Štítky: Azure, Jak se chránit

Azure pro bezpečí na Internetu (Whalebone – bezpečnostní filtrace překladu DNS)

Obvyklá počítačová síť poskytuje všem zařízením službu překladu DNS (Domain Name System). Ta se stará o překlad pro člověka zapamatovatelného doménového jména (např. whalebone.io) na IP adresu, kterou použije počítač pro síťovou komunikaci (např. 40.114.243.70). Doménová jména nepoužívají jen uživatelé, ale i malware a jeho provozovatelé. Z infikovaných domén šíří nové verze svého malwaru, další domény potom používají k ovládání již nakažených zařízení.

Překladač DNS při své práci vidí obrovské množství informací o tom, kam chtějí komunikovat zařízení z lokální sítě. Pokud by uměl rozlišit dobré a zlé domény, tak by mohl zabránit malwaru v jeho komunikaci a zastavit uživatele ještě předtím, než přistoupí na podvodnou phishingovou stránku. A to je přesně myšlenka, se kterou jsme se vrhli před dvěma lety do práce na službě Whalebone. Za velkou výhodu navíc považujeme, že DNS využívají prakticky všechny typy zařízení – od osobních počítačů přes smartphony až po webkamery a třeba i chytré ledničky.

Whalebone, v překladu velrybí kostice, se u velryby stará o filtrování planktonu z mořské vody. Stejný motiv je použit i v našem logu. V našem případě jde ovšem o filtrování malwaru z velkých toků DNS provozu. Nevidíme důvod, proč by překlad jednoznačně závadné domény neměl být zablokován, a věříme, že možnost používat zabezpečené připojení k Internetu by měl mít každý a nemělo by se jednat o speciální a nákladné privilegium. Proto poskytujeme službu jak poskytovatelům internetového připojení, tak společnostem, které připojují k Internetu jen své sítě a zaměstnance.

Detekce hrozeb

Pro rozpoznávaní závadných domén využíváme informace od odborníků na výzkum malwaru. Přebíráme je od specializovaných společností, ale i nezávislých expertů a data před použitím ještě ověřujeme a čistíme, abychom se vyhnuli chybným blokacím. Nechceme se ale spoléhat jen na externí zdroje informací o hrozbách a pracujeme na několika vlastních projektech.

Sbíráme podvodné e-maily, které mají za cíl infikovat počítač adresáta, a automaticky simulujeme, co by se stalo při jejich otevření. Soustředíme se na domény, které se snaží kód z podvodných e-mailů kontaktovat, a tyto informace obratem využíváme na překladačích, abychom uživatele ochránili před následky otevření infikované přílohy. Jsme velmi spokojeni s tím, že tímto způsobem ochráníme uživatele v řádu minut i před útoky, které jsou mířeny na náš region a naši dodavatelé je nemusí okamžitě zaznamenat.

Další oblastí našeho výzkumu, na kterém pracujeme společně s týmem ČVUT v Praze, je detekce podezřelých domén a podezřelého provozu přímo v dotazech, které na překladačích vidíme. Spolupracujeme na více nezávislých postupech, ale všechny mají společné to, že jsou založeny na neuronových sítích a jsou schopny rozpoznávat odchylky v názvech domén nebo v určitém časovém období DNS provozu. Jedna z neuronových sítí například počítá, s jakou pravděpodobností je název domény generován náhodně nebo se jedná o smysluplný název vytvořený člověkem. Příkladem detekované domény může být „zkzpfpoazfgq.com“. Infikovaný počítač se většinou snaží kontaktovat více domén zároveň, což pomáhá s identifikací infikovaných strojů. Některé validní domény mají totiž bohužel velmi podobné vzezření jako ty náhodně generované. Příkladem může být Záchranná brigáda kynologů s webem na doméně „zbkjmkcr.cz“ nebo web včelařů na Novoměstsku „csvnmnm.cz“.

Příklad domén zneužívaných malwarem detekovaných neuronovou sítí bez jejich předchozí znalosti je na obrázku:

S dalšími subjekty připravujeme prototypy jiných typů detekcí, zejména detekcí projevů přítomnosti malwaru v síti. Na grafu je vidět detekce rozesílání spamu. Jedno zařízení se pokouší kontaktovat obrovské množství poštovních serverů v krátkém intervalu.

Jednoduché nasazení a přímočaré využití

Myšlenka využití DNS provozu s sebou nese velké množství výhod. Protože se Whalebone stará přímo o překlad DNS, může v případě potřeby nebezpečný provoz i blokovat bez složitých integrací nebo manuálních zásahů administrátora. Právě možnost blokovat hrozby pro nás byl zásadní argument volby DNS pro aplikaci našich filtrů.

Další výhodou je jednoduchost nasazení. V menších sítích si zákazníci volí kompletně cloudové řešení a celé nasazení proběhne jen změnou konfigurace DNS překladu a během několika minut je síť pokryta bezpečnostní filtrací. Ve větších sítích je preferovanou volbou nasazení Whalebone DNS překladače jako softwaru, který se buď stará o vše spojené s překladem, nebo ponechá překlad na původních překladačích a řeší pouze bezpečnostní nadstavbu.

V obou případech ale analýza a vyhodnocování hrozeb probíhá v cloudové aplikaci Whalebone. To přináší možnost rozložit jednorázové špičky zátěže mezi velké množství zákazníků, a tak minimalizovat hardwarové požadavky na straně zákazníka. Ty jsou v případě plně cloudového řešení opravdu nulové a v případě lokálního překladače jsou jen mírně vyšší než při použití tradičního DNS překladače bez bezpečnostních funkcí.

Využití k blokaci závadného provozu je přímočaré. Pokud se cílový server snaží kontaktovat přímo malware, prostě se mu to nepovede a informace je zaznamenána. Pokud se o to snaží uživatel ve svém prohlížeči, tak se mu zobrazí stránka s upozorněním a případně kontaktními údaji nastavenými zákazníkem. Velmi oceňovanou součástí služby ale bývá i kompletní audit DNS provozu s možností filtrace, detekce anomálií, sledování trendů a vyhledávání konkrétních dotazů v historii.

DNS je ale přece kritická služba

Celý tým Whalebone si je toho velmi dobře vědom a držíme se takových principů, abychom nekolidovali s všemožným využitím DNS protokolů v počítačových sítích a abychom zajistili maximální dostupnost služby. Neohýbáme si standardy pro naše potřeby, držíme se osvědčených open-source projektů a knihoven a náš kód týkající se DNS překladu udržujeme jednoduchý a otevřený.

V případě nasazení cloudového resolveru se zákazník může spolehnout na více překladačů nasazených ve dvou nezávislých datacentrech. V každém datacentru je zajištěna dostupnost překladu 99,95 % garancí ze strany Microsoft Azure a správným nastavením Availability sets, ale za celou dobu provozu se nám díky load balancerům a velmi vysoké dostupnosti strojů v Azure daří držet dostupnost služby DNS překladu 100 %.

Pokud zákazník preferuje překladače pod vlastní kontrolou, doporučujeme určitě nasazení aspoň dvou nezávislých instancí. To ale platí i pro klasické DNS překladače a nevidíme v nasazení překladačů Whalebone žádný rozdíl. V případě Whalebone zajišťuje překlad DNS známý resolver Unbound, popřípadě může zákazník využít své překladače a Unbound ne. Lokální překladače si pravidelně stahují z cloudu aktualizace informací o hrozbách, ale jakkoliv dlouhý výpadek cloudu neohrozí poskytování služby DNS překladu.

Vzhledem k jednoduchosti nasazení a okamžité viditelnosti do DNS provozu ocenilo mnoho zákazníků možnost vyzkoušet si naše řešení. Zkušební provoz vám zdarma poskytneme a rádi pomůžeme nakonfigurovat. Budete překvapeni, co se u vás v síti najde. Oslovte nás přes formulář na webu https://whalebone.io, na e-mailu info@whalebone.io. Pokud vás zajímá nějaký technický detail, na který zde nebyl prostor, napište mi přímo na robert.sefr@whalebone.io.

Robert Šefr | Whalebone