מה זה DNS? ולמה זה חשוב?

DNS (Domain Name System), או מערכת שמות המתחם, מכונה גם ‘ספר הטלפונים של האינטרנט’, משום שהיא ‘מתרגמת’ את שם האתר (שם איש הקשר באותיות ומילים), למספר הייחודי רק לו (כתובות ה-IP של שרת האתר או המכשיר המחובר לרשת).

ברוב המקרים, כאשר המשתמש מנסה להיכנס לאתר כלשהו, הוא למעשה שולח שאלה הבודקת ‘מה כתובת ה-IP של www.dns-cyber.com‘, ספק האינטרנט של משתמש מתחבר דרך השרתים שלו לשרת המחזיק בעותק של ‘ספר הטלפונים’ ומתאים בין הכתובת האלפאבתית לכתובת ה-IP המספרית. התהליך כולו מתרחש במהירות והמשתמשים לא שמים לב לכך בכלל – אלא אם מתרחשת תקלה כלשהי בדרך.

מהן הסיבות להגנת DNS?

למרבה הצער, אם רוב פעילות ה-DNS מתבצעת ללא הגנה ראויה ודרך פורטים לא חסומים, מבלי לבחון את הפרוטוקולים של האבטחה לפני כן – מערכת המידע שלך חשופה לתקיפות סייבר תוך שימוש ‘בחוליה החלשה’ שנעדרת הגנה. יתרה מכך, כאשר פעילות DNS ברשת אינה מנוטרת, עלולה שכבת ה-DNS להוות ‘blind sport’ מושלם עבור תקיפות סייבר.

רבות מהמתקפות המתוחכמות כיום נסמכות על פעילות DNS לקויה מבחינת אבטחה. וירוסים, נוזקות (malware), מתקפות כופר, פישינג והונאות אחרות – כולם משתמשים בתשתית האינטרנט עבור המתקפה שלהם.

באמצעות הפנייה של DNS (DNS Tunneling), התוקפים יכולים ליצור עומס של בקשות ופניות ל-DNS וכך לשבש את פעילות האתרים ולהפנות את המשתמשים לכתובת IP שונה, באופן שנוצרת הפניה (נסתרת מעיני הגולש) לאתר מתחזה המעוצב כמו האתר המקורי, אך משמש לאיסוף מידע רגיש מהמשתמש.

פריצה לשרתי DNS של הארגון היא תופעה נפוצה ומסוכנת, אך אינה מוכרת ולכן אינה נחשבת סיכון גבוה מצד הארגון. בנוסף, תוקפי ה-DNS משתמשים בשיטות ערמומיות אשר מקשות על אנשי ה-IT של הארגון המותקף לקשר בין ההתרעות שהם מקבלים לאירוע הסייבר המתרחש.

 

DNS

אילו חלקים בפעילות החברה ניתנים להגנה בשכבת ה-DNS?

הגנת DNS נחשבת לסוג הגנה בסיסי ויעיל – אחרי הכל, DNS הוא הצעד הראשון בחיבור לאינטרנט, כך שאם חיבור מסוכן נחסם בשכבת ה-DNS, המתקפה עוצרת שם ולא מצליחה לחדור אל מערכות הארגון.

משום שכל פעילות האינטרנט מתאפשרת (ותלויה) על ידי DNS, גם משימה פשוטה כמו ניטור בקשות DNS – ולאחר מכן ניטור של חיבורי ה-IP הנובעים מהן- דורשת אבטחת מידע והגנת סייבר מקיפה. הגנת DNS מבטיחה ומוודאת שהפרוטוקולים של האבטחה מופעלים כדי לסמן פעילות DNS חריגה, תכונה שמובילה לשיפור בדיוק ובזיהוי של פעילות זדונית ופגיעה במערכות, מאפשרת שיפור בשקיפות ושדרוג ההגנה על הרשת.

ניתן גם לשתף פעולה עם ספקית DNS המאפשרת למחשבים ברשת של הארגון להשתמש בשרתי DNS רקורסיביים מוגנים, כאשר הספקית תגדיר את השרתים לזיהוי פעילות DNS מסוכנת ויישום של פרוטוקולי אבטחה החוסמים חיבורי DNS מזיקים.

איך יודעים שקיימת אבטחה?

רוב הארגונים, גם הגדולים, לא מחזיקים היום מומחים בעלי ידע מעמיק בכל מגוון אפשרויות הפריצה וכלי ההגנה הזמינים, ולכן הפתרון הנפוץ הוא רכישה של שירותי הגנת סייבר, המנוהלים על ידי חברות מתמחות.

בעקבות העובדה כי מתקפות DNS נעשות ‘מאחורי הקלעים’ ולעתים קשה לאנשי ה-IT של החברה לזהות אותן באמצעות ההתרעות והסיגנלים המגיעים אליהם, גם פתרונות הגנת ה-DNS נעשים בשלבים מוקדמים של המתקפה, ואף מונעים את השילוב הבעייתי שצפוי להוביל למתקפה. לכן, מהצד של הארגון, הידע על קיום האבטחה יכול להגיע לידיעת הארגון מהדוחות התקופתיים של ספקית הגנת ה-DNS על כמות הפעילות החריגה שזוהתה, החסימות שנעשו והאיומים שנמנעו.

מה אינפורמט מציעה?

אינפורמט, אחת מהחברות הוותיקות והידועות בישראל בתחום פתרונות המחשוב וה-IT, בחרה להציע ללקוחותיה את הפתרון של Cisco Umbrella (ה’מטריה’ של סיסקו) בכל הנוגע להגנה מבוססת-ענן על שכבת ה-DNS של פעילות הארגון.

הכלי של Cisco Umbrella (לשעבר OpenDNS) מציע שירותי DNS רקורסיביים המתגאים בפעילות רציפה עם uptime של 100% מאז 2006. יותר מ-30 מרכזי נתונים של סיסקו משתמשים בניתוב Anycast, כך שבקשות ה-DNS נשלחות באופן שקוף למרכז הנתונים הזמין המהיר ביותר עם כלי אוטומטי להתמודדות עם תקלות. מעבר לחיבור המהיר לרשת, Cisco Umbrella מציע את הדרך המהירה, היעילה ביותר לשיפור הגנת הסייבר של הארגון, באמצעות מספר יתרונות ייחודיים:

חסימת האיומים לפני שהם מגיעים לארגון באמצעות ניתוח ולמידה של תבניות פעילות באינטרנט וחשיפה אוטומטית של תשתית המתקפה ואיומים קרבים. כך, הפתרון חוסם באופן אקטיבי את ניסיונות החדירה של ‘גורמים’ זדוניים לפני החדירה למערכת, לפני יצירת החיבור או הורדת הקובץ הזדוני. ה-DNS המאובטח של ‘סיסקו אמברלה’ יכול גם לעצור העברת מידע ממערכות שנפגעו לאחר קריאה לאחור (callback) של command and control (C2) לתשתית ה-botnet של התוקף, בכל פורט או פרוטוקול.

יכולת למנף את הכוח של למידת מכונה – מערכת סיסקו אמברלה משתמשת בלמידת מכונה כדי לחפש, לזהות ולחזות שמות מתחם זדוניים, ובעקבות זאת לחסום אותם אוטומטית. סיסקו סורקת כמויות עצומות של מידע בזמן אמת בכל השווקים, האזורים בעולם והפרוטוקולים, כך שהיא יכולה לזהות מאיפה האיומים מגיעים, מה מוציא אותם, לאן הם שולחים, עד כמה הם נפוצים, הפעם הראשונה והאחרונה בה הם נצפו ועוד.

בנוסף להגנה על שכבת DNS, סיסקו אמברלה יכולה לכלול גם חומת אש, אבטחת גישה לענן, מודיעין על איומים אינטראקטיביים, אינטגרציה עם SD-WAN.

ה-API של הפתרון מציע אינטגרציה נוחה והטמעה מהירה ויעילה בפעילות הארגון, זאת לצד הייעוץ, הליווי והתמיכה של נציגי אינפורמט לאורך כל התהליך.

לקוחות ‘אינפורמט מערכות’ נהנים מתהליך נוח ויעיל של התאמה, התקנה והטמעה, בסיוע מומחי המחשוב של החברה. המומחים של אינפורמט מספקים שירותי ייעוץ וליווי לאורך כל התהליך- החל משלב מיפוי הצרכים והתאמת הפתרון היעיל ביותר, דרך ההתקנה וההטמעה ועד לתחזוקה שוטפת לאורך זמן, לצד תמיכה ופתרון תקלות.