Che cos'è la sicurezza DNS?

Come viene utilizzato il DNS negli attacchi

Alcune minacce includono attacchi contro l'infrastruttura DNS:

• Distributed Denial of Service (DDoS): L'infrastruttura DNS è essenziale per il funzionamento di Internet. Gli attacchi DDoS contro il DNS possono rendere irraggiungibili i siti web rendendo non disponibili i server DNS che li servono, saturando la rete con quello che sembra traffico legittimo. Un esempio classico è l'attacco DDoS del 2016 contro Dyn, in cui un esercito di bot ospitati su telecamere connesse a Internet ha causato interruzioni a molti siti web importanti, tra cui Amazon, Netflix, Spotify e Twitter.
• Amplificazione DNS DDoS: Il DNS utilizza UDP, un protocollo senza connessione, per il trasporto, il che significa che un aggressore può falsificare l'indirizzo di origine di una richiesta DNS e far inviare la risposta a un indirizzo IP di sua scelta. Inoltre, le risposte DNS possono essere molto più grandi delle richieste corrispondenti. Gli aggressori DDoS sfruttano questi fattori per amplificare i loro attacchi, inviando una piccola richiesta a un server DNS e ricevendo una risposta massiccia trasmessa all'obiettivo. Ciò si traduce in un DoS dell'host di destinazione.
• Altri attacchi Denial of Service (DoS): Oltre agli attacchi DDoS basati sulla rete, anche le applicazioni che girano sui server DNS possono essere bersaglio di attacchi DoS. Questi attacchi sono progettati per sfruttare le vulnerabilità nell'applicazione dei server DNS, rendendoli incapaci di rispondere alle richieste legittime.

Il DNS può anche essere abusato e utilizzato nei cyberattacchi. Esempi di abuso del DNS includono:

• Dirottamento DNS: Il DNS Hijacking si riferisce a qualsiasi attacco che inganna l'utente facendogli credere di connettersi a un dominio legittimo, mentre in realtà è connesso a un dominio dannoso. Questo può avvenire utilizzando un server DNS compromesso o maligno, oppure ingannando un server DNS e facendogli memorizzare dati DNS errati (un attacco chiamato cache poisoning).
• Tunneling DNS: Poiché il DNS è un protocollo affidabile, la maggior parte delle organizzazioni gli consente di entrare e uscire liberamente dalla propria rete. I criminali informatici sfruttano il DNS per l'esfiltrazione dei dati con malware le cui richieste DNS contengono i dati da esfiltrare. Poiché il server DNS di destinazione è in genere controllato dal proprietario del sito web di destinazione, gli aggressori si assicurano che i dati raggiungano un server in cui possano essere elaborati da loro, e che venga inviata una risposta nel pacchetto di risposta DNS.
• Evasione della sicurezza con nomi di dominio casuali (DGA): Gli attori delle minacce utilizzano algoritmi sofisticati per generare centinaia di migliaia di nomi di dominio nuovi di zecca, utilizzando un algoritmo di generazione di domini (DGA). Il malware presente su un computer infetto utilizzerà poi questi nomi di dominio nuovi di zecca per eludere il rilevamento e connettersi al server di comando e controllo esterno dell'hacker. Le soluzioni di sicurezza tradizionali non sono abbastanza veloci per determinare se questi domini sono dannosi o meno, quindi si limitano a lasciarli passare.

Analisi, threat intelligence e caccia alle minacce

Il monitoraggio del traffico DNS può essere una ricca fonte di dati per i team del Security Operations Center (SOC), che monitorano e analizzano la postura di sicurezza della sua azienda. Oltre a monitorare i firewall per gli Indicatori di Compromissione (IoC) del DNS, i team SOC possono anche essere alla ricerca di domini simili.