DNSDR kann als eine Weiterentwicklung des Extended Detection and Response (XDR)-Frameworks betrachtet werden: Es setzt direkt am ersten Verbindungspunkt für alle Netzressourcen an – dem Domain Name System (DNS). Das DNS erstreckt sich über das gesamte Unternehmen und verwaltet die Zuordnung von IP-Adressen in Doimainnamen. Alles, was sich im Netzwerk befindet oder sich mit ihm verbinden möchte, interagiert mit dem DNS – egal, ob E-Mails, Website-Verkehr, Geräte oder böswillige Akteure. Jeder Nutzer und jedes Gerät im System ist sichtbar und kann identifiziert werden. Das macht sich DNSDR zunutze: DNSDR filtert und blockiert alles Unerwünschte auf DNS-Ebene, bevor es das Unternehmensnetzwerk erreicht – und das, ohne dabei die Performance des Netzwerks einzuschränken.
Um die Funktionsweise zu veranschaulichen, ist es hilfreich, ein klassisches Angriffsszenario zu betrachten: Angreifer erstellen eine bösartige Payload und senden diese – beispielsweise über Spear-Phishing-Mails oder Smishing – an ihr Ziel. Klickt ein Mitarbeiter auf den Link, fordert das Gerät eine Verbindung mit dem Internet an, die Suche erfolgt über einen DNS-Server. Die Verbindung wird hergestellt. Sobald diese steht, wird die Payload heruntergeladen und auf dem Zielgerät ausgeführt. Die Malware ist in der Zielumgebung angekommen, die Angreifer können das Gerät fernsteuern und beispielsweise Daten filtrieren.
DNSDR kann den gesamten Angriffszyklus bereits im ersten Schritt unterbrechen – genau dann, wenn ein Benutzer oder Gerät versucht, eine Verbindung herzustellen. DNSDR erkennt das Ziel, mit dem sich der Endpunkt zu verbinden versucht, analysiert es und unterdrückt die Ziel-IP-Adresse – Verbindungen zu bösartigen Zielen werden effektiv blockiert. Rund 92 Prozent der Malware und Command-and-Control-Angriffe können über DNS identifiziert werden, wie eine Studie des Cybersecurity Directorate der National Security Agency (NSA) aus dem Jahr 2020 festgestellt hat.
DNSDR arbeitet auf vier Ebenen und kann schützen, erkennen, identifizieren und reagieren:
Dadurch wird das komplette Sicherheitssystem effizienter und der Schutz effektiver. DNSDR kann neben bekannten Phishing-Szenarien auch vor DGA (Domain Generation Algorithm = ein Programm, das große Mengen an Domainnamen generiert und Malware mit neuen Domains versorgt, um Sicherheitsmaßnahmen zu umgehen), Command-and-Control-Infrastrukturen, Malware, Ransomware und verdächtigen Domains schützen – und das mehrere Wochen oder Monate, bevor Standard-Sicherheitslösungen sie als böswillig erkennen. Durch Automatisierungen gelingt es der Software, Bedrohungsdaten, unbekannte Anwendungen, unbefugte Datenexfiltration und bösartiger DNS aufzuspüren und als verdächtig einzustufen.
Die rasanten Entwicklungen der letzten Jahre führen dazu, dass wir heute einer völlig neuen Bedrohungslage gegenüberstehen. Nicht nur die Technologien werden immer besser, sondern auch die Bedrohungsakteure. Es reicht nicht mehr aus, eine Bedrohung zu erkennen, wenn sie bereits da ist. Unternehmen müssen ihre Reaktionsfähigkeit verbessern. Glücklicherweise ermöglichen es DNSDR-Lösungen frühzeitig zu intervenieren.
ist Senior Manager Technical Sales für Central Europe bei Infoblox.
Unternehmen wissen oft nicht, welche Geräte in der Produktion eine IP-Adresse haben, warnt Peter Machat…
KPMG-Studie: 97 Prozent der Cloud-nutzenden Unternehmen verwenden KI-Dienste von Cloud-Anbietern.
Bitkom veröffentlicht Online-Tool und Leitfaden zum KI-Einsatz in Unternehmen. Beide Angebote sind kostenlos.
Neue Kunden sind unter anderem SAP, Conforama Schweiz, 11teamsports, Phillip Morris International, Baywa und Thalia.
Oracle schafft einheitliche Plattform für vier Ministerien und über 250.000 Beamte mit der Oracle Applications…
Der Grund: Geräte, die mit veralteter Software arbeiten, sind anfällig für Cyberangriffe und Datenlecks.