Le contrôle NOD lié au DNS est un outil simple et efficace dans l'arsenal pour un accès plus sûr des utilisateurs aux applications. Les organisations devraient l'envisager pour améliorer leur sécurité globale, en plus de toutes les autres mesures de sécurité existantes.
Cycle de vie des noms de domaine
Les noms de domaine sont utilisés comme un moyen d'abstraire l'emplacement de l'application ou du service concerné et de cacher son adresse IP à l'utilisateur. Il est beaucoup plus facile de se souvenir d'un nom plutôt que d'une adresse IP vide de sens.
Pour créer un nouveau nom de domaine, il faut commencer par enregistrer le nouveau domaine auprès d'un bureau d'enregistrement spécialisé (Registrar). Cela correspond à réserver le nom afin que personne d'autre ne puisse l'utiliser. Pour le rendre opérationnel, il faut ensuite créer ce nom de domaine sur un serveur DNS actif faisant autorité. Cela revient à le mettre à la disposition des utilisateurs pour que les applications puissent l’utiliser (Navigateur Internet …). Toutefois, il est important de noter que rien ne se passe tant que quelqu'un ne l'a pas demandé pour la première fois.
De nouveaux noms de domaine sont créés tous les jours. Certains sont légitimes et utiles, tandis que d'autres sont malveillants et utilisés pour des activités cybercriminelles. Comme nous le disons dans la communauté mondiale du DNS, "bien sûr, tous les nouveaux domaines ne sont pas mauvais, mais beaucoup de mauvais domaines sont récents". Ainsi, si les nouveaux noms de domaine sont obligatoires et utiles pour tout fournisseur de services. Ils peuvent également être utilisés par des cybercriminels ou des attaques d'états-nations, qui utilisent le DNS pour exécuter leurs activités frauduleuses. Le service DNS est indispensable pour l'hébergement de nouveaux services d'attaque, de serveurs de Command & Control, de sites Web de phishing, la diffusion de logiciels malveillants, de spams, de botnets, etc.
Selon une enquête mondiale sur la sécurité DNS 2021 menée par IDC, 87 % des personnes interrogées ont déclaré avoir été visées par une attaque DNS au cours des 12 derniers mois ; la menace est donc bien réelle.
Quelle stratégie avec un domaine nouvellement observé ?
Par essence, les domaines nouvellement enregistrés et créés n’ont encore aucune réputation et ne peuvent donc pas encore figurer facilement dans une base de données de sécurité mondiale. Par conséquent, il n'est pas facile de les filtrer car il n'existe aucune base suffisamment à jour pour le faire. Légitime ou non, un nouveau domaine est simplement inconnu de tous avant d'avoir été évalué comme suspect ou non.
Une approche simpliste et conservatrice pourrait consister à restreindre tout contenu hébergé sur un nom de domaine inconnu. Le DNS est, de par sa conception, très bien placé à l'origine de toute communication IP pour effectuer cette simple vérification.
Mais cela soulève la question suivante : qu'est-ce qu'un domaine nouvellement observé (NOD) ? Comment un serveur DNS récursif donné, peut-il savoir qu'un nom de domaine est nouveau ?
Comme nous l'avons vu précédemment, l'information sur les noms de domaine nouvellement enregistrés se trouve à l’origine au niveau du bureau d'enregistrement. Elles peuvent être disponibles dans la base de données Whois, à condition de savoir quoi et comment les chercher. Nous accéderons aux informations administratives, même s'il n'a peut-être jamais été configuré sur un serveur faisant autorité. En outre, les informations Whois ne seront pas vraiment utiles pour déterminer si un nouveau nom de domaine est digne de confiance ou non.
Idéalement, un flux consolidant les informations de tous les bureaux d'enregistrement du monde entier serait nécessaire pour regrouper ces données et les rendre accessibles à tous. Néanmoins, cela ne serait pas suffisant car un domaine peut être enregistré, lié à un serveur DNS faisant autorité mais pas encore configuré sur celui-ci. Lorsqu'il est utilisé, donc demandé, nous pouvons commencer à être informés de son utilisation réelle, légitime ou malveillante, et c'est alors qu'il devient "observé".
Finalement, pour qu'une telle base de données reste gérable, nous devons rester au niveau "enregistrable", car tous les FQDN ne sont pas des noms de domaine.
Où la collecte doit-elle avoir lieu ?
Elle doit commencer au niveau de tout serveur DNS récursif. Les données recueillies sur plusieurs serveurs peuvent être filtrées et fusionnées. Comme on peut l'imaginer, il est presque impossible de savoir avec certitude qu'un domaine a été observé pour la toute première fois sur Internet. Il faudrait pour cela que tous les résolveurs se synchronisent, ce qui dépasse l'état actuel de la technologie. Mais en échantillonnant en utilisant un nombre suffisant de ces serveurs sur plusieurs régions, nous pouvons supposer que l'information est correcte et qu'un domaine a été observé pour la première fois : "nouvellement observé". Maintenant, au niveau d'une organisation, la collecte et la consolidation des requêtes sur tous les résolveurs est évolutive et peut être réalisée. Cela devrait suffire à protéger tous les clients contre les nouvelles menaces potentielles. L'examen de la source peut également aider à analyser le schéma de propagation des noms de domaine licites et illicites.
Combiner Newly Observed Domain NOD avec des listes d'autorisation/refus d'accès
Comment peut-on utiliser les informations sur les domaines nouvellement observés ?
Bien sûr, un nouveau domaine n'est pas automatiquement malveillant, mais par principe de précaution, attendre avant de l'utiliser est une option sûre. Laisser les NOD être catégorisés et rassemblés par un flux de sécurité peut sauver la mise.
Combien de temps faut-il attendre avant d'accorder l'accès à un Newly Observed Domain ?
Cela dépend en fait de la politique de sécurité et, bien sûr, des ressources en jeu à protéger. Pour certains, ce sera une question d'heures et pour d'autres, cela ira jusqu'à un mois.
Que faire si le domaine nouvellement observé est critique pour mon entreprise ?
Dans ce cas, la solution est d'utiliser une liste d'autorisations DNS (whitelist) et d'y inclure ces noms de domaine critiques. Au contraire, si le nouveau domaine peut être ignoré pendant un certain temps, la période de quarantaine nous permettra de savoir si le domaine a été intégré à un flux de sécurité par le biais d'un processus de renseignement sur les menaces et s'il ne faut donc jamais lui faire confiance, ou s'il est finalement sûr.
Les équipes de sécurité ont besoin d'informations actualisées sur les noms de domaine et sur ceux dont la réputation est compromise. C'est le rôle des flux de sécurité dans le cadre de la mise en œuvre d'un pare-feu DNS pour se protéger contre les menaces DNS. Parmi ceux-ci, il y a des Security Feeds spécifiques dédiés aux Newly Observed Domains (NOD), ceux dont personne ne peut encore être sûr.
C'est là que l'utilisation de listes d'autorisation/refus au niveau du DNS pour filtrer l'accès aux noms de domaine peut s'avérer pratique, en autorisant tous les noms de domaine légitimes déjà connus tout en refusant les catégories malveillantes et les NOD avant même qu'ils n'apparaissent dans les catégories licites ou illicites.
Multipliez les protections pour augmenter la sécurité
La sécurité maximale consiste sans doute à ajouter plusieurs couches de protection DNS, en complément de la protection contre les Newly Observed Domains. En premier lieu il faut améliorer la résilience du service DNS indispensable à toutes les applications internes comme sur Internet.
