DNS güvenliği neden önemlidir?

Alan Adı Sistemi (DNS), çeşitli kuruluşlar tarafından alan adlarını IP adreslerine çevirmek için kullanılan merkezi bir sistemdir. URL'ler yerine IP adreslerini hatırlamak veya daha büyük bir ağdaki tüm cihazları manuel olarak yapılandırmak çok fazla zaman aldığı için önemli bir hizmettir. Ancak DNS güvenlik tehditleri günümüzde en yaygın siber tehdit türleri arasında yer almaktadır. Bu nedenle DNS güvenliği, bir kuruluşun güvenlik planının ayrılmaz bir parçası olmalıdır.

‍

DNS logları neden önemlidir?

‍

1- DNS logu tüm protokoller tarafından kullanılan ortak bir altyapı hizmetidir. DNS logu kurum ağında kullanılan tüm servislerin kimlik bilgilerini içerir. Örneğin web trafiğinin protokolü hakkında sadece proxy sunucusundan, e-posta trafiğinin logu hakkında sadece e-posta sunucusundan bilgi alabilirsiniz. DNS logu her iki trafik türü hakkında da veri içerir. Bu nedenle DNS loglarının işlenmesi tüm kurumsal ağın işlenmesi anlamına gelir.

2- IP adresi olmayan kötü niyetli trafik yalnızca DNS logu aracılığıyla tespit edilebilir. IP adresi olmayan domain türlerine örnek olarak şunlar verilebilir:

a-Cyber X-Ray verilerine göre, zararlı alan adlarının yaklaşık %85'inin doğrudan bir IP adresine sahip olmadığı tespit edilmiştir. IP adresi olmadığı için Http isteği de olmuyor ve log da olmadığı için sadece DNS logunu analiz etmek gerekiyor.

Aşağıdaki ekran görüntüsü, IP adresi olmadığı halde kullanıcıların erişmeye çalıştığı adresleri göstermektedir.

‍

‍

b- DGA alan adı: Bunlar sistem saatine bağlı olarak özel bir algoritma ile oluşturulan alan adlarıdır. Bu alan adları sadece zombi ağı komuta edildiğinde ve IP adresine sahip olduğunda kaydedilir. Zombi ordusunun sahibinin iki hedefi vardır:

-Komuta merkezi bağlantı alanlarının güvenlik araştırmacıları tarafından keşfedilmesini önlemek,
-Zamana bağlı olarak zombi ordusunun kilidini açmak.

‍

‍

‍

c-DNS tünelleme: DNS tünelleme ile yapılan veri hırsızlığı, DLP ürünleri tarafından tespit edilemez. DNS tünelleme verileri yalnızca DNS logu analiz edilerek tespit edilebilir.

‍

DNS güvenliği kavramının iki önemli bileşeni vardır:

1. Ağ üzerindeki ana bilgisayar adlarını IP adreslerine çözümleyen DNS hizmetlerinin genel bütünlüğünü ve kullanılabilirliğini sağlama.

2. Ağınızın herhangi bir yerindeki olası güvenlik sorunlarını tespit etmek için DNS trafiğini izleme.

Şüpheli anomaliler için ağınızdaki DNS trafiğini etkili bir şekilde izlemek, bir güvenlik ihlalinin erken tespiti için kritik öneme sahiptir. DNSEye gibi bir araçla tüm önemli ölçümleri takip edebilirsiniz. Akıllı SIEM entegrasyonu ile belirli bir zaman dilimi için veya anormal eylemlerin bir kombinasyonunun sonucu olarak uyarılar ayarlayabilirsiniz. Roksit'in yapay zeka algoritmaları %99,5'in üzerinde bir sınıflandırma oranı sağlar. Bu, veri tabanına dayanarak SIEM'e yalnızca SOC ekipleri tarafından araştırılması gereken verileri gönderir. Böylece akıllı SIEM entegrasyonu, DNS log işleme maliyetlerinde %95'ten fazla tasarruf sağlayabilir.

‍

‍