Vernachlässigen Sie die DNS-Sicherheit nicht länger - oder zahlen Sie den Preis

Warum das Telefonbuch im Internet eine Hotline für Kriminelle ist

Das Domänennamensystem (DNS) des Internets ordnet die Namen von Websites den IP-Adressen der Server zu, auf denen sie gehostet werden, daher der Spitzname "Telefonbuch des Internets". Über DNS können Geräte auf Websites oder E-Mails zugreifen, doch seine Allgegenwärtigkeit bietet Angreifern viele Möglichkeiten.

Wie schlimm kann es werden? Laut einer Umfrage aus dem Jahr 2022 waren im letzten Jahr beunruhigende 88 % der Unternehmen von DNS-Angriffen betroffen, wobei 70 % Ausfallzeiten erlitten und die durchschnittlichen Kosten sich auf knapp 1 Million Dollar beliefen. Da immer mehr Ressourcen in die Cloud verlagert werden, um das Arbeiten an entfernten Standorten zu erleichtern, haben sich die Möglichkeiten für Angreifer vergrößert, da Kriminelle DNS-Tunnel nutzen, um Daten zu stehlen und den Datenverkehr auf gefälschte Websites umzuleiten.

DNS-Sicherheit ist ein immer wichtigeres Thema

Zum Glück wird der DNS-Sicherheit allmählich die Aufmerksamkeit zuteil, die sie verdient. Im Jahr 2021 begann Australien, den Australian Protective Domain Name Service (AUPDNS) für Regierungsbehörden anzubieten. Der Dienst überprüft den Netzwerkverkehr anhand einer Liste von Websites und Servern mit hohem Risiko. In seinem letzten Bericht gab der ACSC an, dass der Dienst 5,5 Milliarden Anfragen bearbeitet und 400.000 bösartige Anfragen blockiert hat. Neuseeland bietet auch eine verbesserte DNS-Sicherheit für Regierungsdomänen.

Ihr Unternehmen braucht vielleicht keine DNS-Sicherheit in diesem Umfang, aber es gibt viele praktische Antworten auf DNS-Risiken. Im Folgenden gehen wir auf die häufigsten Bedrohungen ein und zeigen, wie Sie DNS nutzen können, um sich zu wehren.

DNS-Angriffe haben viele Gesichter

DNS-Angriffe können herkömmliche Schutzmechanismen umgehen, so dass Kriminelle Daten stehlen oder DNS-Server direkt vor der Nase unvorsichtiger Opfer übernehmen können. Sobald ein Server kompromittiert wurde, kann sich der Angriff schnell auf andere ausbreiten. Zu den verschiedenen Arten von DNS-Angriffen können gehören:

1. DNS-Spoofing (oder Cache Poisoning), bei dem Angreifer korrupte Daten in den Cache eines DNS-Resolvers einspeisen, um die Benutzer auf gefälschte Websites umzuleiten. Hier können Daten oder Anmeldeinformationen durch Phishing-Angriffe gestohlen oder Malware eingeschleust werden.
2. DNS-Amplifikation, eine Variante von Distributed Denial of Service (DDoS)-Angriffen. In der Regel senden Hacker DNS-Anfragen mit einer gefälschten Quelladresse, so dass die Antwort des DNS-Eintrags des Ziels an sie zurückgeht. Durch den Einsatz eines Botnets können Angreifer das Ziel mit Datenverkehr überfluten.
3. DNS-Tunneling, bei dem bösartige Daten in DNS-Anfragen und -Antworten verschlüsselt werden. Er kann Server übernehmen oder Daten stehlen.
4. Schneller Fluss, bei dem Cyberkriminelle die IP-Adressen mehrerer kompromittierter Hosts mit hoher Geschwindigkeit durchlaufen, was die Entdeckung erschwert und den Angreifern mehr Zeit gibt, bösartige Domänen zu nutzen.
5. DNS-Hijacking, bei dem Malware auf einem Gerät oder Router eingesetzt wird, um DNS-Anfragen zu manipulieren und Benutzer auf bösartige Websites umzuleiten.

Zugangskontrollen und Zero Trust können Ihre Daten schützen

Der erste Schritt zur Bekämpfung von DNS-Angriffen ist die Einschränkung des Zugangs zu Ihrem Netz. Sie sollten Multi-Faktor-Authentifizierung und biometrische Verfahren verwenden und passwortlose Sicherheit in Betracht ziehen, und zwar durchgängig. In den Sicherheitsrichtlinien sollte besonders auf Konten geachtet werden, die Änderungen an DNS-Einträgen vornehmen können, von internen Administratoren bis hin zu externen Partnern. Ein weiteres nützliches Hilfsmittel ist DMARC, das Markenspoofing per E-Mail unterbinden kann.

Maßnahmen, die die Möglichkeiten von Angreifern einschränken, sich in Ihrem Netzwerk zu bewegen, können die Auswirkungen von DNS-Angriffen verringern. Netzwerksegmentierung (die den Zugang zu Teilen Ihres Netzwerks einschränkt) und umfassendere Zero-Trust-Frameworks (die jede Anfrage in Ihrem Netzwerk abfragen und jedem Benutzer nur die für die Ausführung einer Aufgabe erforderlichen Mindestberechtigungen zugestehen) machen es Cyberkriminellen schwerer, sich in Ihrem Gebiet auszubreiten.

Protective DNS bietet bessere Cybersicherheit

Aber die vielleicht größte Waffe gegen DNS-Angriffe - und ein wichtiges Instrument für die allgemeine Cybersicherheit - ist das schützende DNS. Bei rekursiven DNS-Lookups wird geprüft, ob die DNS-Einträge mit dem beabsichtigten Ziel übereinstimmen, wobei der DNS-Server entweder den Domänennamen selbst auflöst (über Informationen in seinem Cache) oder die IP-Adresse von einem anderen vertrauenswürdigen DNS-Server anfordert. Mit Hilfe von Bedrohungsdaten können Sie Ihre Liste bösartiger Adressen erstellen.

Dies kann vor DNS-Hijacking, Spoofing oder Amplifikation schützen, aber durch das Blockieren von Verbindungen zu gefährlichen Websites können auch weitergehende Bedrohungen abgewehrt werden, die bei herkömmlichen netzbasierten Kontrollen möglicherweise übersehen werden. Unternehmen können es intern implementieren, etwa durch die Kombination einer Netzwerk-Firewall mit DNS-Überprüfung und -Blockierung, oder die Unterstützung von Dritten in Anspruch nehmen.

Um tiefere Einblicke in den DNS-Datensatz zu erhalten, setzen einige Organisationen das passive DNS ein, das anonyme Daten darüber protokolliert, wie sich Domänennamen in der Vergangenheit geändert haben und mit welchen IP-Adressen sie verbunden waren. So können Sie sich ein Bild von globalen und historischen Bedrohungen machen, die auf Sie zukommen könnten.

Es gibt Lösungen für DNS-Angriffe

DNS-Angriffe können unter dem Radar fliegen, aber das macht sie nicht weniger tödlich. In den letzten Jahren ist das Internet-Telefonbuch immer mehr mit Spinner-Anrufern überschwemmt worden. Zugriffskontrollen, DMARC und Zero-Trust-Richtlinien können dazu beitragen, Ihre Daten vor Angriffen zu schützen, während vorausschauende CISOs DNS nutzen können, um durch schützendes und passives DNS zurückzuschlagen. Mit diesen Techniken können Sie Cyberangriffe im Keim ersticken, indem Sie riskante Adressen recherchieren, überprüfen und blockieren.