Para reforzar su cartera de protección de sistemas de nombres de dominio (DNS) y mejorar la seguridad de los recursos de red DNS ampliamente distribuidos de las empresas, Infoblox ha lanzado una solución impulsada por IA llamada SOC Insights. El servicio es una extensión basada en la nube de la oferta BloxOne DNS Threat Defense del proveedor. Según Craig Sanderson, vicepresidente de seguridad y gestión de productos de Infoblox, SOC Insights permite a los clientes utilizar la inteligencia de amenazas DNS para bloquear de forma proactiva las amenazas y proporcionar análisis al equipo de operaciones de seguridad. "Esta oferta combinada de SOC Insights con IA tiene como objetivo reducir el tiempo de respuesta al transformar grandes cantidades de datos de eventos de seguridad, red e inteligencia DNS en un conjunto manejable de información inmediata y procesable", dijo Sanderson. AI SOC Insights toma datos de red y seguridad del conjunto de datos DNS de Infoblox y de fuentes de terceros, luego utiliza tecnología de IA para correlacionar, priorizar y recomendar eventos de remediación. "Esto no solo acelera la detección y respuesta a las amenazas, sino que también alivia una carga significativa de los analistas de SOC", agregó Sanderson.

“El DNS funciona como un plano de control para las redes empresariales, pero también sirve como un plano de control para los adversarios y el malware”, dijo Sanderson. “Lo cual puede ser problemático porque, la mayoría de las veces, no es el equipo de seguridad el que observa el tráfico DNS, sino la gente de la red, lo que significa que deben poder examinar los miles de millones de eventos DNS que se envían todos los días, tratando de identificar los cientos de miles de dominios DNS que se registran cada semana. Es muy difícil identificar lo que están haciendo los atacantes, a menudo ocultos a simple vista”, dijo Sanderson. “La IA puede identificar los puntos de datos más importantes a través de todo ese ruido”, dijo Sanderson, citando el ejemplo de un cliente anónimo que recientemente redujo unos 500.000 eventos en 24 información procesable. Además, dijo Sanderson, “SOC Insights puede detectar configuraciones incorrectas, actividades de alto riesgo y otros comportamientos para ayudar a las organizaciones a fortalecer su postura de seguridad y mitigar los riesgos de manera proactiva”.

El secuestro de DNS es una práctica generalizada

La protección de DNS es un componente central de la seguridad empresarial. DNS, conocido coloquialmente como el directorio de Internet, proporciona un sistema de nombres descentralizado para computadoras y servicios conectados a Internet o a una red privada. La tecnología traduce los nombres de dominio en direcciones IP necesarias para localizar e identificar servicios y dispositivos informáticos con protocolos de red subyacentes. Debido a su uso generalizado, DNS proporciona una superficie de ataque masiva y a menudo pasada por alto que requiere el mismo escrutinio y protección que la web, el correo electrónico y otros servicios, según el equipo de investigación de amenazas Unit 42 de Palo Alto Networks. "El DNS se puede utilizar para distribuir malware, para comando y control (C2) o para exfiltración de datos", escribió el equipo de Unit 42 en un informe técnico sobre el tema. "Los adversarios están aprovechando la ubicuidad del DNS para abusar de él en varias etapas de un ataque: casi el 85% del malware utiliza el DNS con fines maliciosos. Al mismo tiempo, muchos equipos de seguridad carecen de visibilidad sobre el tráfico DNS y cómo las amenazas utilizan el DNS para mantener el control sobre los dispositivos infectados".

En un estudio reciente, la consultora Enterprise Management Associates (EMA) analizó los problemas de seguridad de DNS más perjudiciales para las empresas. El secuestro o redirección de DNS, que implica interceptar las solicitudes de DNS de los dispositivos del cliente y dirigir los intentos de conexión a la dirección IP incorrecta, encabezó la encuesta. A menudo, los atacantes logran esto infectando a los clientes con malware que redirige las solicitudes a un servidor DNS no autorizado, o secuestrando un servidor DNS legítimo y secuestrando las solicitudes a mayor escala. Este último método puede tener un amplio alcance, por lo que es importante que las empresas protejan su infraestructura de DNS de los atacantes, según Shamus McGillicuddy, director de investigación de EMA. Otro problema de seguridad de DNS es la tunelización de DNS, que se utiliza para evadir la detección mientras se extraen y exfiltran datos de un sistema comprometido. Los piratas informáticos suelen explotar este problema una vez que han penetrado en una red, y ocultan los datos extraídos en las consultas DNS salientes. "Por eso es importante monitorear de cerca el tráfico de DNS con herramientas de monitoreo de seguridad para detectar anomalías, como tamaños de paquetes anormalmente grandes", dijo McGillicuddy.