Soru: Bir tehdit aktörü kötü amaçlı yazılım saldırılarında DNS iletişimini nasıl kullanır?
Dave Mitchell, CTO, Hyas: Kendinizi tüm kötü amaçlı yazılımlardan koruyabileceğiniz fikri, özellikle kötü amaçlı yazılımların herhangi bir özel istismar, vektör, hedef veya metodolojiye atıfta bulunmayan şemsiye bir terim olduğu düşünüldüğünde gerçekçi değildir. Siber tehditlerin yelpazesi çok geniş ve çeşitli olduğundan, her saldırıyı püskürtecek sihirli bir değnek yoktur. Bu nedenle, ağ ortamınızın tehlikeye girmesi ve sizi bazı çok zor kararlar almaya zorlaması gerçekten sadece an meselesi.
Örneğin, tıp alanında, başarılı siber saldırılar sadece bir kuruluşun işleyiş kabiliyetini etkilemez; ayrıca önemli yasal ve itibarsal sonuçları da vardır. Bu koşullar nedeniyle, tıp sektörü kurbanları fidye yazılımı taleplerini diğer tüm sektörlerden daha yüksek bir oranda ödemek zorunda kalıyor. Sorunların göstergelerini tam gelişmiş saldırılara dönüşmeden önce tespit edebilselerdi, sağlık kuruluşları önlenen olay başına ortalama 10,1 milyon dolar tasarruf edebilirdi.
Çoğu güvenlik çözümü, kötü amaçlı yazılımların ve/veya sızma vektörlerinin belirli bir alt bölümünü ele alır, ancak hiçbiri tüm tehditleri kapıda durduramaz. Yapabilseler bile, bazen kapı tamamen atlanır. Log4J istismarında ve popüler Ctx Python paketinin yakın zamanda ele geçirilmesinde gördüğümüz gibi, GitHub gibi yerlerde barındırılan “güvenilir” kaynak kitaplıklarının güvenliği dış varlıklar tarafından ele geçirilebilir ve anında bir kırmızı alarmı tetiklemeden binlerce uç noktaya kötü amaçlı yazılım yüklerini teslim etmek için kullanılabilir. bayrak.
Tüm tehditler yalnızca siber uzayda gizlenmez. Örnek olarak sağlık sektörüne dönersek, tüm çevre güvenliğinizi aşabilen başka bir saldırı vektörü olan fiziksel erişimi vurgularız. Hastanelerin, muayenehanelerin, eczanelerin ve diğer tıbbi tesislerin çoğu, hastalar, ziyaretçiler veya diğer yetkisiz kullanıcıların erişebileceği yerlerde bulunan (veya yanlışlıkla bırakılan) ağ bağlantılı terminallere ve cihazlara güvenir. Bu gibi durumlarda, ağınızın dış saldırılara karşı ne kadar iyi korunduğu önemli değildir, çünkü kötü niyetli kişi kötü amaçlı yazılıma erişmek için yalnızca bir USB bellek takabilir veya oturum açmış bir cihaz kullanabilir ve ağın içini tehlikeye atabilir.
Bu, kazanılamaz bir durum gibi görünebilir, ancak neyse ki kötü amaçlı yazılımların ezici çoğunluğunu birbirine bağlayan bir özellik var: Etki Alanı Adı Sistemi (DNS) adı verilen ortak bir Aşil topuğu. Kötü amaçlı yazılımların %91’inden fazlası, saldırı yaşam döngüsünün bir noktasında DNS iletişimini kullanır ve bu da DNS’yi siber tehditlere karşı mücadelede paha biçilmez bir geçit noktası haline getirir.
Bir kötü amaçlı yazılım, ağınıza ilk kez girdiğinde, tespit edilmekten kaçınmaya çalışır. Bu zamanı, ağ ortamında daha fazla cihaza yayılmaya, kritik kaynakları bulmaya ve yedek depolamayı tehlikeye atmaya çalıştığı bir keşif aşaması olarak kullanır.
Ayrıca kötü amaçlı yazılımın talimatları almak ve ağ hakkında ortaya çıkardığı bilgileri raporlamak için bilgisayar korsanlarının komuta ve kontrol (C2) altyapısıyla iletişim kurması da bu süre zarfında gerekir. İnternetteki herhangi bir trafik gibi, dünyaya geri dönmek için bir alan adı sunucusuna istekte bulunması gerekir. Koruyucu bir DNS çözümü kullanarak, ağ yöneticileri DNS trafiğini kötü amaçlı etkinlik göstergelerine karşı izleyebilir ve ardından engelleyerek, karantinaya alarak veya başka bir şekilde kesintiye uğratarak önlem alabilir.
Ne yazık ki, her zaman yeni tehditler geliştirilmekte ve fiziksel olarak başlatılan bir saldırının her zaman mevcut riski ile şirketler, ağlarının kaçınılmaz başarılı ihlaline hazırlanmak zorundadır. Ancak, kötü amaçlı yazılım ağınıza bir kez girdiğinde, bir noktada DNS iletişiminin kullanılması neredeyse kesindir. Koruyucu bir DNS çözümü, bu anormal istekleri algılayabilir ve tamamen engelleyerek kötü amaçlı yazılımı etkisiz hale getirebilir ve sistemlerinizi temizleme ve bir dahaki sefere savunmanızı destekleme sürecine hızla başlamanıza olanak tanır.