Schild und Schwert in einem: Die Rolle von DNS-Sicherheit in der aktuellen Bedrohungslage

Interview mit Rocco Koll, Head of Sales DACH, Eastern Europe at EfficientIP

Insbesondere in den vergangenen zwei Jahren haben Unternehmen ihre digitale Transformation beschleunigt. Die Pandemie hat das Home Office salonfähig gemacht – der Bedarf an online- oder cloudbasierten Produkten und Diensten ist gestiegen.

Die digitale Transformation ist jedoch nicht der einzige Bereich, der während der Pandemie eine enorme Dynamik erlebt hat. Auch Angreifer haben sich neue Taktiken angeeignet und die Zahl ihrer Angriffe erhöht.

Ihre Methoden wurden hierbei auch raffinierter, beispielsweise durch die Zunahme von Ransomware-Attacken und einem starken Missbrauch des DNS-Protokolls (Domain Name System). Unternehmen mussten sich auf intelligentere Methoden umstellen, um ihre Produkte und Dienste sicher zu halten. Daher ist die DNS-Sicherheit heute wichtiger als je zuvor.

Deshalb haben wir uns mit DNS-Sicherheitsexperten Rocco Koll von EfficientIP über die aktuelle Bedrohungslage unterhalten und darüber welche doppelte Rolle DNS-Sicherheit spielt und wie Unternehmen mit diesem Schritt ihre Sicherheit effizient steigern können.

Fangen wir doch gleich mal beim Wesentlichen an: Könnten Sie uns einen kurzen Überblick geben, inwiefern DNS im Zusammenhang mit der Netzwerk-Sicherheit steht?

Um das zu verstehen, müssen wir nochmal einen kleinen Schritt zurückgehen und uns anschauen, wofür das Domain Name System (DNS) eigentlich zuständig ist. DNS ist ein zentraler Punkt in jedem Netzwerk, das die Basis für Internet-basierten Kommunikation bildet. Ich nutze auch gerne die Bezeichnung des “Telefonbuch für das Internet” beziehungsweise für Unternehmensnetzwerke. Denn letztlich ist es ein dezentralisiertes und öffentliches Namensystem, in dem man nachschaut, welche IP-Adresse welchem lesbaren Namen zugeordnet ist. Dieser wird sichtbar, wenn auf einen Netzwerkdienst zugegriffen wird.

Da die Struktur von DNS so offen und zudem hierarchisch aufgebaut ist, hat jeder interne DNS-Resolver einer Firma Zugang zu jedem öffentlichen autoritativen Server hat (was letztlich mit dem gesamten Internet gleichzusetzen ist). Diese Schwachstelle haben Hacker mittlerweile vermehrt für sich entdeckt und nutzen es als Zugangstor, um Daten zu stehlen oder zu verschlüsseln. Daher muss DNS vermehrt im Fokus der Unternehmen stehen, wenn sie ihre Sicherheitsstrategie planen.

Wir haben also einen erhöhten Sicherheitsbedarf von DNS – auf der anderen Seite jedoch steht die Tatsache, dass DNS selbst zur Sicherung des Netzwerks genutzt werden kann. 

Wie genau sieht denn DNS-Sicherheit in Unternehmen aus und wo kann hier noch mehr gemacht werden auf der Firmenseite?

DNS ist die erste Verteidigungslinie, da es die Absicht praktisch des gesamten IP-Verkehrs erkennt. Die Verwendung von DNS stellt Informationen für die Automatisierung von Sicherheitsrichtlinien bereit und hilft, eine SOAR-Plattform (Security Orchestration, Automation and Response) zu betreiben, aber diese Ressource wird zu wenig genutzt. Automatisierung ist unglaublich nützlich für die Verwaltung von Netzwerksicherheitsrichtlinien, aber derzeit verwenden nur 57 Prozent der befragten Unternehmen überwiegend automatisierte Lösungen.

Unternehmen können auch intelligenter bei der Analyse des Netzwerkverkehrs vorgehen. Als Teil ihrer empfangenen Daten können SIEM-Plattformen (Security Information and Event Management) DNS-Verkehrsprotokolle verwenden. Knapp ein Drittel der befragten Unternehmen in unserem Report haben ihren DNS-Traffic zur Analyse an SIEM gesendet. Dabei handelt es sich jedoch normalerweise um riesige Datenmengen, die zu Ineffizienzen und Ermüdung durch Datenschutzverletzungen führen. Eine intelligentere Option wäre also, wenn DNS SIEMs und SOCs nur mit den relevanten und umsetzbaren Daten zu bestimmten Verhaltensweisen füttert, was zu einer höheren Effizienz führt, da SOCs nicht den gesamten Datenverkehr analysieren müssen.

Schließlich hilft DNS bei der Überwindung von Sicherheitslücken, die häufig von Firewalls und IPS hinterlassen werden, insbesondere in Verbindung mit anderen Sicherheitskomponenten wie Data Loss Prevention (DLP) und Network Access Control (NAC). Diese beiden Tools ergänzen sich elegant bei der Erkennung von kompromittierten Geräten. NAC führt die statischen Aufgaben für den Netzwerkzugriff aus, während DNS dynamische Funktionen mit Filterung für den Anwendungszugriff ausführt.

Können Sie uns einen Überblick über die aktuelle Cyberbedrohungslage – insbesondere im DNS- Bereich – geben?

Laut des diesjährigen Allianz Risk Barometers, stehen Cybervorfälle an erster Stelle im weltweiten Bedrohungsranking und auf Platz 2 in Deutschland. Hierbei spielen natürlich Ransomware-Attacken eine große Rolle. Allerdings konnten wir in unserem Threat Report, den wir mit IDC erstellt haben, erkennen, dass mittlerweile fast 90 % der Unternehmen im vergangenen Jahr Opfer eines DNS-Angriffs waren – und zwar nicht unter einem, sondern durchschnittlich über sieben Angriffen. Wobei die durchschnittlichen Kosten für jeden Angriff knapp 880,000 Euro betrugen. Also keine Kleinigkeit.

Diese Zahlen veranschaulichen die entscheidende Rolle von DNS für die Netzwerksicherheit, sowohl als Bedrohungsvektor als auch als Sicherheitsziel.

Gibt es bestimmte Arten von Angriffen, die man auf DNS wahrnehmen kann?

Hacker haben verschiedene Ziele und daher auch die unterschiedlichsten DNS-Attacken entwickelt. Es ist außerdem wichtig sich klarzumachen, dass DNS-Bedrohungen auf eine spezielle DNS-Funktion gerichtet sind (Cache, rekursiv, autoritativ) mit dem Ziel, Schaden anzurichten. Dieser Aspekt muss bei der DNS-Sicherheitsstrategie berücksichtigt werden, um eine detaillierte Verteidigungslösung zu entwickeln und einen umfassenden Schutz vor Angriffen zu gewährleisten.

Man kann die Arten von Angriffen aber in drei grobe Kategorien einteilen:

• Exploits: Exploits greifen Sicherheitslücken beziehungsweise Schwachstellen in DNS-Diensten, Protokollen und Betriebssystemen an, mit denen DNS-Dienste laufen.
• Stealth/Slow Drip DoS Attacken: Eine geringe Menge spezieller DNS-Anfragen, die zur Auslastung der Kapazitäten bei der Bearbeitung ausgehender Anfragen führt und so den Dienst beeinträchtigt oder lahmlegt.
• Volumetrische DoS Attacken: Der Versuch, den DNS-Server durch das Überfluten mit einer hohen Anzahl an Anfragen von verschiedenen Quellen zu überfordern und so den Dienst zu beeinträchtigen oder lahmzulegen.

Bei dem Ansatz, den EfficientIP verfolgt, spielt ja auch Zero Trust eine große Rolle, richtig?

Zero Trust ist mittlerweile ein Standardansatz für die Sicherheit von Unternehmensnetzwerken. Es zielt darauf ab, optimierte Sicherheitsarchitekturen und -technologien bereitzustellen und basiert auf der Annahme, dass es keine vertrauenswürdigen und nicht vertrauenswürdigen Zonen, Perimeter, Geräte und Benutzer mehr gibt. Alles ist nicht vertrauenswürdig – standardmäßig.

DNS-Sicherheit ist der Schlüssel in einer Zero-Trust-Architektur. Denn als zentrale, verteilte Netzwerkgrundlage, die jedem Client Informationen für den Zugriff auf alle Anwendungen und Dienste bereitstellt, kann DNS nicht nur Mal- und Ransomware früh erkennen, sondern kennt die Verhaltensmuster von jedem Client im Netzwerk im Detail.

DNS in Kombination mit Threat Intelligence kann also das Clientverhalten analysierten und dem Client entsprechend antworten. Fortgeschrittene Muster könnten angewendet werden, um auf ungewöhnliches Verhalten besser zu reagieren, während prädiktive Analysen und maschinelle Lernansätze es ermöglichen würden, Angreifern bei internen Bedrohungen einen Schritt voraus zu sein und zu schnelleren Antworten zu führen.

Was würden Sie Unternehmen mit auf den Weg geben?

Da Bedrohungsakteure versuchen, ihre Toolkits zu diversifizieren, müssen Unternehmen sich weiterhin der Vielfalt der Bedrohungen bewusst sein (und auch auf dem Laufenden bleiben!) die es gibt. Eine speziell entwickelte DNS-Sicherheit zu gewährleisten, sollte demnach zu einer Schlüsselpriorität werden, um Angriffe gleich zu Beginn zu verhindern – denn bei Hackerangriffen kommt es ja bekanntlich auf jede Sekunde an.  Jetzt ist der beste Zeitpunkt, um der Sicherheit, Struktur und Logistik der Netzwerkarchitektur Ihres Unternehmens Priorität einzuräumen. Ich sage nicht, dass diese Anpassung im System nicht zeitintensiv wird, aber mit der rasanten und gefährlichen Entwicklung, die wir bei den Angriffen sehen, sollte IT-Sicherheit ganz oben auf der To-Do Liste stehen.

Vielen Dank für das Gespräch!