DNS Service เป็นโครงสร้างพื้นฐานที่ทำให้ Business Apps, SaaS App, Users สามารถเชื่อมต่อกันได้ แต่ในปัจจุบัน องค์กรต่างๆ ล้วนพบว่าจำนวน DNS Traffic ได้เพิ่มสูงขึ้นอย่างผิดปกติและไม่ทราบแน่ชัดว่าด้วยสาเหตุใด
และจากข้อมูลสถิติต่างๆพบว่า มัลแวร์มีการใช้ DNS เป็ น Protocol เพื่อติดต่อและรับส่งข้อมูลคำสั่งการกับ C&C Server ของแฮ็คเกอร์โดยมัลแวร์กว่า 91% เลือกใช้ DNS เป็ น Protocol หลักในการติดต่อและรับส่ง ข้อมูลคำสั่งการกับ C&C Server
นอกจากนนั้นข้อมูลสถิติยังระบุอีกว่ามัลแวร์ได้เลือกใช้ DNS เป็นช่องทางหลักอันดับต้นๆจากช่องทางทั้งหมด ในการขโมยข้อมูลส่งให้C&C Server ของแฮ็คเกอร์
ซึ่งจากการที่หลายๆองค์กรได้ทำการตรวจสอบหาสาเหตุที่ DNS Traffic ได้เพิ่มสูงขึ้นอย่างผิดปกตินั้น พบว่าในองค์กรเหล่านั้นมี DNS Traffic ที่ไม่พึงประสงค์ หรือเรียกว่า Malicious Traffic เกิดขึ้นในองค์กรเป็นจำนวนมาก ซึ่งต้นเหตุเกิดจากกิจกรรมต่างๆ ของมัลแวร์ ที่ใช้ DNS เป็ น Protocol เพื่อติดต่อและรับส่งข้อมูลคำสั่งการกับ C&C Server รวมไปถึงขโมยข้อมูลผ่านทาง DNS
โดยรูปแบบของการโจมตีที่ตรวจพบ แบ่งออกเป็น 2 รูปแบบหลัก คือ 1. พบการใช้ DNS Server เป็นเครื่องมือของ Malware/APTs ในการเชื่อมต่อกับ C&C Server เนื่องจาก Malware/APTs ในปัจจุบันจะต้องติดต่อกับ C&C Server ผ่าน Domain Name เพื่อ Download Software/Scripts ต่างๆ มาติดตั้งบน Client เพื่อการทำงานตามที่กำหนดไว้
การป้องกันจึงสามารถทำได้ด้วยการหยุดการเชื่อมต่อไปยัง Domain ที่เป็นอันตรายทั้งหมด เพื่อให้ Malware ไม่สามารถทำงานได้ พร้อมทั้งอัพเดท Feed ที่เป็น List ของ Domain ที่เป็นอันตรายจาก Threat Intelligence หลายๆ แหล่งอย่างสม่ำเสมอ เพื่อความรวดเร็วและแม่นยำในการป้องกัน
การป้องกันผ่านเลเยอร์ DNS จะช่วยให้ Malware/APTs ที่ติดอยู่ในเครื่องภายในองค์กรไม่สามารถทำงานได้ เนื่องจากไม่สามารถติดต่อกับ C&C ได้ นอกจากนี้ยังสามารถทำงานร่วมกับ Security System อื่นๆภายในองค์กร เพื่อกักกันไม่ให้ Malware แพร่กระจายเพิ่มเติมภายในองค์กรได้ เช่น Endpoint Protection, Vulnerability Assessment, NAC, SIEM เป็นต้น
- การใช้ DNS เป็นช่องทางในการขโมย ข้อมูลสำคัญออกจากองค์กร (DNS-based Data Exfiltration) โดยสามารถตรวจสอบ DNS Query ก่อนทำการ Forward(Recursive) เนื่องจาก Query เหล่านั้นอาจมีการแอบแฝงข้อมูลสำคัญไว้ด้วย
นอกจากนี้ยังต้องหมั่นตรวจสอบโดยใช้ Machine Learning เพื่อวิเคราะห์รูปแบบของการ Query เช่น Query rate, Target domain, Encrypted/Encoded Text, Dictionary Words เป็ นต้น
อีกทั้งยังสามารถเพิ่ม domain น่าสงสัยที่ตรวจพบโดย Machine Learning เข้าฐานข้อมูล Blacklist ของระบบโดยอัตโนมัติ
Infoblox DNS Firewall ปกป้องผู้ใช้อินเทอร์เน็ตจากจุดเริ่มต้น
เพื่อปกป้องผู้ใช้จากการถูกหลอกให้เข้าถึงไซต์อันตรายต่างๆ และป้องกันระบบ DNS ที่สำคัญขององค์กร จากภัยคุกคามทั้งปวง Infoblox ผู้ให้บริการระบบ DDI(DNS, DHCP และ IPAM) และผู้เชี่ยวชาญด้านความปลอดภัยบน DNS ชั้นนำของโลก จึงได้นำเสนอ 2 โซลูชันสำคัญ คือ DNS Firewallและ Advanced DNSProtection
โดยแนวคิดของ Infoblox DNS Firewall นั้นเข้าใจง่ายแต่ได้ผลเป็นอย่างดี กล่าวคือ DNS Firewall จะทำการบล็อคการเข้าถึงโดเมนหรือไซต์อันตรายตั้งแต่ขั้นตอนขอ Solve Name มาที่ DNS Server ซึ่งภายใน DNS Firewall จะมีฐานข้อมูลแบล็คลิสต์เว็บไซต์ที่มีมัลแวร์แฝงตัวอยู่ เว็บไซต์ที่เป็ น Phishing และ C&C Server ของแฮ็คเกอร์ อัพเดททุก 2 ชั่วโมง
ผลลัพธ์ที่ได้ คือ Infoblox Firewall สามารถป้องกันผู้ใช้งานไม่ให้เข้าถึงไซต์อันตรายต่างๆตั้งแต่ก่อนเริ่มเชื่อมต่อกับไซต์เหล่านั้น รวมทั้งสามารถสกัดกั้นอุปกรณ์ที่ติดมัลแวร์ในการรับส่งข้อมูลกับ C&C Server ของแฮ็คเกอร์ได้ตั้งแต่เริ่มแรก ไม่เฉพาะการเชื่อมต่อกับเว็บไซต์ (HTTP) เพียงอย่างเดียวเท่านั้น แต่รวมไปถึงทุกแอปพลิเคชันที่ใช้ DNS ในการติดต่อสื่อสาร
นอกจากนี้ยังสามารถป้องกันการรั่วไหลของข้อมูล ออกสู่ภายนอกผ่านทาง DNS Query ได้อีกด้วย จึงมั่นใจได้ว่าผู้ใช้และอุปกรณ์ทุกเครื่องภายในองค์กรจะไม่มีโอกาสออกไปสัมผัสไซต์หรือโดเมนที่เป็นภัยคุกคามภายนอกอย่างแน่นอน
Data Exfiltration –การจารกรรมข้อมูลผ่านทางมัลแวร์ที่ติดตั้งอยู่บนเครื่องของเหยื่อ โดยมัลแวร์จะทำการสร้าง DNS Query ซึ่ง Encode ข้อมูลสำคัญ เช่น ชื่อนามสกุล, เลขบัตรประชาชน, เลขบัตรเครดิต, CCV number และอื่นๆ ไปใน DNS record แล้วทำการส่งไปยัง DNS Server ภายในองค์กร
เนื่องจากการร้องขอ DNS นั้นเป็ น DNS ที่อยู่บนระบบอินเทอร์เน็ต DNS Server จึงทำการส่งการร้องขอ DNS Query ไปยังเจ้าของโดเมนนั้นต่อ (Authoritative DNS server) ซึ่งก็คือ DNS Server หรือ C&C Server ของแฮ็คเกอร์นั่นเอง เมื่อแฮ็คเกอร์นำชิ้นส่วนข้อมูลของหลายๆ DNS Query ที่ได้มาประกอบกัน ก็จะได้ข้อมูลสมบูรณ์พร้อมนำไปใช้ประโยชน์ต่อ เช่น เรียกค่าไถ่ หรือขายให้บริษัทคู่แข่ง เป็นต้น
Infoblox DNS Firewall มีจุดเด่น 3 ประการ คือ
- Proactive – ป้องกันภัยคุกคามเชิงรุก โดยสามารถหยุดยั้งผู้ใช้และอุปกรณ์ต่างๆที่ติดมัลแวร์จากการเข้าถึงหรือติดต่อไซต์อันตรายตั้งแต่ก่อนทำการเชื่อมต่อกับไซต์เหล่านั้น และสามารถระบุอุปกรณ์ที่ติดมัลแวร์หรือมีพฤติกรรมที่ผิดปกติเพื่อทำการวิเคราะห์และหยุดยั้งได้ทันที
2. Timely – ให้ข้อมูลภัยคุกคามที่ละเอียด ครอบคลุม และเป็นข้อมูลล่าสุด ณ เวลานั้นๆ ซึ่งช่วยให้ผู้ดูแลระบบสามารถตรวจสอบและวิเคราะห์ภัยคุกคามได้อย่างรวดเร็วและแม่นยำ
- Tunable– สามารถปรับแต่งนโยบายรักษาความปลอดภัยให้เหมาะสมกับสภาพแวดล้อมต่างๆตามความต้องการได้ เพื่อให้มั่นใจได้ว่า ภัยคุกคามและมัลแวร์ทั้งหลายจะไม่สามารถรุกล้ำเข้ามาในระบบเครือข่ายได้
ทั้งนี้ โซลูชั่นของ Infoblox รองรับทั้งการตใช้งานแบบ On-prem Solution และ Cloud Service ซึ่งพร้อมให้บริการในประเทศไทยแล้วอย่างเป็นทางการ ผู้ที่สนใจสามารถสอบถามรายละเอียดเพิ่มเติม รวมทั้งขอทดลองใช้ DNS Cloud Service ที่มีชื่อว่า “ActiveTrust Cloud” ได้ฟรี
