Kurumsal Güvenlik Ortamında DNS Analizinin önemi

Kurumsal Güvenlik Ortamında DNS Analizinin önemi

Kurumsal güvenlik dünyası 2020 yılından sonra pandeminin de etkisi ile sonsuza dek değişti. Uzaktan çalışma, bulut, IoT kavramları neredeyse tüm işletmenlerin güvenlik yapılarını dönüştürdü. CISO’ların (siber güvenlik uzmanları) görevi şirketi tehdit edebilecek siber saldırı riskini en aza indirmektir. Fakat alışık oldukları ve eğitildikleri alanların değişmesi ve Bulut, IoT gibi kavramların artışı ile birlikte tamamen farklı ortamlarla uğraşmak zorunda kaldılar. Bu değişiklikler, uzun süredir kullanılan birçok güvenlik aracının (Firewall, proxy, VPN'ler ve SIEM'ler gibi) çok daha az etkili olduğu ve güvenlik yöneticilerinin yenilerini bulması gerektiği anlamına geliyordu.

Herhangi bir kurumsal ağda, boyutu ne olursa olsun, yazıcılar, diskler, zaman hizmetleri, yetkilendirme ve doğrulama hizmetleri, yazılım havuzları vb. gibi paylaşılan kaynakları tahsis etmek gerekir. Windows ailesinin işletim sistemlerinde bu amaçlar için Sunucu İleti Bloğu (SMB) protokolleri ve Ortak İnternet Dosya Sistemi (CIFS) kullanılmaktadır. Bu protokoller, 1980'lerin ortalarında yerel ağlar üzerinde çalışmak üzere IBM ve Microsoft tarafından geliştirilen NetBIOS ve NetBEUI protokollerinin evrimidir.

Neden DNS Güvenliği?

DNS, internetin önemli bir bileşeni olduğundan, her zaman saldırganların hedefi olacaktır. Gelecekte ortaya çıkabilecek bu saldırılara karşı korunmanın en iyi yolu saldırılarda kullanılan teknikleri bilmek ve potansiyel girdi noktalarını önceden tespit edebilmekten (threat hunting) geçer.

Kurumsal Siber Güvenlik Yöneticilerinin mevcut kaynakları yetersiz kullandığı bir alan da DNS izlemedir. Şirketlerin hâlihazırda kullandığı DNS loglarından faydalanılarak, hemen hemen her kullanıcı ve makine etkileşimi izlenebilir, analiz edilebilir ve gerektiğinde saldırılara karşı önceden engellenebilir.

DNS, veri akışının şirket içi, aygıtlara, buluta, bir siteye veya farklı uzak siteler arasında yönlendirilip yönlendirilmediğine bakmaz. Kısacası, DNS izleme, birçok CISO'nun fark ettiğinden çok daha iyi bir güvenlik sağlayabilir.

Bir saldırgan, kuruluşun DNS'inin kontrolünü ele geçirirse, şunları kolayca yapabilir:

1. Açık kaynaklar üzerinde kontrol elde etme,

2. Gelen e-postaları, web isteklerini ve kimlik doğrulama girişimlerini yeniden yönlendirme,

3. SSL/TLS sertifikaları oluşturma ve doğrulama.

DNS güvenliğine iki açıdan bakılır:

• DNS'nin sürekli izlenmesi ve kontrolü,

• DNSSEC, DOH ve DoT gibi yeni DNS protokolleri, iletilen DNS sorgularının bütünlüğünü ve gizliliğini korumaya nasıl yardımcı olabilir?

Bazı kuruluşlar, kendilerini farklı kaynaklardan birden fazla DNS kullanırken bulurlar. Bu agresif bir şekilde kullanılan DNS'nin sağlayabileceği merkezi güvenliğin altını boşaltır. Oysaki şirketler, kimin neye, ne zaman ve nasıl eriştiğine ilişkin kuş bakışı görüşe ihtiyaç duyar.

Tehdit önleme ve güvenlik operasyonları için DNS, DHCP ve IPAM'den yararlanarak daha iyi kurumsal bir güvenlik sağlamanın yolu nedir?

İşletmelerin, ortalama Internet trafiği belirli olmasına rağmen bazen bir makineden çok fazla sorgunun yapıldığı görülür. Bu yeni veri akışı bağlantılarının çoğu başlangıçta tanınmayacaktır. Bu nedenle saldırganlar, kurumsal CISO'lar savunma stratejilerini yeni ortamlarına uyacak şekilde güncellemeden önce yapabildikleri kadar çok saldırıyı sıkıştırarak bir saha günü geçiriyorlar. DNS, DHCP ve IPAM analizinin büyük bir fark yaratabileceği yer burasıdır.

Kötü amaçlı yazılımların yaklaşık yüzde 91'i bir kontrol düzlemi olarak DNS'e güveniyor. Diğer saldırıların, özellikle fidye yazılımlarının başlangıcı olan kimlik avı saldırıları, e-posta veya metin ile başlayabilir, ancak DNS ile karşılaşmadan önce fazla zarar veremez. D-DOS saldırıları bile DNS ile başlar ve DNS, makine öğrenimi ve diğer yapay zeka biçimlerinden yararlanan anormallik tabanlı (sıfır gün) tehdit algılaması için ideal veri kaynağıdır. Düzgün yönetilen ve izlenilen bir DNS, küresel tehditlere karşı, güvenlik savunmasını üst düzeye çıkarır.

DHCP verileri olmadan, özellikle dinamik ortamlarda incelenen aynı cihazla ilgili farklı olayları ilişkilendirmek zordur. DNS ve DHCP olmadan operasyon ekipleri, güvenliği ihlal edilmiş makineleri doğru bir şekilde belirlemekte zorlanır ve kullanıcının hangi kaynaklara eriştiği konusunda sınırlı bir görünürlüğe sahip olur.

DNS'i kullanmak ve tehdit istihbaratı savunmalarından açıkça kaçınmak için özel olarak yazılmış birçok saldırı türü vardır. Bu saldırılar ancak DNS verilerini derinlemesine analiz ederek engellenebilir. Artan bulut ve sitelerden sonra, güvenlik ortamındaki en büyük değişiklik IoT sistemlerine yapılan saldırılarıdır. DNS, IP bağlantılı IoT için ortak bir paydadır. Bu, DNS etkinliğine dayalı profil oluşturmanın, IoT kaynaklı güvenlik ihlali girişimlerinin erken uyarılarını sağlayabileceği anlamına gelir.

Sonuç

DNS güvenliği, güvenlik planının ayrılmaz bir parçası olmalıdır. Güvenli DNS sunucu hizmetleri, güvenli olmayan, kötü niyetli ve istenmeyen web sitelerini filtreleyerek ve engelleyerek web koruması ve ebeveyn kontrolü sağlar.

Roksit Secure DNS, kullanıcıların DNS trafiğini analiz ederek web güvenliği ve uygulama kontrolü sağlayan etkili/gelişmiş Bulut Tabanlı bir Siber Güvenlik Hizmetidir. Gelişmiş ve esnek raporlama özelliği sayesinde ağ yöneticilerine gerekli aksiyonları alabilmeleri için anlamlı bilgiler sunarak gerçek DNS koruma katmanını sağlar.

Yine Roksit DNS Visibility çözümü ile kurum DNS sunucu logları incelenir ve İstihbarat Servisi filtresinden geçirilerek zararlı olabilecek trafik kontrol altına alınmış olur.

Başlamaya hazır mısınız?

14 günlük ücretsiz denemenizi başlatın

Roksit'i ücretsiz deneyin. Kredi kartı bilgisi istenmemektedir.