Inläggets rubrik är benämning på trenden att allt mer kommunikation på internet blir krypterad och på så sätt oläslig för annan part. Begreppet kom för några år sedan men är lika (om inte mer) aktuellt och relevant idag. Med anledning av detta vill vi berätta om en försvarsförmåga som varit en del av MIRU W3 sedan starten, nämligen DNS Protection.
Denna förmåga skapar ett skydd trots att trafiken är krypterad (oläslig). Vill du veta mer om hur det fungerar och om tjänstens innehåll, läs gärna vidare.
Vi börjar med bakgrund och utmaning…
Internet blir mer och mer krypterat vilket förenklat innebär att information blir oläsligt för annan part. Detta är bra i flera avseenden såsom skydda känslig information vi skickar och höja vår privacy på nätet.
För några år sedan startade Google en våg av ”HTTPS-aktiverande” världen över i syfte att ”göra webben säker och göra dig mer privat” vilket resulterat i att många ”vanliga” siter har aktiverat HTTPS. HTTPS [1] är ett prefix framför webbadressen som innebär att hemsidan är krypterad. Många siteägare har idag aktiverat HTTPS för att rankas högre i sökträffar på Google samt för att undvika att webbläsaren (primärt Google Chrome) meddelar att sidan är osäker. Detta är ”åtgärder” Google gjort för att påskynda övergången till HTTPS världen över. Av dem 100 mest populära siterna i världen har 97/100 HTTPS som standard, dessa 100 webbplatser utgör ca 25% av all webbplatstrafik i världen [2].
Cyberkriminella är inget undantag, merparten av alla siter som drivs av cyberkriminella oavsett syfte, om det gäller nätfiskesida, kontrollservrar (C2) eller site med skadlig kod så används HTTPS. Detta innebär att deras trafik och kommunikation också är skyddad från insyn från obehöriga. Med detta i åtanke blir det tydligt att HTTPS inte har något med att om sidan är säker att vistas på att göra.
Det dåliga ur ett skyddsperspektiv är att traditionella säkerhetsprodukter som inspekterar internettrafik i ett preventivt syfte att stoppa skadlig kod innan det når datorer och servrar får problem eftersom dem inte kan avlyssna trafiken som följd av krypteringen. Merparten av dessa lösningar har inte stöd för detta, och dem som har stöd för det innebär det en komplex setup, speciellt sedan version 1.3 av krypteringsprotokollet TLS används i större utsträckning. Följden blir att dessa lösningar endast kan skydda den okrypterade trafiken.
Vad är då lösningen?
Lösningen ligger inte i att avlyssna trafiken utan att istället blockera i ett tidigare skede, nämligen vid namnuppslag, s.k. DNS.
DNS står för Domain Name System och är en översättningsteknik från domän till IP adress som skapades 1983. Brukar ofta enkelt beskrivas som ”internets adressbok”.
Ett exempel:
När en dator ska kommunicera med exempelvis en hemsida med adressen teamfront.se behöver datorn ta reda på vilken eller vilka IP adresser som är kopplade till teamfront.se eftersom en dator alltid ansluter mot IP adressen, detta kallas för namnuppslag. Datorn skickar en begäran om IP adress till DNS servrar, s.k. resolvers och får då svar tillbaka om aktuell IP för att sedan upprätta anslutningen.
Tjänsten
I vår tjänst MIRU W3 och högre, ingår DNS Protection. Denna förmåga innebär att MIRU agenten styr alla enheter till att alltid använda tjänstens DNS resolvers. Om en enhet försöker ansluta mot en domän som är klassad som skadlig nekas uppslaget till den för att istället presentera en sida som beskriver att du försöker ansluta till en domän som anses skadlig.
Vi använder en molnlösning från en partner som använder en mångsidig strategi för säkerhet vilket resulterar i robust insamling av hotinformation och kraftfullt skydd. Du kan läsa om olika tekniker och taktiker som används för att skapa skyddet längre ned under rubriken Threat Protection.
Eftersom skyddet arbetar på en så grundläggande nivå som namnuppslag är prestandaförlust obefintlig. Detta lager av skydd skapar även ett bra komplement till andra säkerhetstjänster och blir kraftfullt vid exempelvis nätfiskemejl som lyckas passera andra skydd.
Övriga skyddsåtgärder inom tjänsten
Man-in-the-middle attack
Eftersom enheten alltid använder tjänstens DNS servrar (resolvers) så erhålls en tillförlitlig namnuppslagning. Om du till exempel ansluter till ett okänt nätverk i kombination med att du saknar denna tjänst så kommer du tilldelas DNS servrar från nätverket du är ansluten till. I ett sådant scenario har du ingen kontroll på att uppslagen är korrekta, du kan utsättas för en s.k. man-in-the-middle attack där du genom DNS luras och hamnar på en annan sida än den du tror. Säg att du surfar till outlook.com och DNS servrarna du har fått tilldelade hanteras av någon illasinnad som skickar dig till en fejkad outlook.com sida för att lura dig på dina loginuppgifter, i detta scenario kommer det stå outlook.com i webbläsarens adressfält hela tiden eftersom du är utsatt för DNS bedrägeri.
Övervakning och automatiserad åtgärd
I MIRU har vi byggt in funktionsövervakning som kontinuerligt monitorerar att DNS Protection tjänsten körs, att aktivt nätverkskort som kommunicerar mot internet har korrekta DNS servrar för att säkerställa skydd och att tredje part mjukvara som kan störa funktion identifieras.
MIRU korrigerar felaktig konfiguration automtiskt kombinerat med att vi utför manuella åtgärder vid behov för att upprätthålla skydd.
Web content filter
Det ingår även funktion för att skapa unika regler för vilka kategorier man vill filtrera bort. Som standard stoppar vi bland annat kategorierna droger, vapen och pornografi eftersom dessa är uppenbara icke-arbetsrelaterade kategorier.
———————————————————————————————————————————–
Threat Protection
Flertalet olika tekniker och taktiker används för att skapa skyddet.
Threat Categories
Stoppar källorna till malware och phishing (nätfiske), samt nästa generations hot såsom botnets och Cryptomining [3].
Community Threat Feeds
Insamling av hotinformation från globala säkerhetscommunityn, samt rapporter från människor vilket resulterar i mycket tillförlitliga data.
Government Threat Feeds
Samarbeten med amerikanska och brittiska statliga organisationer för att förhindra farlig aktivitet såsom terrorism, barnutnyttjande och barnpornografi (alla kunder har Internet Watch Foundation filter aktiverat)
Machine Learning
Nyregistrerade domäner, nyligen sedda domäner och domäner med misstänkta egenskaper passerar genom en rigorös analys- och poängprocess för att uppnå heuristisk [4] blockering, vilket är en förmåga många andra säkerhetsföretag saknar. Detta tar bort de okända delarna av internet från att vara ett konstant hot.
Data Exchange Partnerships
Genom anonymiserad handel av säkerhets- och innehållsfiltrering av Big data med andra säkerhetsföretag implementeras betrodda dataflöden från världens ledande säkerhetsorganisationer.
A.I
Domänanalys drivs av A.I som möjliggör identifiering av skadliga domäner och oönskat innehåll i realtid genom unika maskininlärningsalgoritmer, vilket ger en oöverträffad skyddsnivå. Genom denna teknik har miljarder domäner kategoriserats och miljontals hot identifieras varje dag.
———————————————————————————————————————————–
Förklaringar och källor
[1] – I scenariot surf mot en hemsida som har prefixet https:// framför adressen (en ikon i form av ett hänglås framför är vanligt) innebär det att informationen som skickas mellan din webbläsare och webbservern du kommunicerar med är krypterad, vilket gör det svårt för tredje part att avlyssna och förvanska på vägen. Vad som händer ”före” webbläsaren och ”efter” webbservern har man ingen kontroll över.
[2] – Källa https://transparencyreport.google.com/https/overview
[3] – Cryptomining innebär brytning av kryptovaluta – alltså att låta datorsystem göra de matematiska operationer som krävs för att man ska bli ägare till bitcoin eller annan kryptovaluta. (https://it-ord.idg.se/ord/cryptomining).
[4] – En heuristik är inom datalogi en metod eller algoritm för att lösa ett beräkningskomplext problem snabbare när klassiska metoder är för långsamma, eller för att hitta en ungefärlig lösning när klassiska metoder misslyckas med att hitta en exakt lösning. Detta uppnås genom att göra avkall på optimalitet, komplett genomsökning, korrekthet eller precision. Vanliga tillämpningsområden är matematisk optimering, datautvinning och artificiell intelligens. (Källa wikipedia)
Internet goes dark – https://it-ord.idg.se/ord/internet-goes-dark