O Domain Name Server (DNS) é um dos protocolos mais usados e confiáveis na Internet. No entanto, os atacantes há muito se valem de uma técnica chamada DNS Tunneling para se aproveitarem desse protocolo para ciberataques, desviando o tráfego malicioso das defesas de uma organização. Para reforçar a segurança especificamente sobre o DNS, a Check Point Software lança uma ferramenta alimentada por IA chamada DeepDNS para localizar e bloquear ataques que se aproveitam desse protocolo.
A ferramenta DeepDNS evita cinco vezes mais ataques de DNS zero que soluções DNS tradicionais, detectando 47% mais ataques de DNS em relação a outros fornecedores de segurança. É um dos mais de 40 mecanismos de IA da rede ThreatCloud AI da Check Point Software, também conhecida como “o cérebro” por trás dos produtos e soluções da empresa.
A proteção da Check Point ThreatCloud AI contra DNS Tunneling (tunelamento de DNS que explora o protocolo para esconder Dados em pedidos e respostas DNS) usa um mecanismo avançado, baseado em Dados de aprendizado profundo, para análise de consulta DNS de modo a entender as tentativas de tunelamento. O sensor encaminha a consulta DNS à ThreatCloud AI para análise com lógica de Deep Learning e que responde com uma decisão.
“Embora não seja uma técnica nova, os cibercriminosos, os hacktivistas e os hackers patrocinados pelo Estado continuam usando o DNS Tunneling para escapar das defesas da rede e exfiltrar dados confidenciais. Nós descobrimos que a IA é uma ferramenta útil na identificação e prevenção de ataques de DNS e outros. Esta é uma inovação que proporciona a todos estarem um passo à frente dos ciberataques”, afirma Sergey Shykevich, gerente de grupo de pesquisas da Check Point Research (CPR).
O DNS Tunneling é provavelmente considerado uma relíquia dos primeiros dias da Internet, quando os primeiros firewalls foram implementados e a análise de malware era um pouco mais simples do que é hoje. Embora os atacantes tenham evoluído, usando esteganografia e criptografia para se comunicar por HTTP, o tunelamento do DNS não está obsoleto. Na verdade, os agentes de malware modernos continuam a se envolver no encapsulamento de DNS, como evidenciado pelas infecções do CoinLoader, relatadas pela primeira vez em um extenso relatório da Avira.
A técnica DGA – Domain Generation Algorithm ou Algoritmo de Geração de Domínio – é comumente utilizada por atacantes na primeira comunicação com a infraestrutura de comando e controle (C&C). O DGA significa que o domínio é gerado pelo host infectado e registrado pelo atacantes ao mesmo tempo, ignorando assim os serviços tradicionais de reputação de domínio porque são domínios vistos recentemente. Uma análise mais detalhada da infraestrutura conectada a esses domínios sugere que eles fazem parte de um Canal de backup de DNS usado para infecções por malware CoinLoader.
A ferramenta DeepDNS da Check Point Software é capaz de analisar essas diferenças e evitar que infecte sua rede. As conclusões tiradas pelo DeepDNS são automaticamente enviadas para a Check Point ThreatCloudAI.
Leia nesta edição:
CAPA | TECNOLOGIA
Centros de Dados privados ainda geram bons negócios
TENDÊNCIA
Processadores ganham centralidade com IA
TIC APLICADA
Digitalização do canteiro de obras
Esta você só vai ler na versão digital
TECNOLOGIA
A tecnologia RFID está madura, mas há espaço para crescimento
Baixe o nosso aplicativo