1. Защита DNS — DNSDome (безопасный DNS)
DNSDome — это облачный сервис безопасности DNS-уровня, который обеспечивает активную защиту путем фильтрации DNS-запросов. Он служит эффективным первым уровнем защиты от фишинга, DNS-спуфинга, туннелирования DNS, DNS-активности ботов, доменных имен DGA и атак на основе визуальной схожести доменных имен. Важно, что наш сервер находится в стране присутствия.
Портал DNSSense позволяет отслеживать, администрировать и составлять отчеты по всему сетевому трафику корпорации в рамках одной консоли. Сервис можно внедрить менее чем за 10 минут без необходимости в каком-либо дополнительном оборудовании или программном обеспечении.
Мониторинг DNS — DNSEye (уникальный продукт для SOC)
DNSEye — это локальный инструмент анализа и выявления атак на уровне DNS. Без необходимости использования агентов или изменения топологии сети DNSEye выявляет все зараженные устройства в сети на основе расширенного анализа DNS-трафика. DNSEye можно развернуть менее чем за час, независимо от размера сети.
DNSEye также показывает вредоносный интернет-трафик, который пропустили существующие средствах безопасности, таких как NGFW, прокси-серверы и другие средства защиты уровня DNS. Эта информация может быть использована для корректировки политик безопасности. Другими словами, DNSEye обеспечивает непрерывное повышение уровня безопасности организации.
“Умная” интеграция DNSEye с SIEM-системами позволяет организациям выстраивать правила на основе анализа DNS-трафика в процессы SOC и SOAR, при этом сохраняя уровень EPS на оптимальном уровне.
Уникальные возможности DNSSense
1. Мониторинг DNS без агентов
Мониторинг на DNS-уровне является критически важным аспектом сетевой безопасности, однако традиционные решения зачастую требуют установки агентов на каждую машину в сети, развертывание дополнительной инфраструктуры между пользователем и внутренним DNS-сервером или же использование сетевого оборудования конкретных производителей, что нарушает топологию сети и занимает существенное время.
Это приводит к тому, что многие организации полагаются на мониторинг других уровней своего стека безопасности, таких как межсетевые экраны, которые не способны выявить продвинутые DNS-атаки.
DNSSense разработала платформу, которая решает эту проблему, обеспечивая мониторинг уровня DNS, при этом не нарушая топологию сети, не требуя замены существующих сетевых устройств и не требуя установки агентов на каждом компьютере.
Наше решение DNS Visibility представляет собой виртуальную машину, развернутую в локальной сети и предназначенную для сбора информации из журналов DHCP и DNS, а также создания отчетов, легкодоступных для понимания администраторам. Этот легковесный метод позволяет получать полную информацию о происходящем на уровне DNS, что делает его оптимальным решением для организаций любого размера.
2. Интеграции с SIEM и EDR (оптимизация EPS)
Журналы DNS сами по себе не предоставляют информацию о содержимом домена или его вредоносности. Кроме того, большинство журналов содержат часто используемые и надежные домены, такие как Google, Microsoft и Wikipedia, которые не требуют отправки в SIEM.
Кроме того, цены на SIEM-решения зачастую основаны на количестве событий в секунду (EPS), и обработка ненужной информации может значительно увеличить стоимость этих и без того дорогих продуктов. Это может стать значительным финансовым бременем для организаций, что затрудняет обеспечение необходимого уровня безопасности.
DNSSense решает эту проблему, предоставляя решение, которое гарантирует, что в SIEM пересылается только актуальная информация, что сокращает количество
EPS и, в конечном итоге, снижает общие затраты организаций. Это позволяет им поддерживать высокий уровень безопасности и экономить бюджеты.
Помимо перенаправления трафика в SIEM на основе категорий доменов и других настраиваемых правил, DNSSense также может отправлять нотификации в SIEM, когда:
- Существующие устройства безопасности не обнаруживают вредоносный трафик, который обнаружен DNSSense,
- Машина впервые запрашивает домен и делает это множество раз,
- DNS-туннелирование и эксфильтрация данных как примеры аномалий.
После такой фильтрации количество событий DNS, отправляемых в SIEM, может быть уменьшено до 99%.
API-интерфейсы систем EDR могут быть использованы для сбора информации о приложении, выполняющем вредоносный DNS-запрос, что позволяет понять, заражены устройства или нет.
1. Защита от 0-day
На основе модулей «Положительная модель безопасности» и «Обнаружение аномалий»
67% кибератак, включая фишинг и программы-вымогатели, осуществляются менее чем за два часа. Большинство продуктов безопасности не могут обнаружить эти атаки в течение этих первых двух часов, когда они наиболее опасны. Организации уязвимы для атак нулевого дня, поскольку среднее время обнаружения составляет около 12 часов.
«Модель позитивной безопасности» DNSSense позволяет временно блокировать любую попытку сетевого подключения к “впервые увиденному” домену максимум на 10 минут, пока он не будет классифицирован как «Разрешенный» в соответствии с политиками сетевой безопасности.
Сегодня динамическая база данных угроз DNSSense «Cyber-Xray» содержит более 550 миллионов доменов, которые постоянно классифицируются. Домены, запрошенные впервые, которых нет в базе данных Cyber-Xray, помечаются искусственным интеллектом как «впервые увиденные» домены и немедленно классифицируются.
Cyber-Xray оценивает «впервые увиденные» домены максимум за 10 минут с помощью искусственного интеллекта и алгоритмов глубокого обучения.
Чтобы избежать ложных срабатываний, данные о вредоносных доменах также собираются из почти 400 центров киберразведки, что усиливает процесс оценки, но не влияет на категорию как таковую.
Соединение не будет разрешено, если соответствующий домен попадает в категорию «Блокировать» в соответствии с политиками сетевой безопасности. Пользователи смогут получить к нему доступ только после того, как он будет помечен как «Разрешенный» или внесен в белый список соответствующей политикой сетевой безопасности.
Объем DNS-трафика, категории посещаемых сайтов и даже запрошенные домены в корпоративных сетях следуют предсказуемым паттернам. Решение DNS Eye изучает DNS-трафик организации и при выявлении отклонений сообщает об этом в SIEM.
В результате, с помощью модулей DNSSense «Положительная модель безопасности» и «Обнаружение аномалий» сеть защищена от инцидентов нулевого дня, в том числе инцидентов, подобных SolarWinds.
1. Выявление пропусков других средств защиты (Security Gap Report)
DNSSense DNS Eye — это виртуальная машина, которая работает в сети и имеет функцию Security Gap Report — отчет о пробелах в безопасности.
Эта функция выявляет и сообщает о вредоносном трафике, который не смогли обнаружить существующие устройства безопасности, и может автоматически передавать эти данные в SIEM.
Security Gap имитирует подключение к вредоносному домену для проверки безопасности в сети тремя различными способами:
- DNS-запрос с существующего DNS-сервера,
- Доступ к вредоносному домену с прямым подключением HTTP/HTTPS через шлюз безопасности,
- Тест с запросом HTTP/HTTPS через прокси-сервер.
Это позволяет выявить недостатки защиты или ошибки в настройке существующих средств безопасности организации.
1. Прямая поддержка от вендора 7/24/365
DNSSense оказывает прямую поддержку 7 дней в неделю, 24 часа в сутки и 365 дней в году.
2. Моментальное применение политик безопасности
Любые изменения политик безопасности на портале DNSSense немедленно влияют на уровень защиты, и не требуют времени для вступления в силу.
DNS в основании любой цифровой коммуникации