DNS Güvenliği Neden Önemlidir?

DNS Güvenliği Neden Önemlidir?

Domain Name System (DNS) alan adlarını IP adreslerine çevirmek için kullanılan ve farklı kuruluşların yönettiği merkezi bir sistemdir. Önemli bir hizmettir, çünkü URL'ler yerine IP adreslerini hatırlamak veya tüm aygıtları bir ortamdan büyük bir ağda manuel olarak yapılandırmak çok fazla zaman alır. Günümüzde DNS güvenliğine yönelik tehditler, en yaygın siber tehdit türleri arasındadır. Bu yüzden Bir şirket ne yaparsa yapsın, DNS güvenliği, güvenlik planının ayrılmaz bir parçası olmalıdır.

DNS Logları neden önemlidir?

1- DNS Logu tüm protokoller tarafından kullanılan ortak bir altyapı servisidir. DNS logu içerisinde kurum ağında kullanılan tüm servislerin erişim verileri yer alır. Örneğin proxy sunucusunda sadece web trafik logu, e-mail sunucusunda e-mail trafik logu hakkında bilgi alabilirsiniz. DNS logunda ise her iki trafik hakkında verileri yer almaktadır. Bu yüzden DNS logunun işlenmesi tüm kurum ağının işlenmesi anlamına gelir.

2- IP adresi olmayan zararlı trafik sadece DNS logundan tespit edilebilir. IP adresi olmayan domain tiplerine örnekler

a- Cyber X-Ray verilerine göre Malware domainlerin yaklaşık %85 inde anlık olarak IP adresi olmadığı saptanmıştır. IP adres olmadığı için Http request olmuyor ve log oluşmadığı için sadece DNS logunu analiz etmek gereklidir.

Aşağıdaki ekran görüntüsü, IP adresi olmadığı halde kullanıcılar tarafından erişilmeye çalışılan adreslerdir

Ip adresi bulunmayan adresler

b- DGA Domain: Sistem saatine göre belli bir algoritma ile üretilen domainlerdir. Bu domainler sadece zombi ağına komut verilmek istendiği zaman kaydedilir ve ip adresine sahip olur. Zombi ordusunun sahibi iki şeyi amaçlar:

-       Komuta merkezi bağlantı domainlerinin güvenlik araştırmacıları tarafından tespit edilmesinin önüne geçmek

-       Zaman ayarlı olarak zombi ordusunu kullanıma açmak

c-DNS Tunneling: DNS tünelleme ile veri hırsızlığı DLP ürünleri tarafından tespit edilememektedir. DNS tunnel verisi sadece DNS logunun analiz edilmesi ile görülebilir.

  

DNS güvenliği kavramının iki önemli bileşeni vardır:

 

1.     Ağ ana bilgisayar adlarını IP adreslerine çözümleyen DNS hizmetlerinin genel bütünlüğünü ve kullanılabilirliğini sağlamak

2.    Ağınızın herhangi bir yerindeki olası güvenlik sorunlarını belirlemek için DNS etkinliklerini izlemek

 

Şüpheli anormallikler için ağınızdaki DNS trafiğini etkili bir şekilde izleyebilmek, bir ihlalin erken tespiti için kritik öneme sahiptir. Roksit DNS Visibility gibi bir araç kullanmak size tüm önemli metrikleri takip etme yeteneği verecektir. Akıllı SIEM entegrasyonu ile belirli bir süre boyunca veya anormal gerçekleşen eylemlerin bir kombinasyonunun sonucu olarak uyarılar ayarlayabilirsiniz. Roksit yapay zeka algoritmaları ile % 99,5+sınıflandırma işlemi yapılmıştır. Bu veri tabanından hareketle sadece SOC ekiplerinin incelemesi gereken verileri SIEM’e gönderir. Böylece akıllı SIEM entegrasyonu ile DNS log işleme maliyetlerinde %95+ tasarruf sağlanır.

 

Başlamaya hazır mısınız?

14 günlük ücretsiz denemenizi başlatın

Roksit'i ücretsiz deneyin. Kredi kartı bilgisi istenmemektedir.