À medida que o cenário de ameaças se torna mais sofisticado, os CISOs (Chief Information Security Officers) estão continuamente à procura de formas inovadoras de proteger as suas organizações. No entanto, uma das ferramentas mais potentes do seu arsenal continua a ser subutilizada – o DNS (sistemas de nomes de domínio).
Mas, primeiro, vamos falar sobre o importante papel que o DNS desempenha em todas as redes. Os domínios são a primeira coisa que os utilizadores, dispositivos e cargas de trabalho consultam para comunicar com recursos na Internet. O DNS é a lista telefónica da Internet, resolvendo domínios como www.*anydomainname*.com para endereços IP que os computadores e servidores podem compreender.
Embora muitas vezes relegado para um papel meramente funcional, o DNS oferece oportunidades inigualáveis de defesa preventiva contra ciberataques. Quando utilizado correctamente, o DNS é a primeira linha de defesa. Pode impedir os ataques antes de serem bem sucedidos, interromper as comunicações de comando e controlo (C2) e a exfiltração de dados e fornecer informações valiosas aos centros de operações de segurança (SOC) durante a resposta a incidentes. De facto, o DNS também pode estender-se para proteger todas as partes da sua rede, desde terminais a cargas de trabalho na nuvem e IoT/OT.
De facto, em 2020, a NSA iniciou um projecto-piloto sobre DNS de proteção (na altura, utilizaram o termo “DNS seguro”) e concluiu que conseguiram reduzir a capacidade de 92% dos ataques de malware para implantar com êxito malware numa determinada rede.
Evolução das ciberameaças com IA
Actualmente, a maior parte das soluções de segurança estão certas do “Boom” – reagindo apenas após a ocorrência de um ataque. Quando ocorre uma infeção inicial (paciente zero), as equipas de segurança analisam o malware, o domínio ou a exploração e geram uma assinatura ou um indicador de comprometimento (IOC) com base no ataque. Esta assinatura ou IOC é distribuída a ferramentas de deteção de terminais, soluções antivírus ou sistemas de deteção de intrusões, e aparece no VirusTotal e nas ferramentas OSINT (open source intelligence). O resto da indústria pode agora bloquear este ataque, devido a esta primeira vítima ou infeção.
O aumento da IA nas mãos dos cibercriminosos reformulou drasticamente o cenário de ameaças. Os actores das ameaças utilizam agora a IA para:
- Gerar malware polimórfico: O malware orientado por IA evolui continuamente o seu código para evitar a deteção baseada em assinaturas, tornando as ferramentas de segurança tradicionais ineficazes contra ameaças que se transformam rapidamente.
- Automatizar campanhas de phishing: A IA cria e-mails de phishing altamente personalizados e gera sites falsos que imitam os legítimos com uma precisão alarmante, aumentando a taxa de sucesso dos ataques.
- Escalar infra-estruturas maliciosas: As ferramentas com tecnologia de IA permitem que os cibercriminosos criem rapidamente novos domínios, endereços IP e serviços de alojamento, tornando os esforços de deteção e remoção muito mais difíceis.
- Os algoritmos de geração de domínios registados (RDGAs) são um mecanismo programático que permite aos agentes de ameaças criar muitos nomes de domínio de uma só vez ou ao longo do tempo e registá-los para utilização na sua infraestrutura.
Como resultado, cada ameaça e variante de malware pode ser única e altamente direcionada, obrigando as equipas de segurança a combater centenas de milhares – ou mesmo milhões – de pacientes zeros. As soluções existentes simplesmente não conseguem acompanhar – seria como jogar um jogo de cibersegurança de whack-a-mole. Esta mudança exige uma abordagem diferente à cibersegurança.
O DNS como arma preventiva de cibersegurança
O DNS é o primeiro ponto de deteção e prevenção de todas as ciberameaças porque começa quase sempre com uma consulta de DNS a um domínio malicioso. O DNS de proteção, com a sua capacidade de monitorizar, analisar e bloquear preventivamente essa primeira consulta, oferece uma poderosa abordagem à esquerda do “Boom” para impedir as ciberameaças.
Vamos analisar uma cadeia de destruição típica de ransomware e como o DNS de proteção pode ajudar:
- Phishing – Um ataque inicial pode começar com e-mails de phishing e anúncios maliciosos. O DNS de proteção pode bloquear o acesso a estes domínios maliciosos que estão associados a phishing, downloads drive-by e kits de exploração. Ao bloquear proativamente o acesso a esses domínios, as organizações podem reduzir a possibilidade de comprometimento inicial, garantindo que nenhum ponto de extremidade se torne paciente zero
- Comunicações C2 – Embora o compromisso inicial possa ter sido travado através do bloqueio do acesso a domínios maliciosos (como descrito acima), pode haver malware que já esteja na rede. Para receber chaves de encriptação, payloads adicionais e instruções de ataque, o malware chega a um servidor externo conhecido como comando e controlo (C2). O DNS de proteção interrompe as comunicações C2 bloqueando o acesso a domínios utilizados para comando e controlo.
- Exfiltração de dados – Finalmente, durante a última fase da cadeia de destruição, os agentes de ameaças utilizam frequentemente o tunelamento do DNS para exfiltrar dados sensíveis. Ao codificar dados em consultas de DNS, os atacantes contornam as medidas de segurança tradicionais. As ferramentas de proteção do DNS podem analisar padrões de consulta e detetar anomalias, impedir as tentativas de exfiltração de dados.
Com os avanços na aprendizagem automática e na inteligência artificial (IA), a tecnologia de proteção do DNS continua a evoluir. Os CISOs e os líderes de segurança devem procurar soluções que combinem o DNS de proteção com inteligência contra ameaças centrada no DNS e IA para descobrir sistemas de distribuição de tráfego (TDS) utilizados por agentes de ameaças, perturbando a sua infraestrutura à escala em vez de derrubar um domínio de cada vez.
As soluções inovadoras também podem identificar ameaças de dia zero ao DNS – em que os domínios recém-registados são activados poucos minutos após o registo – e algoritmos de geração de domínios (DGA e DGA registado), em que o malware percorre vários domínios pseudo-aleatórios.
Próxima etapa: Avaliação do DNS de proteção
Estamos numa era em que as ciberameaças alimentadas por IA e a guerra assimétrica proporcionam aos agentes de ameaças uma velocidade, escala e adaptabilidade sem precedentes. O DNS, muitas vezes tratado como uma função de rede mundana, é de facto uma arma extremamente poderosa que pode defender proactivamente contra phishing, malware e exfiltração de dados. Para os CISOs, o valor é claro: é hora de elevar o DNS de uma função secundária para uma arma preventiva de linha de frente contra ataques cibernéticos. Realize avaliações para determinar as melhores soluções e a melhor plataforma para implantar.
