Nel complesso scacchiere della cyber security, la DNS security ricopre un ruolo fondamentale. Il protocollo DNS (Domain Name System), a livello di gestione delle connessioni di rete, rappresenta infatti uno dei “nodi” fondamentali che consentono di ricostruire lo schema di comunicazione tra i dispositivi e, ancora più in dettaglio, delle applicazioni e dei processi. Insomma: quando si parla di protezione delle infrastrutture aziendali, DNS è un elemento fondamentale che consente agli esperti di sicurezza di analizzare e “sezionare” le attività in corso a livello di network e individuare, di conseguenza, eventuali operazioni sospette.
L’importanza della DNS security a livello di intelligence
Nella nuova filosofia della “detection and response”, infatti, il ruolo degli strumenti di protezione va ben oltre l’analisi dei processi per identificare eventuali indizi legati ad attività malevole. Una delle criticità è quella di riuscire a individuare le tecniche di attacco di nuova generazione, le cui caratteristiche non sono ancora classificate dai software antivirus e dai sistemi firewall. L’approccio orientato alla DNS security consente di sfruttare una prospettiva diversa: piuttosto che analizzare ciò che viene fatto, concentra l’attenzione sull’origine e la destinazione delle comunicazioni. In altre parole, l’allarme non scatta sulla base del tipo di operazioni che vengono compiute, ma sui soggetti che sono coinvolti nelle stesse. L’esempio più banale riguarda l’individuazione di una trasmissione di dati diretta a un server esterno che è stato segnalato come “sospetto” dalla community dei ricercatori di sicurezza. Una soluzione che permette, nello scenario attuale, di ottenere un vantaggio significativo nei confronti degli attacchi più “evoluti” come quelli messi in atto dai gruppi APT (Advanced Persistent Threat).
Uno sguardo a 360 gradi
Il vantaggio di soluzioni come Infoblox, in grado di analizzare le comunicazioni su DNS, è quello di fornire agli esperti di sicurezza il contesto in cui si collocano eventuali attività anomale e la possibilità di capire immediatamente se le operazioni in questione possano rappresentare un indizio di attività malevola. Nell’ottica del contrasto alle minacce sconosciute, questo tipo di analisi offre un vantaggio strategico soprattutto nel nuovo quadro delineato dalle reti IT che comprendono risorse esterne (come quelle erogate attraverso piattaforme cloud) o dispositivi che non consentono di utilizzare sistemi di protezione endpoint tradizionali, come i device IoT. In questo scenario, infatti, il monitoraggio del trasferimento dati assume un ruolo primario a livello di controllo della cyber security. La capacità di mappare tempestivamente qualsiasi comunicazione diventa, di conseguenza, un fattore strategico nel contrasto degli attacchi informatici che prendono di mira questa tipologia di dispositivi. Non solo: l’analisi dei protocolli DNS consente di bloccare tipologie particolari di attacchi basati, per esempio, su tecniche omografiche che sfruttano la capacità di alterare a livello di visualizzazione l’indirizzo di collegamento per indurre le vittime a considerare affidabili i collegamenti malevoli.
Quanto conta il fattore tempo
L’implementazione di strumenti di DNS security non permette solo di coprire gli “angoli ciechi” della sicurezza informatica, ma ha anche un rilevante impatto sul livello di protezione complessivo delle infrastrutture digitali. Le funzionalità di analisi e monitoraggio delle comunicazioni DNS, infatti, possono essere integrati per migliorare i tempi di reazione del team di security, garantendo di conseguenza una migliore efficacia di tutti gli strumenti di difesa. L’adozione di tecnologie di intelligenza artificiale e Machine Learning, inoltre, consentono di aggiornare con estrema efficacia il database relativo alle informazioni sulle minacce informatiche. In questo modo, l’analisi a livello DNS alimenta anche le soluzioni SOAR (Security Orchestration, Automation and Response) e permette di ridurre i tempi per indagare e porre rimedio alle minacce informatiche, ottimizzare le prestazioni dell’intero ecosistema di sicurezza e ridurre il costo totale della difesa dalle minacce aziendali.
