Seqüestro de DNS
Em agosto de 2019, pesquisadores de segurança cibernética revelaram que um grupo de hackers conhecido como Sea Turtle tinha como alvo 40 empresas de telecomunicações, provedores de serviços de Internet, registradores de domínio e organizações governamentais no Oriente Médio e no Norte da África.
Os invasores sequestraram os nomes de domínio de ministérios de relações exteriores, agências de inteligência / militares e grupos relacionados à energia nessas regiões. Como resultado, o Sea Turtle conseguiu interceptar todos os dados da Internet - incluindo e-mail e tráfego da Web - enviados às vítimas.
Então, em junho de 2020, a bolsa japonesa de criptomoedas Coincheck relatou que hackers obtiveram acesso ao seu provedor de registro de domínio e sequestraram seu coincheck.comnome do domínio. Eles então contataram os clientes da Coincheck e pediram que verificassem as informações da conta, que poderiam ser usadas para acessar as contas e roubar fundos.
Os dois incidentes ilustram a crescente ameaça de sequestro do Sistema de Nomes de Domínio (DNS).
Seqüestro de DNS: proteja sua marca e organização
Quando os usuários digitam ou clicam em um nome de domínio, eles normalmente presumem que estão indo para o site que desejam acessar. Mas se um ataque de sequestro de DNS bem-sucedido foi executado, os cibercriminosos podem levar o usuário a um espaço da web completamente diferente - e perigoso. Os cibercriminosos fazem isso para obter ganhos financeiros e também permite que interceptem e-mails para espionagem e coleta de credenciais, o que pode levar a violações de rede.
As empresas pensam muito em um nome de domínio e em um portfólio mais amplo de nomes por causa de sua importância para o marketing. Os clientes e clientes potenciais os associam aos produtos, serviços e persona corporativa de uma marca.
Ao mesmo tempo, a grande maioria das empresas não adotou medidas básicas de segurança para proteger seu portfólio de nomes de domínio. Por exemplo, a maioria usa registradores de nível de varejo em vez de registradores de classe empresarial. Mas um registrador de classe empresarial conhece seu cliente e trará controles de tecnologia superiores, padrões de credenciamento, processos operacionais, práticas de conformidade, avaliações contínuas de vulnerabilidade e testes de penetração.
Não ignore os riscos
Por que as empresas estão essencialmente negligenciando os riscos relacionados a nomes de domínio e DNS? Porque eles estão adotando uma abordagem de visão de túnel para a segurança cibernética, com um foco singular nos desafios de rede familiares. Isso os impede de desenvolver uma estratégia mais holística que cobre toda a gama de vetores de ataque. Como Silviu Stahie, Analista de Segurança da Bitdefender, afirma: “As empresas se concentram em outros tipos de ameaças, fortalecendo os terminais e suas próprias redes. Mas diferentes tipos de ataque cibernético podem ser implantados contra empresas que nunca alcançarão esse nível e ainda podem paralisar uma organização sem comprometer a infraestrutura corporativa. A segurança do domínio deve ser levada tão a sério quanto qualquer outra forma de segurança cibernética. ”
Isso porque os bandidos estão constantemente inventando novos truques para aumentar sua capacidade de causar danos. Um sequestro de DNS executado com sucesso serve como um portal para a rede, desencadeando campanhas de phishing para roubar credenciais, conduzir vigilância e realizar outros esquemas cibernéticos.
Para estabelecer contramedidas de forma eficaz, as organizações devem se comprometer com as duas respostas a seguir:
Implementando defesa em profundidade. Este não é um conceito “novo” ou revolucionário. No entanto, as empresas não estão aplicando defesa em profundidade à proteção de nomes de domínio - e precisam. Uma abordagem de defesa em profundidade formidável requer a implementação coordenada de políticas em várias camadas que levem à incorporação de domínio seguro, DNS e práticas de certificação digital. Isso inclui o controle de permissão de usuário e implantação de autenticação de dois fatores, validação de IP e gerenciamento de identidade federada para qualquer pessoa que busque acesso ao domínio ou sistemas DNS.
Além disso, um programa robusto de defesa em profundidade aproveita o bloqueio do registro, extensão de segurança do sistema de nome de domínio (DNSSEC) e autenticação, relatório e conformidade de mensagem baseada em domínio (DMARC). Por meio de um bloqueio de registro, o registrador confirma quaisquer alterações solicitadas com o proprietário do domínio, para eliminar alterações não autorizadas e potencialmente arriscadas no domínio.
Usando criptografia e chaves, o DNSSEC identifica e bloqueia dados DNS maliciosos, verificando assinaturas digitais nos dados - as assinaturas devem corresponder àquelas armazenadas nos servidores DNS principais para continuar. O DMARC garante autenticação de e-mail, com remetentes e destinatários compartilhando informações para verificar se uma determinada mensagem está vindo de um remetente legítimo. Isso evita que hackers sequestrem um domínio de e-mail corporativo e, em seguida, lancem spoofing e golpes de phishing.
Criação de um conselho C-suite. No universo hacker, os criminosos ganham vantagem sobre as vítimas pretendidas, compartilhando informações e recursos rotineiramente em fóruns para continuar inovando. As empresas precisam fazer o mesmo. É por isso que, mais do que nunca, é fundamental estabelecer o que podemos chamar de Conselho de Segurança de Domínio, no qual o CISO de uma empresa colabora com outros membros C-suite para identificar e monitorar continuamente as práticas e procedimentos de segurança de domínio. O grupo também deve desenvolver e concordar com um conjunto de KPIs para medir continuamente o progresso.
Em primeiro lugar, isso incluiria certificar-se de que a segurança do domínio é um componente de risco observado no registrador de risco da organização, o que traz esse importante ponto cego de segurança para as discussões mais importantes que a organização conduz sobre risco.
A segunda etapa para medir o progresso seria definir metas e prioridades para melhorar sua postura de segurança de domínio com base em uma abordagem de defesa profunda em várias camadas. Isso inclui a avaliação do número de domínios vitais que sua organização bloqueou continuamente. Além disso, você pode monitorar alterações nas permissões do usuário ou permissões elevadas, o perfil de risco dos provedores de DNS e SSL / TLS, junto com outras métricas de segurança que mostram domínios vitais que não utilizam DNSSEC ou autenticação de e-mail (SPF, DKIM, DMARC).
Por último, o Conselho de Segurança de Domínio precisará se manter atualizado sobre o cenário atual de ameaças digitais. Eles podem fazer isso estabelecendo uma cadência de monitoramento de novas ameaças e atualizando o C-suite na forma de relatórios de inteligência de ameaças. Os malfeitores estão continuamente encontrando novas maneiras de se infiltrar nas redes para fins ilegais. O Conselho de Segurança de Domínio deve ser responsável por atualizar a empresa sobre como isso está acontecendo e avaliar o risco.Mais informações:https://www.helpnetsecurity.com/2020/09/01/how-to-protect-your-enterprise-from-dns-hijacking/
Comentários
Postar um comentário