Pour renforcer son portefeuille de protection du système de noms de domaine (DNS) et améliorer la sécurité des ressources de réseau DNS largement distribuées des entreprises, Infoblox a déployé une solution basée sur l'IA appelée SOC Insights. Le service est une extension cloud de l'offre BloxOne DNS Threat Defense du fournisseur. Selon Craig Sanderson, vice-président de la sécurité et de la gestion des produits chez Infoblox, SOC Insights permet aux clients d'utiliser les renseignements sur les menaces DNS pour bloquer ces menaces de manière proactive et fournir des analyses à l'équipe chargée des opérations de sécurité. « Cette offre combinée de SOC Insights avec l’IA a pour objectif de réduire le temps de réponse en transformant de grandes quantités de données d'événements de sécurité, de réseau et de renseignements DNS en un ensemble gérable d'informations immédiates et exploitables », a expliqué M. Sanderson. AI SOC Insights prend en compte les données réseau et de sécurité provenant de l'ensemble de données DNS d'Infoblox et de sources tierces, puis utilise la technologie IA pour corréler les événements, les classer par ordre de priorité et proposer des recommandations de résolution. « On peut ainsi non seulement accélérer la détection et la réponse aux menaces, mais également soulager les analystes SOC d’une lourde tâche », a ajouté M. Sanderson.

« Le DNS sert de plan de contrôle pour les réseaux d'entreprise, mais il sert aussi un plan de contrôle pour les adversaires et les logiciels malveillants », a rappelé par ailleurs M. Sanderson. « Ce qui peut poser problème, car le plus souvent, ce n'est pas l'équipe de sécurité qui examine le trafic DNS, mais les responsables du réseau, ce qui suppose qu’ils doivent être capables de passer en revue les milliards d'événements DNS envoyés chaque jour, en essayant d'identifier les centaines de milliers de domaines DNS enregistrés chaque semaine. Il est très difficile d’identifier ce que font les cyberpirates, souvent cachés à la vue de tous », a poursuivi M. Sanderson. « L'IA peut identifier les données les plus importantes à travers tout ce bruit », a encore déclaré M. Sanderson, citant l'exemple d'un client anonyme qui a récemment réduit quelque 500 000 événements en 24 informations exploitables. De plus, selon M. Sanderson, « SOC Insights peut repérer les erreurs de configuration, les activités à haut risque et d'autres comportements pour aider les entreprises à renforcer leur posture de sécurité et à atténuer les risques de manière proactive ».

Le détournement DNS très pratiqué

La protection du DNS est un élément central de la sécurité des entreprises. En effet, le DNS, familièrement appelé annuaire de l’Internet, apporte un système de dénomination décentralisé pour les ordinateurs en réseau et les services connectés à Internet ou à un réseau privé. La technologie traduit les noms de domaine en adresses IP nécessaires à la localisation et à l'identification des services et appareils informatiques avec les protocoles réseau sous-jacents. Selon l'équipe de recherche sur les menaces de l'Unité 42 de Palo Alto Networks, en raison de son utilisation généralisée, le DNS offre une surface d'attaque massive et souvent négligée qui nécessite le même examen et la même protection que le web, le courrier électronique et d'autres services. « Le DNS peut servir à diffuser des logiciels malveillants, pour le commandement et le contrôle (C2) ou l'exfiltration de données », a écrit l'équipe de l'Unité 42 dans un livre blanc sur le sujet. « Les adversaires profitent de l'omniprésence du DNS pour l'utiliser de manière abusive à différents stades d'une attaque - près de 85 % des logiciels malveillants utilisent le DNS à des fins malveillantes. Parallèlement, de nombreuses équipes de sécurité manquent de visibilité sur le trafic DNS et sur la façon dont les menaces utilisent le DNS pour garder le contrôle des appareils infectés ».

Dans une récente étude, le consultant Enterprise Management Associates (EMA) s’est intéressé aux problèmes de sécurité DNS les plus dommageables pour les entreprises. Le détournement ou la redirection DNS, qui consiste à intercepter les requêtes DNS des terminaux clients et d’orienter les tentatives de connexion vers une mauvaise adresse IP, arrivent en tête des réponses de l’enquête. Souvent, les pirates y parviennent en infectant les clients avec des logiciels malveillants de manière à rediriger les requêtes vers un serveur DNS malhonnête, ou en piratant un serveur DNS légitime et en détournant les requêtes à une échelle plus massive. Selon Shamus McGillicuddy, directeur de recherche à l'EMA, cette dernière méthode peut avoir un large rayon d'action, d'où l'importance pour les entreprises de protéger l'infrastructure DNS contre les pirates. Un autre problème de sécurité DNS est le tunneling DNS, utilisé pour échapper à la détection tout en extrayant des données d'un système compromis et en les exfiltrant. Les pirates exploitent généralement ce problème une fois qu'ils ont pénétré dans un réseau, et ils cachent les données extraites dans des requêtes DNS sortantes. « D’où l’importance de surveiller de près le trafic DNS avec des outils de contrôle de la sécurité pour repérer certaines anomalies, par exemple des tailles de paquets anormalement élevées », a préconisé M. McGillicuddy.