Как Облако Cato защищает от туннелирования DNS

Система доменных имён (DNS) туннелирование — это обычный метод, с помощью которого хакеры используют сервис DNS в злонамеренных целях, таких как эксфильтрация конфиденциальных данных организации или проникновение вредоносного ПО. В этой статье объясняется, как двигатель Система предотвращения вторжений в Облаке Cato защищает вашу сеть от атак вредоносного ПО через туннелирование DNS.

Когда вы настраиваете Политику IPS для блокировки трафика, это также включает защиту Облака Cato от атак DNS Туннелирования для вашего Аккаунта.

Обнаружение туннелирования DNS

Облако Cato анализирует запросы DNS и выявляет потенциальные атаки туннелирования DNS на основе следующих характеристик:

  1. Размер пакета – Длина запросов может указывать на аномальную связь через DNS. Большие пакеты DNS являются аномальными и могут указывать на потенциальную атаку.

  2. Тип записи – Ресурсные записи (RR), которые сопоставляют домены с IP-адресами (такие как записи A и AAAA), являются наиболее распространенными в протоколе DNS, но ограничены короткой длиной ответа. При обмене данными через DNS использование RR может варьироваться, чтобы позволить передать больше данных, и это может указывать на атаку.

  3. Уникальное соотношение – DNS-запросы и ответы, содержащие закодированную информацию, скорее всего, уникальны. Когда в запросе присутствует высокий уровень уникальных поддоменов, это может указывать на атаку.

Блокировка туннелирования DNS

Чтобы защитить клиентов от туннелирования DNS, связанного с вредоносными хакерами, Cato использует алгоритмы машинного обучения для обнаружения аномалий во всех исходящих запросах DNS. Трафик DNS между каждым сайтом, подключенным к Облаку Cato, и каждым уникальным доменом анализируется офлайн в течение 24 часов. Домены с низкой репутацией, которые получают частые аномальные запросы DNS, автоматически идентифицируются на следующий день. Затем Политика IPS для всех аккаунтов может блокировать соответствующий трафик DNS для этих доменов.

Более того, Cato предотвращает эксфильтрацию данных через туннелирование DNS с помощью набора эвристик, которые запускают IPS для блокировки трафика. Эти эвристики тестировались на множестве инструментов и методов туннелирования DNS. Эта защита в реальном времени достигается даже без знания исполнителя атаки или доменного имени и дополняет алгоритмы машинного обучения Cato.

Обзор событий для заблокированных атак туннелирования DNS

Вы можете просмотреть события Безопасности в Домашняя > События и найти любые атаки туннелирования DNS в вашем Аккаунте, которые были блокированы IPS. События IPS маркированы типом угрозы Туннелирование DNS.

DNS_Tunneling_Event.png

Cato Заблокировал атаку туннелирования DNS - Что теперь?

Если вы найдете события блокировки для туннелирования DNS, вот некоторые предлагаемые следующие шаги:

  1. Изолируйте зараженные хосты от сети (в брандмауэрах WAN и Интернет).

  2. Используйте программное обеспечение Антивирус и защиты конечных точек для очистки хостов.

Была ли эта статья полезной?

Пользователи, считающие этот материал полезным: 3 из 3

0 комментариев