Foto: Mopic - shutterstock.com
Läuft das DNS (Domain Name System) korrekt, fällt es keinem auf. Läuft es nicht, merkt es jeder. Ein Beispiel: Ende März 2022 waren verschiedene Dienste von Apple für mehr als zwei Stunden nicht erreichbar. Unter anderem waren der App Store, die Streaming-Dienste Apple Music und Apple TV+ sowie die Podcast-Plattform und der iTunes Store für Downloads verschiedener Inhalte betroffen. Gegenüber dem Nachrichtensender Bloomberg erklärte Apple die Störung mit internen DNS-Problemen.
DNS-Systeme sorgen dafür, dass Computer mit Web-Adressen verbunden werden. Fehler bei der DNS-Konfiguration sind daher oft Auslöser von Störungen. Bloomberg zufolge waren auch interne Systeme bei Apple gestört, so dass Beschäftigte des Konzerns zum Teil nicht arbeiten konnten. Für die Nutzer funktionierten zeitweise unter anderem Apples E-Mail-Service, der Kartendienst sowie der Chatdienst iMessage nicht.
Der Vorfall zeigt, dass DNS-Sicherheit mittlerweile eine Schlüsselkomponente jedes modernen Cybersicherheit-Arsenals sein sollte - um Malware-Aktivitäten zu vereiteln, Daten zu schützen und die Dienstkontinuität zu gewährleisten.
DNS-Security: First Line of Defense
Die Angriffsmethoden der Cyberkriminellen zielen immer häufiger auch auf den Missbrauch des DNS-Protokolls. Man könnte meinen, dass das bei all den IT-Sicherheitslösungen kein Problem sein sollte. Allerdings vernachlässigen viele dieser Technologien die "first line of defense" - das DNS.
Die meisten Technologien zur Erkennung von Eindringlingen untersuchen die offensichtlichen Muster der Datenexfiltration: über HTTP-Verbindungen und über File Transfer Protocol (FTP). Dies hat Kriminelle auf den neuen Weg über das DNS gebracht, um Daten aus einem Netzwerk zu ziehen. Allerdings ist dies nur ein Beispiel aus einer Vielzahl möglicher DNS-Angriffe.
Warum ist DNS für IT-Sicherheit relevant?
Ähnlich wie man in einem Telefonbuch die Telefonnummer heraussuchen würde, schaut man im Domain Name Service (DNS) nach, um zu den Netzwerkadressen eines Computers (IP Adressen) einen passenden, "verständlichen" Namen zu finden, der in der Regel für den Zugriff auf Netzwerkdienste verwendet wird. Um den Hostnamen, beispielsweise einer URL, die man eingegeben hat, zu erkennen, muss der Server eine DNS-Anfrage starten. Der DNS-Server informiert dann den DNS-Client über die IP-Adressen, die die angeforderte URL hosten.
Cyber-Kriminelle haben DNS längst als Schwachstelle für Attacken ausgemacht haben. Sie nutzen es, um in fremde Netzwerke einzudringen, Informationen zu stehlen, Daten zu verschlüsseln, - oder auch diese zu eliminieren. Das DNS muss folglich also geschützt werden. Doch besser als das DNS bloß gegen Angriffe zu sichern ist es, das System aktiv zur Verteidigung einzusetzen, denn auch das ist möglich. Dafür ist es wichtig, die aktuelle Bedrohungslage zu kennen.
DNS-Attacken nehmen zu
Der jüngste DNS Threat Report von IDC und EfficientIP (PDF) zeigt, wie schädlich und teuer DNS-Attacken sind, die bei Hackern immer beliebter werden. Im vergangenen Jahr waren 83 Prozent der untersuchten deutschen Unternehmen von DNS-Angriffen betroffen, wobei die durchschnittlichen Kosten pro Angriff bei 831.000 Euro lagen (noch über dem globalen Durchschnitt von gut 779.000 Euro). Hierbei bleibt es jedoch nicht bei einem Angriff. Unternehmen verzeichneten 2021 in allen Branchen durchschnittlich 7,6 Angriffe. Diese Zahlen veranschaulichen die entscheidende Rolle von DNS für die Netzwerksicherheit, sowohl als Bedrohungsvektor als auch als Sicherheitsziel.
DNS ist die erste Verteidigungslinie, da es die Absichten praktisch des gesamten IP-Verkehrs erkennt. Die Verwendung von DNS stellt Informationen für die Automatisierung von Sicherheitsrichtlinien bereit und hilft, eine SOAR-Plattform (Security Orchestration, Automation and Response) zu betreiben. Aber diese Ressource wird zu wenig genutzt. Automatisierung ist unglaublich nützlich für die Verwaltung von Netzwerksicherheitsrichtlinien, aber derzeit verwenden nur 57 Prozent der befragten Unternehmen überwiegend automatisierte Lösungen.
Foto: EfficientIP
Unternehmen können auch bei der Analyse des Netzwerkverkehrs intelligenter vorgehen. Zum Beisiel können sie Daten zu DNS-Verkehrsprotokollen an SIEM-Plattformen (Security Information and Event Management) übergeben. Knapp ein Drittel der befragten Unternehmen im 2022 DNS Threat Report haben ihren DNS-Traffic zur Analyse an ein SIEM gesendet. Dabei handelt es sich jedoch normalerweise um riesige Datenmengen, die zu Ineffizienz und Ermüdung durch Datenschutzverletzungen führen. Eine intelligentere Option wäre es daher, wenn DNS SIEMs und SOCs nur mit den relevanten und umsetzbaren Daten zu bestimmten Verhaltensweisen füttert. Das würde zu einer höheren Effizienz führen, weil SOCs nicht den gesamten Datenverkehr analysieren müssten.
Schließlich hilft DNS, Lücken in Sicherheitskonzepten zu schließen, die bei der Nutzung von Firewalls und IPS offen bleiben. Das gilt insbesondere in Verbindung mit anderen Sicherheitskomponenten wie Data Loss Prevention (DLP) und Network Access Control (NAC). Diese beiden Tools ergänzen sich elegant bei der Erkennung von kompromittierten Geräten. NAC führt die statischen Aufgaben für den Netzwerkzugriff aus, während DNS dynamische Funktionen mit Filterung für den Anwendungszugriff ausführt.
DNS sinnvoll zur Abwehr nutzen
Das DNS ist dank seiner einzigartigen Einblicke in die Netzwerkaktivität und seiner zentralen Rolle als verbindendes Element zwischen Nutzer, Webinhalten und Browser ideal als Verteidigungsplattform geeignet. Dies macht es zur ersten Verteidigungslinie für jedes Netzwerk und bietet zudem Funktionen zur Erkennung für Zero-Day-Angriffe sowie vorausschauende Sicherheitsfunktionen, da es verdächtige Verbindungen blockiert.
Zum Video: DNS-Security als wichtiger Teil jeder IT-Sicherheitsstrategie
DNS-Dienste müssen nicht nur das Werkzeug beziehungsweise Ziel der Angreifer sein, sondern sie sind auch geeignet, um die Sicherheit des Netzwerks zu erhöhen und die Aktivitäten des Netzwerks zu überwachen. Mit einem Investment in sichere DNS Dienste erweitern Unternehmen ihre Fähigkeiten, interne sowie externe Angriffe abzuwehren.
Hierzu muss das DNS zum Beispiel in der Lage sein Echtzeit-Analysen des DNS-Datenverkehrs zu liefern und einen leistungsstarken Cache besitzen, um einigen der erläuterten Attacken standzuhalten. Sicherheitsbeauftragte müssen sicherstellen, dass der Netzwerkschutz bereits mit einer starken erste Verteidigungslinie beginnt.
EfficientIP erweitert Partnerprogramm