Infoblox розгортає пакет на основі штучного інтелекту, щоб розширити свій портфель захисту системи доменних імен (DNS) і підвищити безпеку широко розповсюджених корпоративних ресурсів DNS. Про це повідомляє NetworkWorld.
SOC Insights – це хмарне розширення поточного пакету BloxOne DNS Threat Defense від постачальника. За словами Крейга Сандерсона, віцепрезидента з безпеки та управління продуктами в Infoblox, це дозволяє клієнтам використовувати дані про загрози DNS, щоб забезпечити їх проактивне виявлення й аналітику для команди безпеки.
Ідея полягає в тому, щоб надати клієнтам спосіб скоротити час відповіді, перетворивши величезні обсяги подій безпеки, мережевих і DNS-розвідувальних даних у керований набір миттєвих практичних ідей.
AI SOC Insights отримує мережеві дані та дані безпеки з набору даних DNS Infoblox і сторонніх джерел, а потім використовує технологію ШІ для кореляції подій, їх пріоритетності та надання рекомендацій щодо вирішення. За словами Сандерсона, це не тільки прискорює виявлення загроз і реагування на них, але й зменшує навантаження на аналітиків SOC.
Штучний інтелект зможе бачити найважливіші дані крізь увесь шум, сказав посадовець. Він навів приклад неназваного клієнта, який нещодавно об’єднав приблизно 500 тисяч подій у 24 практичних висновки.
Крім того, SOC Insights може виявляти помилки конфігурації, дії з високим ступенем ризику й іншу поведінку, щоб допомогти організаціям зміцнити свою безпеку та завчасно зменшити ризики.
Захист DNS є центральним компонентом безпеки підприємства. Це тому, що DNS, у просторіччі відомий як телефонна книга Інтернету, забезпечує децентралізовану систему імен для мережевих комп’ютерів і служб, підключених до Інтернету або приватної мережі. Технологія перетворює доменні імена на цифрові IP-адреси, необхідні для визначення місцезнаходження й ідентифікації комп’ютерних служб і пристроїв за допомогою базових мережевих протоколів.
За даними групи дослідження загроз Palo Alto Networks Unit 42, завдяки широкому використанню DNS є масивною поверхнею для атак, яка часто не помічається і вимагає такого ж ретельного аналізу й захисту, що й Інтернет, електронна пошта та інші служби.
«Він може використовуватися для доставки зловмисного програмного забезпечення, командування та контролю (C2) або викрадення даних. Зловмисники користуються повсюдним характером DNS, щоб зловживати ним у кількох точках атаки. Майже 85% шкідливих програм зловживають DNS для зловмисної діяльності. Водночас багатьом командам безпеки бракує видимості трафіку DNS і того, як загрози зловживають DNS, щоб підтримувати контроль над зараженими пристроями», – написала команда Unit 42 в офіційному документі про DNS.
Фахівці Enterprise Management Associates (EMA) нещодавно провели дослідження, у якому розглядалися проблеми безпеки DNS, які створюють для підприємств найбільше труднощів. Найпопулярнішою відповіддю було викрадення DNS або перенаправлення DNS, яке передбачає перехоплення DNS-запитів від клієнтських пристроїв, щоб спроби підключення спрямовувалися на неправильну IP-адресу.
Хакери часто досягають цього, заражаючи клієнтів шкідливим програмним забезпеченням, щоб запити надходили на фальшивий DNS-сервер, або ж зламують законний DNS-сервер і викрадають запити в більш масовому масштабі. Останній метод може мати великий радіус вибуху, що робить критично важливим для підприємств захист інфраструктури DNS від хакерів.
Іншою проблемою безпеки DNS є DNS-тунелювання, яке використовується для уникнення виявлення під час вилучення даних зі скомпрометованої системи та викрадення. Зазвичай зловмисники використовують цю проблему, коли вони вже проникли в мережу, і приховують витягнуті дані у вихідних запитах DNS. Таким чином, для інструментів моніторингу безпеки важливо уважно стежити за трафіком DNS на наявність аномалій, таких як великі розміри пакетів.
Раніше ProIT повідомляв, як покращити безпеку DNS.
Інструкцію з пересилання запитів на розпізнавання імен AWS до локальної DNS ви також можете прочитати на нашому сайті.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!