O que é segurança do DNS? A segurança do Sistema de Nomes de Domínio (DNS) refere-se à técnica de defesa da infraestrutura DNS contra ataques cibernéticos. Ele garante que sua infraestrutura DNS esteja operando de forma eficiente e confiável. Isso requer o estabelecimento de servidores DNS redundantes, o uso de tecnologias de segurança como extensões de segurança do sistema de nomes de domínio (DNSSEC) e a obrigatoriedade de registro DNS rigoroso.
Um DNS é uma coleção de nomes de domínio e seus endereços IP associados. Muitas vezes é comparado a uma lista telefônica, que conecta os nomes das pessoas aos seus números de telefone. Da mesma forma, um DNS garante que um navegador entenda que quando um usuário digita cnn.com na barra de URL, por exemplo, ele é enviado para o endereço IP da empresa de notícias, que é 157.166.226.25.
Se um cibercriminoso se infiltrar em um sistema DNS, ele poderá enviar os usuários a sites falsos ou maliciosos. Eles também podem roubar dados, sequestrar sites ou inundar servidores com solicitações, fechando-os eventualmente. A segurança do DNS foi projetada para evitar esses tipos de ataques.
Como funciona a segurança do DNS?
Como o DNS é responsável por ativar todas as atividades da Internet, ficar de olho nas solicitações de DNS e nos endereços IP aos quais elas levam pode ajudar a manter sua rede segura. Ter políticas de segurança em vigor para destacar o comportamento incomum do DNS pode aumentar a proteção da rede e melhorar a detecção de atividades maliciosas e sistemas comprometidos.
A segurança do DNS ajuda a identificar as áreas de teste para domínios não autorizados. Para impedir tentativas de infiltração e exfiltração, como vazamento de DNS, certifique-se de proteger os servidores DNS e rejeitar consultas provenientes de sites de teste em qualquer porta ou protocolo. Se os dispositivos comprometidos se conectarem à sua rede, a proteção da camada DNS interromperá qualquer malware que eles possam tentar enviar. Ele também evita retornos de chamada do seu servidor DNS para invasores que possam estar tentando sequestrá-lo. Ao interromper esta linha de comunicação, a segurança do DNS evita que o seu DNS seja controlado e abusado por hackers.
Por que a segurança do DNS é importante e como alcançá-la?
Ao compilar uma lista de sites arriscados e filtrar conteúdo indesejado, as soluções de segurança do DNS criam uma camada extra de segurança entre o usuário e a Internet. Como resultado, o seu Sistema de Nomes de Domínio (DNS) não estará mais exposto a perigos ou ataques potencialmente prejudiciais.
Você pode pensar no seu DNS como o coração da sua presença na web, o que o torna um alvo valioso para invasores. Ao mantê-lo protegido, é mais fácil manter o controle sobre como seus ativos da web são usados, como funcionam e quais sites têm permissão para se comunicar com eles.
Para obter segurança do DNS, você precisa de uma solução fornecida por uma empresa qualificada de hardware ou software de segurança. Por exemplo, você pode usar um firewall de próxima geração (NGFW) para resolver problemas de segurança de DNS, eliminando parte da carga de sua equipe de TI. Um NGFW pode gerenciar quais sites na Internet têm permissão para interagir com sua rede.
4 tipos de ataques DNS e como evitá-los
Aqui estão quatro das vulnerabilidades de segurança do DNS mais comuns e como evitar que invasores tirem vantagem delas.
Ataques DoS, DDoS e amplificação de DNS
Ao inundar as redes com o que parece ser tráfego legal, os ataques de negação de serviço (DoS) e de negação de serviço distribuída (DDoS) em sistemas DNS podem tornar os sites inacessíveis. Eles tornam os servidores DNS que fornecem acesso indisponíveis para usuários legítimos.
É assim que funciona a amplificação de DNS. O DNS usa o User Datagram Protocol (UDP) para transportar informações. Um invasor pode falsificar o endereço de origem de uma solicitação DNS e direcionar a resposta para um endereço IP específico. Isso ocorre porque eles podem aproveitar a forma como o UDP envia pacotes de dados pela Internet. Além disso, as respostas do DNS às vezes são maiores do que as solicitações correspondentes. Ao enviar uma pequena solicitação a um servidor DNS e receber uma grande resposta enviada ao alvo, os invasores DDoS podem ampliar — ou “amplificar” — suas operações.
Falsificação de DNS
Em um cenário de falsificação de DNS, dados DNS falsos são enviados para o cache do resolvedor de DNS, fazendo com que o resolvedor relate um endereço IP falso. O tráfego será redirecionado para um domínio malicioso. Como resultado, o endereço do seu site pode ser usado para fins maliciosos, como distribuição de vírus ou roubo de credenciais de login.
Tunelamento DNS
O tunelamento DNS usa um modelo cliente-servidor para contrabandear malware e outros dados por meio do protocolo DNS. O perpetrador compra um domínio como badsite.com. O malware usado para encapsular o tráfego é colocado no servidor do invasor. Quando o servidor do alvo se conecta ao site do invasor, o malware é transmitido, criando um túnel entre o site malicioso e o seu DNS.
Sequestro de DNS
O sequestro de DNS refere-se a qualquer ataque que engane um usuário, fazendo-o acreditar que está se conectando a um domínio confiável, mesmo que na verdade esteja conectado a um site hostil. Isso pode ser feito enganando um servidor DNS para que armazene dados DNS imprecisos ou empregando um servidor DNS comprometido ou malicioso.
DNS x Segurança do DNS x DNSSEC
DNS refere-se ao seu servidor de nome de domínio, o que garante que os usuários possam se conectar ao endereço IP correto ao digitar um URL, como Google.com. A segurança do DNS é diferente. Ao contrário do DNSSEC, que envolve um método, protocolo ou extensão específico, a segurança do DNS é um conceito. No nível mais fundamental, refere-se ao uso de dados DNS para aumentar a segurança da rede da sua empresa.
DNSSEC, ou Extensões de Segurança do DNS, envolve um conjunto de especificações para autenticar solicitações e respostas DNS usando assinaturas digitais baseadas em criptografia. Com o DNSSEC, um servidor DNS garante que o servidor de nomes raiz tenha permissão para enviar uma resposta e que as informações contidas na resposta sejam seguras. O DNSSEC também garante que a resposta não foi modificada durante o trânsito.
4 extensões de segurança DNS mais comuns
As quatro extensões de segurança DNS mais comuns incluem:
- Autenticação criptográfica de dados DNS, que usa uma chave simétrica para fornecer acesso aos dados DNS.
- Zonas de política de resposta, que usam regras sobre o que as consultas DNS podem fazer.
- Autenticação e integridade de dados, que giram em torno do uso de assinaturas geradas criptograficamente, que são vinculadas aos registros de recursos do seu DNS. Isto introduz proteção baseada em assinatura criptográfica para todas as consultas DNS porque uma consulta simplesmente não pode ser feita sem interface com um registro de recurso DNS.
- Negação de existência autenticada (DoE). Isso possibilita que o resolvedor DNS determine se um domínio realmente existe.
Soluções de segurança de DNS para proteger sua empresa contra ameaças de DNS
Independentemente do tipo de ataque, a segurança DNS oferece uma solução abrangente para proteger o DNS público e privado, protegendo qualquer sistema que dependa da operação segura e confiável do seu site. Ao proteger seus ativos da web com segurança DNS, você impede que invasores interrompam seus negócios, extorquem pagamentos em troca de impedir ataques ou roubem dados seus ou de seus clientes.
Como a segurança do DNS pode ajudar a melhorar a segurança e o desempenho
Aqui estão algumas práticas recomendadas de segurança de DNS para manter seu sistema protegido contra invasores.
Certifique-se de que seu DNS esteja disponível incorporando redundância
Sua infraestrutura DNS precisa estar altamente disponível porque o DNS é a base dos aplicativos de rede. Você deve ter pelo menos um servidor DNS primário e secundário para obter a redundância necessária para garantir a disponibilidade de serviços essenciais aos negócios. Todos os serviços de e-mail, compartilhamento de arquivos e Active Directory dependem de um desempenho confiável de DNS.
Como a redundância protege sua rede
Quando um servidor DNS encontra um problema, o outro assume o controle. Quando o servidor DNS primário está inativo, os administradores podem configurar os dispositivos para usarem o DNS secundário automaticamente. Isso é possível porque qualquer endereço dentro do intervalo IP de uma rede privada pode atuar como o endereço IP do servidor DNS interno.
Se você conseguir alta disponibilidade da infraestrutura DNS criando servidores DNS redundantes, seus registros DNS permanecerão sincronizados com os endereços IP corretos. Eles também estarão protegidos contra falhas porque seu sistema de redundância replica e transmite continuamente dados de seus servidores primários para servidores secundários. Isso significa que os usuários finais sempre terão acesso aos seus serviços web.
Ocultar informações e servidores DNS
Nem todos os usuários precisam de acesso a todos os servidores DNS ou a cada byte de dados. Para aumentar a segurança, comece por tornar acessíveis apenas os servidores e as informações necessárias para quem os utiliza. Isto é crucial se você precisa que o público possa ver seus nomes de domínio.
Em seguida, oculte seu servidor DNS principal. Os usuários externos não deverão poder ver os servidores primários. Especificamente, não deve haver bancos de dados de servidores de nomes acessíveis ao público que incluam os dados desses servidores. As solicitações de usuários finais só devem ser tratadas por servidores DNS secundários.
As 5 principais tendências de segurança DNS
As cinco tendências mais populares que impulsionam a segurança do DNS incluem:
- A segurança do DNS está desempenhando um papel essencial na proteção dos serviços de saúde.
- Um aumento na segurança do DNS para proteção contra a exfiltração de dados.
- A segurança do DNS usará a lista de permissões para reduzir as chances de um invasor tirar vantagem do ecossistema IoT de uma organização.
- A segurança do DNS estará envolvida na proteção de ambientes de trabalho multinuvem devido ao crescimento dos acordos de trabalho híbridos.
- A popularidade da segurança DNS continuará a crescer devido ao número de ataques de alto perfil que chegam às manchetes.
Melhores práticas de segurança DNS
Aqui estão cinco práticas recomendadas para melhorar sua segurança DNS:
- Use o registro de DNS, que rastreia a atividade do cliente e acompanha problemas relacionados às consultas de DNS.
- Bloqueie seu cache DNS. Bloquear o cache DNS envolve controlar quando as pessoas podem acessá-lo. Quando o cache está bloqueado, é mais difícil para os hackers entrarem furtivamente e explorarem as informações armazenadas dentro do cache.
- Filtre solicitações de DNS para bloquear domínios maliciosos.
- Configure listas de controle de acesso, o que envolve permitir apenas que administradores acessem seu sistema de nomes de domínio.
- Use DNSSEC para validar a segurança dos seus dados DNS. O DNSSEC usa assinaturas digitais para garantir que as informações recebidas pelos clientes sejam válidas.
A segurança do DNS representa problemas para a TI corporativa
Menos de 31% das organizações estão totalmente confiantes na segurança da sua infraestrutura DNS, conclui a EMA.
Os ataques relacionados à infraestrutura do Sistema de Nomes de Domínio – como sequestro de DNS, tunelamento de DNS e ataques de amplificação de DNS – estão aumentando e muitas organizações de TI estão questionando a segurança de sua infraestrutura de DNS.
A maioria das organizações de TI mantém uma variedade de infraestruturas DNS para serviços públicos (sites e serviços acessíveis pela Internet) e serviços privados (Active Directory, compartilhamento de arquivos, email). Proteger a infraestrutura DNS interna e externa é fundamental devido ao número crescente de ameaças e vulnerabilidades que atores mal-intencionados usam para atacá-las. Infelizmente, muito poucas organizações estão confiantes na segurança do seu DNS.
A Enterprise Management Associates (EMA) examinou recentemente a questão da segurança do DNS em seu relatório de pesquisa recém-publicado, “DDI Directions: DNS, DHCP and IP Address Management Strategies for the Multi-Cloud Era”. Com base em uma pesquisa com 333 profissionais de TI responsáveis por DNS, DHCP e gerenciamento de endereços IP (DDI), a pesquisa descobriu que apenas 31% dos gerentes de DDI estão totalmente confiantes na segurança de sua infraestrutura DNS.
Principais preocupações de segurança do DNS
A EMA pediu aos participantes da pesquisa que identificassem os desafios de segurança do DNS que lhes causam mais problemas. A principal resposta (28% de todos os entrevistados) é o sequestro de DNS. Também conhecido como redirecionamento de DNS, esse processo envolve a interceptação de consultas DNS de dispositivos clientes para que as tentativas de conexão vão para o endereço IP errado. Os hackers geralmente conseguem isso infectando clientes com malware para que as consultas vão para um servidor DNS não autorizado ou hackeiam um servidor DNS legítimo e sequestram as consultas em uma escala mais massiva. O último método pode ter um grande raio de explosão, tornando fundamental para as empresas proteger a infraestrutura DNS contra hackers.
O segundo problema de segurança de DNS mais preocupante é o tunelamento e exfiltração de DNS (20%). Os hackers normalmente exploram esse problema depois de já terem penetrado em uma rede. O tunelamento DNS é usado para evitar a detecção durante a extração de dados de um servidor comprometido. Os hackers ocultam dados extraídos em consultas DNS de saída. Portanto, é importante que as ferramentas de monitoramento de segurança observem de perto o tráfego DNS em busca de anomalias, como pacotes anormalmente grandes.
A terceira preocupação de segurança mais premente é um ataque de amplificação de DNS (20%). Este é um tipo de ataque distribuído de negação de serviço (DDoS), em que um hacker engana servidores DNS de terceiros, publicamente endereçáveis, para que inundem um servidor DNS alvo com respostas de consulta indesejadas e falsificadas, sobrecarregando a capacidade desse servidor de responder a consultas legítimas. Este ataque pode tornar os sites inacessíveis porque as consultas DNS do usuário final ao site não podem ser resolvidas.
Como melhorar a segurança do DNS?
Firewalls DNS
As organizações de TI podem reduzir o risco de segurança do DNS instalando um firewall DNS. Quase 47% dos especialistas em DDI disseram à EMA que implementaram uma firewall DNS para proteger a sua infraestrutura, e estas organizações revelaram-nos que estavam muito mais confiantes na sua segurança geral do DNS. Os firewalls DNS são dispositivos especializados de segurança de rede que se concentram inteiramente na inspeção de consultas DNS e no bloqueio de conexões com base em inteligência de ameaças e políticas de segurança. Eles têm visibilidade e inteligência muito mais granulares sobre o tráfego DNS do que um firewall padrão.
DNSSEC
Outra medida importante é o uso de Extensões de Segurança DNS (DNSSEC), um conjunto de especificações criado pela Internet Engineering Task Force (ETF). DNSSEC envolve a configuração de servidores DNS para assinar digitalmente registros DNS usando criptografia de chave pública. Isto permite que outros servidores DNS verifiquem a autenticidade de um registro DNS e protege contra dados falsificados e manipulados. Mais de 47% das organizações investigadas pela EMA utilizam extensivamente o DNSSEC. Aqueles que fazem isso nos disseram que estão muito mais confiantes em sua postura geral de segurança do DNS.
No entanto, o DNSSEC apresenta alguns desafios. Os gestores da DDI disseram à EMA que isso pode levar a um aumento da sobrecarga da infra-estrutura e ao aumento da complexidade da gestão. Alguns também perceberam falhas no modelo geral de segurança do DNSSEC.
Políticas de segurança prioritárias para DNS
Quase 38% das organizações estão definindo políticas de segurança automáticas que priorizam as ameaças à segurança do DNS. Por exemplo, eles configuram um sistema de prevenção de intrusões para bloquear consultas DNS associadas a endereços IP maliciosos conhecidos. As organizações que utilizam esta técnica disseram à EM que estão mais confiantes na segurança do DNS.
Colaboração na nuvem
Qualquer estratégia de segurança DNS também deve incluir a nuvem pública. Muitos gerentes de DDI tradicionalmente possuem serviços de DDI para redes locais. As equipes de nuvem geralmente adotam suas próprias soluções para gerenciamento de DNS, DHCP e endereços IP em infraestrutura de nuvem pública. Nos últimos anos, as equipes de DDI têm se afirmado na nuvem para garantir que as redes em nuvem sejam seguras e estáveis.
“Tentamos trabalhar em conjunto com a equipe de nuvem”, disse um engenheiro de DDI de uma empresa de consultoria Fortune 500. “Há cinco anos isso não acontecia. Havia muito risco. É fácil fazer coisas na nuvem sem colaborar com engenharia e segurança de rede. Isso pode criar problemas.
A pesquisa da EMA descobriu que quase 59% das equipas de DDI têm agora influência suficiente sobre as estratégias de nuvem das suas empresas. Os profissionais de DDI que tinham tanta influência na nuvem estavam muito mais confiantes em sua postura geral de segurança de DNS.
Visibilidade do DNS
Por fim, as equipes de DDI precisam ver o que está acontecendo com a infraestrutura de DNS. Muitas empresas normalmente exportam logs DNS para plataformas de gerenciamento de eventos e informações de segurança (SIEM), onde as equipes de segurança cibernética podem procurar atividades anômalas. Além disso, a monitorização centralizada de toda a infraestrutura DNS é muito importante. Quase 47% dos gerentes de DDI podem monitorar todos os servidores DNS a partir de um console central. Esses indivíduos estavam muito mais confiantes na segurança do DNS.
Maneiras de fortalecer a segurança do DNS
O sistema de nomes de domínio (DNS) ganhou destaque durante os primeiros e inocentes dias da Internet. Durante esse período, os primeiros utilizadores da Internet tendiam a trabalhar para organizações governamentais ou educativas onde a confiança era presumida e a segurança nem sequer era levada em consideração. Como a comunidade online era pequena e a Internet era pouco utilizada, a importância do DNS não era amplamente compreendida e, consequentemente, deixada sem defesa.
Avançando até hoje, você poderá ver os problemas resultantes. Os ataques cibernéticos recentes destacam técnicas específicas utilizadas por malfeitores para interceptar e manipular o tráfego legítimo da Web de uma empresa, coletar informações como credenciais ou endereços de e-mail e realizar outras atividades maliciosas, como phishing. Em alguns casos, certificados digitais gratuitos – que exigem baixa validação – foram usados para aumentar a credibilidade dos golpes, agravando o problema para marcas e clientes. Os consumidores estão cansados de que as suas informações pessoais sejam acessíveis e roubadas por criminosos; assim, as violações prejudicam a reputação e os resultados financeiros das empresas em todo o mundo. Há também o problema crescente dos ataques distribuídos de negação de serviço (DDoS), muitas vezes direcionados ao DNS para paralisar os negócios online.
Para as empresas, o que está em jogo é simples: nenhum DNS funcional significa ausência de site ou presença na Internet. Se o DNS falhar, os clientes que tentarem visitar um site simplesmente não chegarão ao seu destino. Os funcionários também não poderão enviar ou receber e-mails da empresa. Se uma empresa depende do VoIP para fazer e receber chamadas, o acesso é cortado. Se o DNS cair, as empresas terão que recorrer ao uso de telefones fixos e dispositivos móveis para alcançar os clientes. Abaixo estão seis maneiras de ajudar a fortalecer a segurança do DNS.
-
Mitigue ataques DDoS com proteção multicamadas
Os ataques DDoS volumétricos explodiram em tamanho, com os ataques atuais excedendo 1 Terra bit por segundo (Tbps). Alguns dos maiores ataques já registrados foram direcionados ao DNS.
Existem vários tipos de ataques DDoS direcionados ao DNS
A amplificação de DNS é um dos muitos métodos de ataque. Neste ataque, os invasores exploram o grande número de servidores DNS abertos na Internet, que podem ser usados para responder a toda e qualquer pequena consulta de pesquisa com um IP falsificado do alvo. O alvo então recebe respostas de DNS muito maiores que rapidamente sobrecarregam sua capacidade. O objetivo: bloquear consultas DNS legítimas esgotando a capacidade da rede. Outro tipo comum de ataque são as inundações de DNS, direcionadas aos servidores DNS que hospedam sites específicos. Eles tentam drenar ativos do lado do servidor, por exemplo, memória ou unidade central de processamento (CPU), com uma enxurrada de solicitações de protocolo de datagrama de usuário (UDP), geradas pela execução de scripts em máquinas botnet comprometidas.
Múltiplas camadas de proteção DDoS
Para se defender contra todos os tipos de ataques baseados em DNS, use uma solução que venha com múltiplas camadas de proteção DDoS. Os nós DNS devem ser equipados com equipamentos de mitigação de DDoS para monitorar constantemente o tráfego malformado, bem como o tráfego de locais suspeitos em volumes superiores ao normal. Em muitos casos, a mitigação acontece localmente. Se um ataque for superdimensionado, o tráfego malicioso deverá ser automaticamente redirecionado para uma rede de mitigação, uma infraestrutura completamente separada e construída especificamente para esse fim. Isso limita qualquer dano potencial aos IPs do servidor de nomes de destino. Com o impacto isolado, uma equipe de operações de segurança 24 horas por dia, 7 dias por semana, fica livre para ser mais agressiva em suas contramedidas.
-
Isole servidores de nomes por meio de segmentação
Em todo o setor, o DNS altamente escalável tornou-se um serviço baseado em nuvem com centenas ou milhares de clientes – cada um com vários domínios – agrupados em redes únicas e compartilhando um servidor de nomes.
Isso aumenta as chances de você sentir a dor de outra pessoa. Se você usar um provedor DNS de terceiros, a maioria dos ataques à rede deles não será direcionada a você, mas a um domínio que compartilha o servidor de nomes atribuído pelo seu provedor.
É inteligente isolar o impacto de um ataque DDoS
Escolha um provedor de DNS que organize a rede DNS em segmentos, cada um com um anúncio de servidor de nomes compartilhado apenas por um pequeno grupo de clientes. Com menos clientes compartilhando nomes de host e endereços IP, você enfrenta chances drasticamente menores de sentir um efeito cascata.
Imagine estar em um grande salão com 10.000 pessoas e uma pessoa pula, gritando tão alto que ninguém consegue ouvir o orador. Agora imagine o mesmo cenário, mas com apenas mais 20 pessoas. O impacto do gritador é limitado a apenas 20. Supondo que o gritador seja um ataque DDoS, quando o gritador (ataque) começa, a segmentação do servidor de nomes e a estratégia de mitigação de DDoS movem instantaneamente toda a sala para uma área à prova de som, removendo o poço. comportou os membros da audiência e trabalha para abafar o gritador antes de trazer todos os outros de volta. Você pode ver como, com apenas 20 pessoas, os gritos afetaram menos pessoas que foram mais fáceis de navegar durante o ataque.
Esteja protegido se você ou outra pessoa for atingido
Essa abordagem permite que anúncios de servidores de nomes individuais passem da rede DNS para a rede de mitigação de DDoS sem atrasar significativamente a resolução de consultas. Seu provedor de DNS deve ser capaz de fornecer mitigação imediata e eficaz para aqueles que estão sob ataque e evitar qualquer impacto colateral para os clientes que ainda estão na rede DNS.
Ao usar serviços DNS fornecidos em nuvem, estar em um anúncio de servidor de nomes segmentado é uma maneira eficaz de proteger seu tráfego DNS.
-
Use um resolvedor de código não aberto
Os resolvedores DNS – os servidores que respondem às solicitações de nomes de domínio – garantem que os usuários sejam roteados para os sites corretos. O aplicativo de software mais comum usado para gerenciar DNS é o Berkeley Internet Name Domain (BIND). Desenvolvido na Universidade da Califórnia em Berkeley em 1983, o BIND ainda é responsável pela grande maioria das implementações globais de servidores de nomes. Agora totalmente de domínio público, o código-fonte do BIND é de código aberto e, portanto, prontamente disponível para ser explorado e explorado por hackers mal-intencionados.
Evite ameaças de resolvedores
A CSC optou por fazer parceria com a Neustar porque eles resolveram esse problema anos atrás. Eles desenvolveram um código proprietário e pediram a auditores de segurança terceirizados que procurassem vulnerabilidades. Eles não encontraram nada que os invasores pudessem explorar remotamente, seja para roubar privilégios restritos ou dificultar a resolução de diretórios.
Além de oferecer suporte a especificações padrão de DNS e solicitações de comentários (RFCs), eles aprimoraram seus resolvedores para ampliar os recursos de DNS e, ao mesmo tempo, fornecer redundância e segurança extras. A maioria das implementações de servidores DNS legados nunca chega perto.
-
Implante extensões de segurança DNS (DNSSEC)
À medida que ajudam os usuários da Internet a encontrar os sites de que precisam, os servidores DNS consultam uns aos outros. Para acelerar as coisas, os servidores armazenam em cache os resultados por um período de tempo especificado. Se houver uma consulta para o mesmo nome antes que o registro do recurso expire, um servidor fornecerá a resposta armazenada em cache em vez de consultar outra máquina.
O envenenamento do cache DNS permite ataques pharming
Embora isso melhore a eficiência, também convida ao envenenamento do cache. Isto ocorre quando um servidor DNS, geralmente comprometido por criminosos, fornece uma resposta falsa a uma solicitação DNS. Os usuários acabam acessando sites falsos que solicitam informações pessoais ou simplesmente ativam malware. Como isso pode acontecer? Em muitos casos, os servidores DNS não verificam se as respostas que recebem de outros servidores estão relacionadas à consulta original. Um servidor armazenará em cache informações incorretas e as transmitirá a outros clientes DNS da máquina comprometida.
A chave para a proteção é DNSSEC
DNSSEC é um conjunto de extensões de segurança que autenticam respostas DNS. O segredo é uma série de combinações de chaves públicas e privadas para assinar recursos de informação. Funciona fornecendo uma chave pública que permite ao resolvedor do usuário confirmar se uma resposta DNS corresponde à versão criptográfica. Todas as transações são assinadas – os invasores não podem simplesmente falsificar os pacotes.
Em termos mais básicos, o DNSSEC protege o processo DNS, protegendo contra envenenamento de cache, ataques pharming e outras ameaças graves. Certifique-se de ter isso ativado. Os relatórios de segurança cibernética da CSC mostram que, nos últimos anos, houve uma taxa de adoção de DNSSEC alarmantemente baixa, que varia entre 0% e 5% entre grandes empresas globais em diferentes setores.
-
Aumente a resiliência com uma rede DNS privada
Como diz o velho ditado de segurança, você é tão forte quanto o seu elo mais fraco. Mas e se você pudesse melhorar sua postura de força eliminando os elos fracos? Ao reduzir a dependência de ligações públicas à Internet, a rede privada eliminou essencialmente a parte intermédia – e mais perigosa – da transação DNS, onde ocorre a grande maioria dos ataques DDoS e tentativas de envenenamento da cache DNS. Pergunte se o seu provedor oferece isso como um serviço adicional.
Uma rede privada oferece três benefícios principais:
Menor latência – Em alguns casos, mesmo que o DNS esteja funcionando perfeitamente, outros problemas de conexão com a Internet podem causar degradação no desempenho do DNS, levando a uma experiência ruim do usuário. A rede privada oferece uma experiência online rápida e eficiente porque o tráfego DNS evita a rede geral da Internet.
Segurança aprimorada – Os atuais ataques DDoS aprimorados pela Internet das Coisas, que tornam a Internet inacessível, em breve se tornarão uma coisa do passado. Uma rede privada para resolução de DNS nas redes dos provedores minimiza ameaças externas, como ataques DDoS e tentativas de envenenamento de cache.
Melhor confiabilidade – No caso de um ataque DDoS ou de uma interrupção significativa, as consultas continuarão a ser resolvidas nas redes privadas onde o DNS está implantado. Essa resiliência garante uma experiência superior na Internet para usuários que procuram sites e outros ativos on-line vitais.
-
Aproveite um painel inteligente para identificar pontos cegos de segurança para seus ativos digitais vitais
As empresas precisam ser capazes de identificar seus domínios críticos para os negócios e monitorá-los continuamente para garantir que estejam protegidos com as proteções corretas. Além disso, desde que foram implementadas novas regulamentações digitais, como o Regulamento Geral de Proteção de Dados (GDPR), é imperativo identificar ameaças em torno de domínios vitais e dentro da infraestrutura DNS em que se encontram. Isso vai ajudar:
- Identifique quais domínios são de missão crítica e exigem garantia de 100% de tempo de atividade do DNS
- Especifique todos os provedores de DNS atuais e avalie quaisquer riscos de segurança com os fornecedores
- Identifique quaisquer recursos de segurança ausentes, aumentando o risco de envenenamento do cache DNS, domínio ou sequestro de DNS, sombreamento de domínio, DDoS e phishing.
Overview – 10 segredos para melhorar a segurança do DNS
- Use dispositivos DNS dedicados – Se você hospeda seus próprios servidores DNS, certifique-se de usar o hardware correto. você deve empregar um dispositivo de hardware DNS dedicado ou um software DNS de código aberto.
- Mantenha o software do servidor DNS atualizado – Como acontece com qualquer outro aplicativo, serviço ou protocolo de computador, novas vulnerabilidades de DNS surgem continuamente. Os invasores dedicam muito tempo para descobrir essas fraquezas e descobrir como explorá-las. É por isso que manter o software do servidor DNS atualizado com as versões atuais do software e atualizações de segurança é uma tarefa que você nunca poderá riscar permanentemente da sua lista de tarefas. Quer você encontre um dispositivo dedicado que aplique atualizações para você ou tenha que aplicá-las manualmente, você simplesmente deve ficar por dentro dele.
- Tenha um backup de DNS no local – Mesmo se você terceirizar seu DNS para um provedor de serviços DSN gerenciado, você deve hospedar seu próprio servidor DNS de backup dedicado. Nem os provedores de serviços de Internet nem os provedores de serviços DNS gerenciados são imunes a ataques. Em 2016, o provedor de serviços DNS DYN e o provedor de serviços de Internet Deutsche Telekom foram vítimas de ataques DDoS massivos que causaram interrupções generalizadas. Um ataque coordenado ao seu fornecedor não é o único motivo para ter um backup. Mais comumente, falhas de hardware ou de rede podem causar desempenho lento do DNS ou interrupção.
- Evite pontos únicos de falha – Um ponto único de falha é uma parte da sua rede que, se parar de funcionar, desliga todo o processo. Eliminar pontos únicos de falha em qualquer sistema ou rede é um princípio básico de design seguro e resiliente. Uma forma importante de evitar pontos únicos de falha é ter vários links de Internet de diferentes ISPs apontando para seus sites. Ao introduzir diferentes ISPs, você aumenta os servidores DNS autorizados que armazenam em cache seus links e reduz o risco de envenenamento de cache, desviando seus visitantes.
- Execute servidores DNS autoritativos dentro de DMZs – Se os invasores conseguirem comprometer um servidor DNS autoritativo, eles poderão alterar os dados DNS de qualquer domínio para o qual esse servidor seja autoritativo. O efeito pode ser devastador. Essas alterações são rapidamente replicadas pela Internet e, em alguns casos, levam dias para serem corrigidas. Pare esses problemas antes que eles comecem, configurando seus servidores DNS autoritativos dentro de uma zona desmilitarizada de rede segura (DMZ). A DMZ permite a importação de registros DNS apenas de um servidor primário seguro que também está localizado dentro da sua DMZ.
- Desative a recursão – Tanto quanto possível, você deseja controlar quem pode solicitar informações ao seu servidor DNS autoritativo. Você pode restringir as transferências de zona para endereços IP específicos de seus servidores DNS secundários, por exemplo, para evitar que invasores obtenham nomes de host e endereços IP para sua rede. Por outro exemplo, você pode assinar digitalmente seus registros de transferência de zona para provar sua autenticidade
- Use Inteligência de Ameaças – Inteligência de ameaças são informações sobre os pontos mais fracos da sua rede e os ataques mais prováveis que você provavelmente receberá. Você pode usar essas informações para tomar decisões e definir prioridades sobre como proteger sua empresa.
- Use zonas de política de resposta – Uma zona de política de resposta (RPZ) permite definir políticas para domínios específicos.
- Use IPAM – À medida que sua rede cresce, até mesmo manter a visibilidade de tudo se torna um desafio. Com uma solução de gerenciamento de endereços IP (IPAM) de nível empresarial, você pode consolidar informações sobre sua infraestrutura principal de rede em um banco de dados abrangente e confiável. Esta solução permite ver toda a topologia da sua rede.
- Automatize tarefas de segurança sempre que possível – As tarefas que você pode automatizar com software de segurança DNS incluem muitos cenários comuns:
- Quando sua solução de segurança DNS detecta exfiltração de dados baseada em DNS ou malware de um host infectado, ela deve notificar uma solução de segurança de endpoint para limpar o endpoint infectado.
- Quando um novo dispositivo entra na rede, sua solução de segurança DNS deve acionar uma verificação de vulnerabilidades.
- Até a conclusão da verificação de vulnerabilidade e mediação de quaisquer problemas, sua solução de segurança DNS deve acionar uma solução de controle de acesso à rede (NAC) para evitar que o endpoint entre na rede até que esteja em conformidade.
Você também pode contar com uma empresa de TI para auxiliar na segurança de DNS com personalização às necessidades reais do seu negócio.
Diferenciais da Infonova
A Infonova tem 20 anos de experiência em tecnologia, infraestrutura de TI, e pessoas. Temos clientes internacionais como HBO, AirBnb, Linkedin, Tempo Assist, Nissin, entre outros. Ou seja, estamos aptos a atender qualquer segmento e tamanho de negócio com maestria.
BACKUP
Todas as posições de profissionais da Infonova têm backup. Temos um ditado interno que é: “quem tem um… não tem nenhum”. Portanto, somos obcecados em ter continuidade nas operações para que nós e os nossos clientes possam focar na parte mais importante: explorar oportunidades e gerar crescimento.
VALOR FINANCEIRO
O valor da Infonova é intencionalmente menor quando comparado com empresas no mesmo nível de maturidade. No entanto, fazemos isso para ter a possibilidade de escolher os nossos clientes e ter uma base de clientes satisfeitos, e por bastante tempo.
LIBERAÇÃO DO RH
O RH é uma das áreas mais importantes de qualquer empresa. Afinal, ele deve estar focado em gerir a cultura, desenvolvimento dos colaboradores e atração de talentos; e não apenas com a reposição de profissionais. Sendo assim, terceirizar a TI oferece a possibilidade de fazer com que o RH esteja mais livre para se tornar um vetor de crescimento para a empresa.
FLEXIBILIDADE – HUB DE TECNOLOGIA
A Infonova não faz só Infra, ela pode fazer de tudo. Na verdade, para alguns clientes que não podem resolver algumas questões diretamente, a Infonova atua como Hub, indo para o mercado, encontrando parceiros e fornecedores e interagindo com eles. Esses serviços incluem áreas diversas, como:
- Ar condicionado;
- Outsourcing de impressão;
- Links de internet;
- Compra de materiais e mais.
ALOCAÇÃO DE DESENVOLVEDORES
A Infonova já foi uma fábrica de software no passado. Contudo, em 2012 escolhemos focar em Gestão de TI, Infraestrutura e Segurança. No entanto, como era de se esperar, esse conhecimento e familiaridade permanecem até hoje no time. Portanto, realizamos consultorias de DevOps para alguns clientes, atuamos como mediador entre clientes e desenvolvedores, e também alocamos desenvolvedores para alguns clientes.
RETENÇÃO DE COLABORADORES
Demoramos mais de 10 anos para entender e construir as ferramentas para atrair e manter profissionais de tecnologia no nosso time. Então, seja o profissional alocado no cliente ou não, temos a vivência de como reter, desenvolver e satisfazer tanto os profissionais quanto os clientes. E essa é uma necessidade para o sucesso da empresa.
LIBERAR BRAIN POWER DA ORGANIZAÇÃO PARA APROVEITAR OPORTUNIDADES
Não dá para fazer tudo. Então, faz mais sentido focar no que faz a empresa crescer, mas isso requer um recurso escasso: tempo e atenção. Terceirizar a TI significa retomar esse recurso, contudo, não é de graça. Terceirizar é mais caro do que contratar direto, mas faz sentido se você pode usar a atenção e o tempo para realizar mais valor, inclusive financeiro.
NÃO TEM MULTA DE CONTRATO
A Infonova tirou as multas dos seus contratos há muitos anos. Afinal, entendemos que para o cliente, muitas vezes mudar é uma situação nova. Portanto, escolhemos tirar o risco do cliente e trazer este risco apenas para o nosso lado.
PODE PARAR QUANDO QUISER
Os primeiros 90 dias de contrato com a Infonova não tem multa e nem aviso prévio. Ou seja, basta pedir para parar. Contudo, após os 90 dias, também não temos multa, porém, solicitamos um aviso com 30 dias de antecedência.
CONTINUAMOS AMIGOS
Na Infonova a relação continua mesmo sem contrato. Ou seja, mantemos o relacionamento com os clientes e continuamos ajudando, trocando experiências e apoiando, independente de existir um documento de contrato ou não. Afinal, o nosso interesse é na parceria.
DORMIR TRANQUILO
Stress faz parte do crescimento. Afinal, crescer não é um caminho fácil. No entanto, você pode escolher o tipo de stress que quer ter. Ou seja, pode decidir entre o stress de fazer a empresa “funcionar”, ou o de focar em aproveitar as oportunidades enquanto dorme tranquilo sabendo que o dia a dia está garantido.