DNS security

Le DNS Infoblox au service de la Sécurité Opérationnelle

6 min. lecture
Placeholder for Modern metro stationModern metro station
Infoblox

Share

L’ensemble des machines connectées, quel que soit leur système d’exploitation, postes managés ou non managés, au bureau ou en télétravail, IoT, serveurs physiques ou virtualisés, on-prem ou dans le Cloud, serveurs Proxy, s’appuient sur la résolution DNS pour établir leur connectivité.

Quick Win dans sa mise en œuvre, la sécurité au travers du DNS est une véritable opportunité pour renforcer significativement la posture de sécurité des entreprises. Plusieurs cas d’usage sont mentionnés dans cet article, et l’un d’entre eux y est développé: l’apport aux équipes de sécurité opérationnelle d’une visibilité globale au travers du DNS Infoblox des incidents de sécurité, simplifiant leur priorisation, accélérant leur remédiation, pour l’ensemble des machines connectées.

Une opportunité largement exploitée par les cyber attaquants

Le DNS est une aubaine pour les cyber attaquants qui savent pertinemment qu’il est un vecteur d’attaque idéal pour "rester sous le radar", car souvent mal monitoré par les entreprises: l'ensemble des requêtes et réponses DNS n'est pas systématiquement inspecté en profondeur et en temps réel.

Par ailleurs, la transformation digitale mise en œuvre par les entreprises ne permet plus au périmètre de sécurité de leurs datacenters de surveiller l'ensemble les flux. La généralisation du télétravail, des points d'évasion locale Internet sur les sites distants, et le Move-to-Cloud augmentent cette surface d’attaque.

Côté logiciel, de la même façon que les applications légitimes s'appuient le DNS, l'immense majorité des malwares utilisent la résolution DNS à un moment ou un autre de la chaîne d'attaque.

Une opportunité pour les défenseurs: les nombreux cas d’usage d’une sécurisation au travers du DNS

Pour les entreprises, ce dénominateur commun qu’est le DNS est une opportunité en termes de visibilité globale, d’accélération de détection et de réponse aux menaces, comme le souligne Gartner dans son analyse « Comment les organisations peuvent utiliser le DNS afin d’améliorer leur posture de sécurité ?»

Les cas d’usage d’une sécurité fondamentale au travers du DNS sont nombreux, par exemple:

  • La Visibilité des communications malveillantes sur l'ensemble des machines connectées, associée à une simplification de la priorisation des alertes et une accélération de la remédiation par les équipes de sécurité opérationnelle : ce cas d'usage fait l'objet de cet article, et est développé ci-dessous.

  • La protection des télétravailleurs, des tablettes et smartphones en itinérance.

  • Une solution et interface unique pour sécuriser l'ensemble des machines connectées, qu'elles soient en itinérance, on prem ou dans le Cloud.

  • L’amélioration du cyber rating permettant de réduire les coûts de cyber assurance.

  • La lutte contre le Shadow IT, le filtrage d’applications non autorisées dans l’entreprise.

  • La protection contre l’exfiltration de données (DLP) et l’injection de malwares via le protocole DNS.

  • Le blocage des communications commande et contrôle (serveur C2 / C&C) pilotant les botnets: plus de 80% des malwares utilisent la résolution DNS pour établir ce canal de communication.

  • La mise en place de politiques de sécurité spécifiques aux objets connectés (IoT)

  • Un gain important en scalabilité permettant de réduire la surface d'attaque: cette première ligne de défense au travers du DNS est extrêmement performante. Elle permet de sécuriser des dizaines de millions d'indicateurs IoC en temps réel sans impact sur les performances applicatives. Bloquer le trafic malveillant en amont, dès la requête DNS, permet par ailleurs de réduire drastiquement la charge de travail sur les autres équipements de l'écosystème sécurité (firewalls, proxy, IDS, etc) car toute connectivité démarre par une requête DNS.

Visibilité des menaces sur l’ensemble des machines connectées, priorisation des alertes et accélération de la remédiation

Parmi ces cas d'usage, le DNS est une passerelle qui offre aux équipes SOC et CSIRT une visibilité de bout en bout, permettant de prioriser les incidents de sécurité et d’accélérer la remédiation des incidents critiques.

  • Le DNS apporte une visibilité interne sur les machines infectées et une visibilité externe sur les menaces associées.

  • Cette visibilité inclut toutes les activités de l'ensemble des machines connectées, ce qui permet aux entreprises de comprendre l'étendue de l'impact d'une cyberattaque.

Concernant la visibilité interne, le DNS par lequel transite ces communications malveillantes permet d’identifier l’adresse IP à l'origine de cette requête illégitime. Et lorsque ces données DNS sont corrélées automatiquement au sein d’une solution DDI intégrée (DNS, DHCP, IPAM), cette visibilité interne va beaucoup plus loin que cette adresse IP, car elle permet d’apporter automatiquement tout le contexte nécessaire pour identifier la machine infectée et l’utilisateur connecté. La fourniture automatique au SOC de l’ensemble de ces données contextuelles DDI permet d’identifier précisément les machines concernées par les menaces, et facilite la priorisation des alertes. Cette identification des machines infectées permet également aux équipes CSIRT d’entamer plus rapidement la phase de remédiation.

Le DNS par lequel transite ces communications malveillantes offre également une visibilité sur tous les domaines externes requis, et les adresses IP publiques reçues en réponses. Le DNS offre donc une visibilité sur les infrastructures externes illégitimes avec lesquelles les machines infectées communiquent. Mais une telle visibilité est peu exploitable si elle reste brute et sans contexte. Les équipes de sécurité opérationnelle ne peuvent se contenter de listes d’indicateurs IoCs.

Pour identifier, trier et prioriser les incidents les plus critiques et accélérer leur remédiation, ces équipes doivent pouvoir s’appuyer de façon automatique et simple sur des données de Threat Intelligence contextuelle, fournissant des renseignements fiables (validés pour éviter les faux positifs) et d'actualité sur la dangerosité des indicateurs de menaces observés.

La solution Infoblox

La solution de sécurité DNS proposée par Infoblox, BloxOne® Threat Defense, est une plateforme de sécurité opérationnelle offrant visibilité globale, et protection au travers du DNS de toute machine connectée.

BloxOne® Threat Defense se distingue car elle couvre, entre autres, l'ensemble des cas d’usage précités au travers d’une solution et interface unique:

  • Sécurité embarquée dans les serveurs DNS de l’entreprise (on-prem, Cloud privé, ou Cloud public) pour sécuriser l’ensemble des machines connectées du périmètre interne et DMZ.

  • SaaS et résolution DNS dans le cloud pour sécuriser les télétravailleurs, mobiles et sites distants non raccordés au datacenter.

  • Intégration native et automatisée avec les données DDI Infoblox, et intégration API ouverte avec l’écosystème sécurité. Ceci permet de partager automatiquement la visibilité contextuelle de bout en bout décrite dans cet article avec, par exemple, les outils du SOC (SIEM, SOAR).

La détection repose sur différents mécanismes: par réputation au moyen de listes d’indicateurs IoC, par signature et au travers d’algorithmes avancés d’analytics et machine learning permettant de détecter les attaques zero day.

BloxOne Threat Defense intègre la fourniture de listes d’indicateurs de compromission (IoC) découverts, analysés et validés par l’équipe Threat Intelligence Group d’Infoblox, assurant ainsi une Threat Intelligence de qualité, d’actualité et avec un souci permanent d’éviter les faux positifs. En effet, l’utilisation de listes d’indicateurs IoC non qualifiés démontre rapidement ses limites, le nombre de faux positifs qui en découle devenant ingérable.

BloxOne Threat Defense permet également au travers d’API de fournir automatiquement au SOC les données contextuelles relatives aux menaces, sous forme de scoring indiquant la dangerosité des menaces, le risque de succès d’une attaque, l'identification éventuelle d’un groupe avancé associé à un indicateur de compromission, tous ces éléments permettent de simplifier le triage des événements.

Au travers du module TIDE (Threat Intelligence Data Exchange) et de son API, les clients de la solution BloxOne Threat Defense peuvent agréger les listes d’indicateurs IoC provenant de différentes sources (Infoblox, partenaires, tierce partie). Cette mutualisation est très utile pour la mise en œuvre d’une politique de défense en profondeur : nos tests ont démontré que l’étendue et la rapidité de détection sont favorisées par la mutualisation de sources d’IOC de qualité.

Du fait de sa scalabilité et capacité de sécuriser des dizaines de millions d’indicateurs et sa capacité à protéger l’ensemble des machines connectées, le DNS est sans aucun doute une plateforme idéale pour intégrer l’ensemble de ces listes agrégées par TIDE et améliorer ainsi la posture de sécurité de l’entreprise et le retour sur investissement des listes déjà souscrites.

Inscrivez-vous à notre newsletter

Recevez dans votre boîte aux lettres électronique les dernières nouvelles sur la sécurité, des informations et les tendances du marché.

À la une

Plus de nouveautés