Blog

Kako integrirati Infoblox DNS podatke sa SIEM rješenjima

DNS podaci su zlatni rudnik za provjeru sigurnosti

Domain Name System (DNS) je hijerarhijski decentralizirani sustav označavanja Internet domena. Domain Name System raspoređuje odgovornosti za dodjelu domenskih imena i pridruživanje tih imena Internet resursima (IP adresama) tako da određuje Autoritativne imeničke poslužitelje za svaku domenu.

DNS podaci su sveprisutni u mreži iz razloga što je DNS upit obično prvi korak koji neki uređaj mora proći radi komunikacije sa ostalim uređajima.

DNS podaci sadrže puno korisnih informacija kad se koriste za provjeru sigurnosti. Na primjer, recimo da smo dobili slijedeći upit:

19-Feb-2018 14:56:38.085 client 10.120.21.0#51964: query: nnr368hzyabbea.badguy.com IN A + (10.196.106.11)

Ovaj upit u osnovi kaže, dana 19-Feb-2018 u 14:56:38.085 uređaj sa IP adresom 10.120.21.0 pitao je DNS server sa IP adresom 10.196.106.11, koja je IP adresa nnr368hzyabbea.badguy.com

 

Na osnovu navedenog upita, možemo postaviti neka pitanja:

  • Da li je badguy.com normalna, maliciozna ili nevažeća domena?
  • Da li uređaj sa IP adresom 120.21.0 šalje i upite prema badguy.com sa drugačijim prefiksom, na primjer akdg3f7abl.badguy.com ?
  • Da li postoje i drugi uređaji u mreži koji šalju upite prema badguy.com , samo badguy.com ili sa drugačijim prefiksom, npr. akdg3f7abl.badguy.com ?

Ako je badguy.com poznata maliciozna domena koja posjeduje command-and-control server, upit nnr368hzyabbea.badguy.com može značiti tajni handshake između dijela malicioznog softvera na uređaju 10.120.21.0 i servera badguy.com. Ako uređaj sa IP adresom 10.120.21.0 šalje više od jednog upita (slično kao nnr368hzyabbea.badguy.com) prema badguy.com, to može značiti neku vrstu eksfiltracije podataka, na primjer, jedan (enkriptirani) broj kreditne kartice odjednom, između ta dva uređaja.

Ako imate druge uređaje u vašoj mreži koji kontaktiraju badguy.com (moguće i sa drugim prefiksom), možda imate botnet infekciju u vašoj mreži koja pokušava uspostaviti komunikaciju s poslužiteljem za upravljanje i upravljanje.

Kao što vidite, jednostavan DNS upit vam može reći puno toga o potencijalnim sigurnosnim problemima u vašoj mreži, ako znate gdje da tražite. Ali na koji način možete automatizirati i  skalirati cijeli proces provjere? Očigledan odgovor je korištenje SIEM rješenja sa svim DNS podacima.

 

Izazovi u korištenju vašeg SIEM sustava sa DNS podacima

Postoje najmanje slijedeći, dolje navedeni izazovi kada pokušate napraviti procjenu sigurnosti sa DNS podacima u vašem SIEM rješenju:

  1. Morate automatizirati cijeli proces kako bi učitali sve DNS podatke u vaš SIEM.
  2. Morate paziti na limit SIEM licenci kako bi mogli prihvatili sve DNS podatke.
  3. Morate postaviti pravila za generiranje alerta (upozorenja) na DNS podacima.

Prvi izazov može zvučati trivijalno. Zar nisu sva SIEM rješenja napravljena da učitaju podatke sa DNS rješenja?  Baš i ne, jer postojeće metode imaju značajan utjecaj na DNS performanse.

Većina vodećih SIEM rješenja daju mogućnost učitavanja podataka iz DNS rješenja. Na primjer,  ArcSight ima Smart Connector koji učitava syslog podatke sa Infoblox-a; vidi SmartConnector za Infoblox NIOS Syslog. Isto tako i Splunk; vidi Splunk add-on za Infoblox.

Svaki od spomenutih SIEM rješenja postavljen je za učitavanje podataka o događajima kao što su promjene konfiguracije na kutiji, ali ne i o sirovim DNS upitima. Zbog ogromne količine DNS upita generiranih u nekoj organizaciji, kada šaljete podatke od sirovim DNS upitima putem syslog-a prema SIEM-u, to predstavlja ogromno opterećenje na performanse DNS uređaja do te mjere da se DNS funkcionalnosti izvode ispod razine koju očekujete.

Što se drugog izazova tiče, većina SIEM-ova naplaćuje korisnicima prema količini unesenih podataka, obično u jedinici GBpD (Giga Byte per Day) ili EpS (Events per Second). Na primjer, jedno od vodećih SIEM rješenja svojim korisnicima naplaćuje 1.500 USD / GBpD ako odabere trajnu (perpetual) licencu. To znači da za neku organizaciju od 1.000 zaposlenih koja generira 300 DNS upita u sekundi, podaci bi se preslikali na 8 GBpD ili 12.000 USD u troškovima licence (procjena  Infoblox-a je 300 DNS upita u sekundi za organizaciju od 1.000 zaposlenih, na temelju podataka dobivenih od korisnika). Obično se volumen DNS upita povećava kada imate više zaposlenih, tako da, ako vaša organizacija ima više od 1.000 zaposlenih, očekujte da ćete platiti vašem SIEM dobavljaču više od toga samo za troškove licence za unos podataka o DNS upitima i odgovorima u vaš SIEM sustav.

I na kraju, SIEM je koristan za sigurnosno istraživanje jer može generirati upozorenja na temelju određenih pravila, ali ta pravila moraju biti uspostavljena. Kakva pravila trebate imati kada imate DNS podatke u sustavu? Detaljno objašnjenje ove teme izvan je opsega ovog članka, ali općenito govoreći, mogli biste imati pravilo koje povezuje vaše ciljne domene DNS upita s unaprijed definiranom listom zlonamjernih domena koju možete dobiti od vašeg threat intelligence pružatelja usluga. Ili možete imati drugo pravilo za brojanje upita za poslužitelje koji se nalaze u određenim zemljopisnim regijama i generirati upozorenje kada taj broj prelazi određeni prag.

 

Upotrijebite Infoblox Data Connector za optimiziranje vašeg SIEM rješenja sa DNS podacima

Infoblox nudi software utility zvan Data Connector za adresiranje prva dva problema (izazova) koja smo gore spomenuli. Koristi SCP (Secure Copy) za siguran prijenos podataka o DNS upitima i odgovorima u datotekama, te na taj način smanjuje degradaciju performansi na DNS uređajima koje uzrokuje syslog. Isto tako ima ugrađen filtering mehanizam kako bi izbjegao slanje podataka za poznate benigne domene prema SIEM-u te na taj način korisnicima sačuvao nepotrebne troškove SIEM licenci. Korisnici mogu konfigurirati sadržaj liste benignih domena. Premošćivajući korisničku   DNS mrežnu infrastrukturu i SOC, Data Connector automatizira i pojednostavljuje proces davanja DNS podataka za sigurnosna istraživanja. Trenutačno podržava Splunk ali će uskoro podržavati i ostala vodeća SIEM rješenja.

Vidi Infoblox Data Connector User Guide.


Osim toga, Infoblox nudi i skup sigurnosnih proizvoda koji uključuje naprednu DNS zaštitu na temelju potpisa, napredne Threat Intelligence) i Threat Insight tehnologije, kao dio ActiveTrust® i ActiveTrust® Cloud rješenja. Zajedno, ova rješenja nadziru DNS promet na različitim kontrolnim točkama i ometaju komunikaciju zlonamjernog softvera. Za više informacija posjetite infoblox.com.

Share on LinkedInShare on FacebookTweet about this on Twitter
Treba Vam ponuda ili pomoć pri izradi rješenja? Tražite partnera za implementaciju?
Kontaktirajte nas!