Siber saldırganlar tarafından hangi DNS kötüye kullanım teknikleri kullanılıyor ve hangi kuruluşlar olaylara müdahale ekiplerinin ve güvenlik ekiplerinin bunları tespit etmesine, hafifletmesine ve önlemesine yardımcı olabilir? FIRST tarafından yayınlanan DNS Kötüye Kullanım Teknikleri Matrisi yanıtlar sağlar.
Etki Alanı Adı Sistemi (DNS), İnternet’in kritik bir parçasıdır ve genellikle kötü niyetli tehdit aktörleri tarafından birçok farklı şekilde kötüye kullanılır.
FIRST, hükümet, ticaret ve eğitim kuruluşlarından bilgisayar güvenliği olay müdahale ekiplerinin (CSIRT’ler) oluşturduğu bir dernektir ve şu anda dünya çapında 600’den fazla üyesi vardır. Birçok özel ilgi grubu (SIG’ler) arasında, DNS Kötüye Kullanım Teknikleri Matrisini derleyen DNS Kötüye Kullanım SIG vardır.
DNS Suistimali SIG, “CERT’ler sürekli olarak bildirilen DNS kötüye kullanımıyla karşı karşıya kalıyor ve seçim bölgelerini korumak için büyük ölçüde DNS analizine ve altyapısına güveniyor” diyor.
“Küresel olay müdahale topluluğu perspektifinden DNS suistimalini tespit etmek ve hafifletmek için geçerli olan uluslararası geleneksel normları anlamak, açık İnternet’in kararlılığı, güvenliği ve dayanıklılığı için kritik öneme sahiptir.”
Birçok biçimde DNS kötüye kullanımını anlama
Belge, 21 DNS kötüye kullanma tekniğini tanımlar: DNS sahtekarlığı, yerel özyinelemeli çözümleyici ele geçirme, DoS için bir vektör olarak DNS veya komuta ve kontrol (C2) iletişimi için bir kanal, ikinci seviye etki alanlarının kötü niyetli kaydı ve diğerleri.
Paydaşlar, kayıt memurları, kayıt büroları ve çeşitli sağlayıcılardan (barındırma, uygulama hizmeti, tehdit istihbaratı) CSIRT’lere ve ISAC’lara (bilgi paylaşım ve analiz merkezleri) ve kolluk kuvvetleri ve kamu güvenliği yetkililerine kadar uzanır.
“Tavsiye şu anda belirli bir paydaşın belirli bir tekniğe doğrudan yardım edip edemeyeceğini gösteren bir matris biçimini alıyor. ‘Yardım’ derken, paydaşın kötüye kullanım tekniğini tespit edecek, hafifletecek veya önleyecek konumda olup olmadığını kastediyoruz,” diye açıkladı SIG.
“Bu bilgileri, bu olaylara müdahale eylemlerini kapsayan üç e-tablo altında düzenledik. Örneğin, DNS önbellek zehirlenmesini içeren bir olay sırasında ekip, olayı hafifletmek için hangi paydaşlarla iletişim kurabileceklerini bulmak için azaltma sekmesine gidip DNS önbellek zehirlenmesi satırına bakabilir.”
Matris, saldırganların DNS kötüye kullanma teknikleriyle birlikte kullanabilecekleri teknikleri içermediği gibi, şu anda olay müdahale ekiplerinin DNS kötüye kullanımı ile uğraşırken keşfedebilecekleri politikayla ilgili, resmi ve adli yolların tümünü kapsamamaktadır.