Aanvallen op het Domain Name System (DNS) zijn talrijk en gevarieerd, waardoor organisaties moeten vertrouwen op lagen van beschermende maatregelen, zoals verkeersmonitoring, informatie over bedreigingen en geavanceerde netwerkfirewalls, om gezamenlijk op te treden. Nu het aantal NXDOMAIN-aanvallen toeneemt, moeten organisaties hun DNS-verdediging versterken.

Met de vrijgave van Shield NS53Akamai sluit zich aan bij een groeiende lijst van beveiligingsleveranciers met DNS-tools die zich kunnen verdedigen tegen NXDOMAIN-aanvallen. De nieuwe service breidt Akamai's Edge DNS-technologieën in de cloud uit naar implementaties op locatie.

Bij een NXDOMAIN-aanval – ook bekend als een DNS Water Torture DDoS-aanval – overweldigen tegenstanders de DNS-server met een groot aantal verzoeken voor niet-bestaande (vandaar het NX-voorvoegsel) of ongeldige domeinen en subdomeinen. De DNS-proxyserver verbruikt de meeste, zo niet alle, bronnen die de DNS-autoriteitserver bevragen, tot het punt waarop de server niet langer de capaciteit heeft om eventuele verzoeken, legitiem of nep, af te handelen. Als er meer ongewenste zoekopdrachten op de server terechtkomen, zijn er meer bronnen (CPU van de server, netwerkbandbreedte en geheugen) nodig om ze af te handelen, en duurt het langer om legitieme verzoeken te verwerken. Wanneer mensen de website niet kunnen bereiken vanwege NXDOMAIN-fouten, vertaalt dit zich in potentieel verloren klanten, verloren inkomsten en reputatieschade.

NXDOMAIN is al jaren een veel voorkomende aanvalsvector en wordt een steeds groter probleem, zegt Jim Gilbert, directeur productmanagement van Akamai. Akamai constateerde vorig jaar dat 40% van de totale DNS-query's voor zijn top 50 financiële dienstverleners NXDOMAIN-records bevatten.

Verbetering van de DNS-bescherming

Hoewel het theoretisch mogelijk is om je tegen DNS-aanvallen te verdedigen door meer capaciteit toe te voegen (meer middelen betekent dat er grotere en langere aanvallen nodig zijn om de servers neer te halen) is het voor de meeste organisaties geen financieel haalbare of schaalbare technische aanpak. Maar ze kunnen hun DNS-bescherming op andere manieren verbeteren.

Enterprise-verdedigers moeten ervoor zorgen dat ze hun DNS-omgeving begrijpen. Dit betekent documenteren waar DNS-resolvers momenteel worden ingezet, hoe lokale en cloudbronnen ermee omgaan en hoe ze gebruik maken van geavanceerde services, zoals Anycast, en DNS-beveiligingsprotocollen.

“Er kunnen goede compliance-redenen zijn waarom bedrijven hun originele DNS-middelen op locatie willen behouden”, zegt Gilbert van Akamai, waarbij hij opmerkt dat Shield NS53 bedrijven in staat stelt beschermende controles toe te voegen terwijl de bestaande DNS-infrastructuur intact blijft.

Het beschermen van DNS moet ook deel uitmaken van een algemene DDoS-preventiestrategie (Distributed Denial-of-Service), aangezien veel DDoS-aanvallen beginnen met DNS-exploits. Volgens Akamai werd bij bijna tweederde van de DDoS-aanvallen vorig jaar gebruik gemaakt van een of andere vorm van DNS-exploitatie.

Voordat beveiligingsmanagers iets kopen, moeten ze zowel de reikwijdte als de beperkingen begrijpen van de potentiële oplossing die ze evalueren. Terwijl de DNS-beveiligingsdiensten van Palo Alto bijvoorbeeld naast NXDOMAIN een brede verzameling DNS-exploits dekken, krijgen klanten die brede bescherming alleen als ze de volgende generatie firewall van de leverancier hebben en zich abonneren op de bedreigingspreventieservice.

DNS-verdediging moet ook aansluiten bij een robuuste informatiedienst over bedreigingen, zodat verdedigers potentiële aanvallen kunnen identificeren en er snel op kunnen reageren en valse positieven kunnen verminderen. Leveranciers zoals Akamai, Amazon Web Services, Netscout, Palo Alto en Infoblox exploiteren grote netwerken voor het verzamelen van telemetrie die hun DNS- en DDoS-beveiligingstools helpen een aanval op te sporen.

Het Agentschap voor cyberbeveiliging en infrastructuurbeveiliging heeft een reeks aanbevolen acties samengesteld dat omvat het toevoegen van meervoudige authenticatie aan de accounts van hun DNS-beheerders, het monitoren van certificaatlogboeken en het onderzoeken van eventuele discrepanties.

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
• PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
• PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
• Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
• Bron: https://www.darkreading.com/remote-workforce/akamai-boosts-dns