI.ZONE, не отслеживают DNS-трафик, из-за чего образуется слепая зона в защите.

Мы стремимся создать инструмент, который позволяет взглянуть на DNS-трафик с разных сторон: как с точки зрения безопасности компании, так и с точки зрения общего контроля того, что происходит в ИТ-инфраструктуре. Наше намерение отражено в новой версии BI.ZONE Secure DNS: точность выявления DGA-доменов в 96% случаев помогает эффективнее обнаруживать связь между зараженными устройствами и управляющим сервером злоумышленника, а расширенная аналитика в личном кабинете решения позволяет проще находить теневые IT и аномальные активности, — отметил Дмитрий Царев, руководитель управления облачных решений кибербезопасности BI.ZONE.

Внедрение нового метода обнаружения DGA. Он позволяет определять сложные техники генерации доменов и детектировать активность злоумышленников. Это происходит благодаря специально разработанному механизму, в основе которого лежит машинное обучение на базе 100 различных утилит и фреймворков C2 (command and control), а также серии тестов на вредоносном ПО.

Доработка алгоритмов обнаружения DNS-туннелей. Обновление предотвращает риск кражи данных через DNS-туннели, которые задействуют особенности EDNS0 — расширения протокола DNS. В разработке мер против этого нового вектора атаки участвовала команда анализа защищенности BI.ZONE. Также расширился список утилит, чьи DNS-туннели детектирует и блокирует BI.ZONE Secure DNS: добавились Sliver, Pupy RAT, Metasploit, White Snake и еще более 10 программ.

Внедрение системы журналирования DNS-запросов. Данная функциональность позволяет пользователям не только контролировать посещаемые веб-ресурсы, но и отслеживать информацию об атаках и прочей подозрительной активности.

Разработка публичных API. Теперь пользователям доступна как аналитика, так и управление настройками сервиса. В обновленной версии это реализовано при помощи вызова API-функций.

Создание личного кабинета для локальной версии поставки решения. Он позволяет работать с сервисом и просматривать статистику в удобном интерфейсе. Обновление соответствует требованиям к полной on-prem-интеграции со стороны многих компаний, включая государственные организации и банки.

Время разрешения доменных имен снизилось до 5–10 миллисекунд благодаря внедрению принципа single responsibility для компонентов BI.ZONE Secure DNS. А время проверки безопасности доменных имен сократилось до 20 миллисекунд за счет улучшенной интеграции с BI.ZONE Threat Intelligence — порталом данных об актуальных киберугрозах . Это же позволило увеличить производительность решения втрое и обеспечить еще большую отказоустойчивость. Кроме того, обновление ликвидирует угрозу, связанную с DDoS-атаками из-за ошибки в DNSSEC — пакете расширений безопасности протокола DNS.