INGRAM micro – CISCO OPENDNS
Zašto klasična firewall i antivirus rešenja nisu dovoljna?
Koncept oslanjanja na klasičnu mrežnu (firewall) i endpoint zaštitu (antivirus) u najvećem broju slučajeva nije dovoljan za sprečavanje cyber napada zato što se oslanja na reaktivnu zaštitu, tj. aktiviranje zaštite u situaciji kad je napad već počeo i kad je napadač obavio odgovarajuće aktivnosti. Današnji napadi najčešće su multivektorski i prolaze kroz više faza:
- Izviđanje: napadač se upoznaje sa svojim ciljem, skuplja informacije i priprema se za napad.
- Staging: napadač postavlja odgovarajuću infrastrukturu i kreira odgovarajuće alate za napad.
- Početak napada: napadač aktivira postojeće alate i tehnike za napad.
- Exploit: odgovarajući softver aktivira maliciozni kod ili neoprezni korisnik greškom sam aktivira maliciozni kod, nakon što primi kompromitujući e‑mail.
- Instalacija malicioznog koda na hostu.
- Callback: kompromitovani host/sistem se konektuje na botnet server.
- Persist: najzad, raznorazne tehnike koriste se za održavanje postojećeg stanja, ponavljajući korake 4‑7.
Firewall i antivirusi zaustavljaju napade tokom samo nekoliko navedenih koraka, ali brzina i obim generisanja novih tehnika za napad omogućavaju da napadi ostanu neotkriveni danima ili mesecima. Na slici 1 vidi se tokom kojih faza je klasična firewall i antivirusna zaštita efikasna:
Jasno se vidi da je napadaču neophodno da pređe niz koraka, koje često i ponavlja, kako bi izveo napad i naneo štetu korisniku. Savremeni i ciljani napadi lako zaobiđu tradicionalne firewall‑ove i signature‑based preventivne mehanizme i stoga se sve manje mogu smatrati pouzdanom zaštitom koja pokriva pun spektar napada. Međutim, i dalje ostaju neophodna komponenta u security okruženju – jedino napadi postaju sve sofisticiraniji pa se zbog toga i tehnike odbrane moraju prilagođavati.
Šta je OpenDNS?
OpenDNS je Software‑as‑a‑Service platforma koja pruža efikasnu vidljivost napada tokom faza koje nisu obuhvaćene klasičnim sistemima zaštite, pre svega tokom faze Recon (Izviđanje) i Stage.
Ova cloud platforma predstavlja novu Cisco‑vu akviziciju kojoj trenutno pristupa više od 65 miliona korisnika dnevno. Jednostavna je za integraciju s postojećim security rešenjima a zaokružuje i upotpunjuje postojeću ponudu Cisco Security Cloud.
S obzirom na to da cloud rešenje ne zahteva instalaciju onsite opreme, ono lako izlazi u susret aktuelnim uslovima poslovanja u kojima se pristup resursima često ostvaruje van kancelarija i seleći security funkcionalnosti u cloud.
OpenDNS ne čeka na početak faza napada, da se malware instalira ili da inficirani objekat uspostavi vezu s napadačem. Analizom aktivnosti na Internetu i preusmeravanjem DNS upita na OpenDNS, omogućava se konstantna analiza korelacije između imena domena, IP adresnog opsega i AS broja. Ova analiza i vidljivost tih informacija omogućavaju da se otkrije napad u ranim fazama (Recon i Staging) i predupredi Launchfaza, kao što se može videti na slici 2.
Tako se, na primer, na osnovu preusmeravanja DNS upita na OpenDNS i korišćenja postojeće baze konekcija u OpenDNS Cloud‑u može uvideti relacija između prefiksa s kojih potiče napad, autnomnog sistema, tj. infrastrukture s koje potiče napad i imena domena.
OpenDNS je jedan od najvećih globalnih DNS provajdera, s više od 80 milijardi DNS upita dnevno i 65 miliona korisnika iz 160 zemalja. Ova ogromna baza podataka pruža uvid u srazmerno veliki broj relacija između različitih imena domena, source i destination IP adresa na osnovu kojih se može proceniti gde se napad priprema ili se napad čak može i predvideti.
Tradicionalne baze podataka ne mogu da skladište i dovoljno brzo obrade toliku količinu podataka, pa stoga OpenDNS inženjeri koriste Hadoop, Hive, Pig i slične cutting‑edge tehnologije kojima se rešavaju ovi Big Data izazovi.
U analizu prikupljenih podataka uključeno je više od 200 security partnera koji analiziraju tipove i karakteristike potencijalnih napada na osnovu korelacija koje OpenDNS prikupi od IP prefiksa, imena domena i ASN broja.
OpenDNS konstantno nadgleda neobične DNS upite, tražeći odgovarajuću zakonitost (pattern), netipično ime domena, sumnjiv DNS record ili promenu BGP rute. Na osnovu ovako prikupljenih podataka, identifikuju se malware, botnet, phishing i ostali tipovi pretnji zasnovanih na analizi u realnom vremenu, a takođe identifikuju imena domena i IP adrese koje treba blokirati.
Na slici 3 može se videti kako su lokacije OpenDNS‑a raspoređene po svetu:
Zaključak:
OpenDNS predstavlja Cloud Security servis koji blokira kako napredne napade, tako i tradicionalne malware, phishing i botnet napade nezavisno od porta, protokola ili aplikacije. Prediktivna inteligencija koristi automatizovani proces učenja o potencijalnim napadima pre nego što se napad dogodi. OpenDNS štiti infrastrukturu bez potrebe za instalacijom dodatnog hardvera i održavanjem dodatnog softvera.
Igor Urošević
(Objavljeno u časopisu PC#237)