Check Point Software apresenta ferramenta com IA para bloquear ciberataques

O Domain Name Server (DNS) é um dos protocolos mais usados e confiáveis na Internet. No entanto, os atacantes há muito se valem de uma técnica chamada DNS Tunneling para se aproveitarem desse protocolo para ciberataques, desviando o tráfego malicioso das defesas de uma organização. Para reforçar a segurança especificamente sobre o DNS, a Check Point Software lança uma ferramenta alimentada por IA chamada DeepDNS para localizar e bloquear ataques que se aproveitam desse protocolo.

A ferramenta DeepDNS evita cinco vezes mais ataques de DNS zero que soluções DNS tradicionais, detectando 47% mais ataques de DNS em relação a outros fornecedores de segurança. É um dos mais de 40 mecanismos de IA da rede ThreatCloud AI da Check Point Software, também conhecida como “o cérebro” por trás dos produtos e soluções da empresa.

A proteção da Check Point ThreatCloud AI contra DNS Tunneling (tunelamento de DNS que explora o protocolo para esconder Dados em pedidos e respostas DNS) usa um mecanismo avançado, baseado em Dados de aprendizado profundo, para análise de consulta DNS de modo a entender as tentativas de tunelamento. O sensor encaminha a consulta DNS à ThreatCloud AI para análise com lógica de Deep Learning e que responde com uma decisão.

“Embora não seja uma técnica nova, os cibercriminosos, os hacktivistas e os hackers patrocinados pelo Estado continuam usando o DNS Tunneling para escapar das defesas da rede e exfiltrar dados confidenciais. Nós descobrimos que a IA é uma ferramenta útil na identificação e prevenção de ataques de DNS e outros. Esta é uma inovação que proporciona a todos estarem um passo à frente dos ciberataques”, afirma Sergey Shykevich, gerente de grupo de pesquisas da Check Point Research (CPR).

O DNS Tunneling é provavelmente considerado uma relíquia dos primeiros dias da Internet, quando os primeiros firewalls foram implementados e a análise de malware era um pouco mais simples do que é hoje. Embora os atacantes tenham evoluído, usando esteganografia e criptografia para se comunicar por HTTP, o tunelamento do DNS não está obsoleto. Na verdade, os agentes de malware modernos continuam a se envolver no encapsulamento de DNS, como evidenciado pelas infecções do CoinLoader, relatadas pela primeira vez em um extenso relatório da Avira.

A técnica DGA – Domain Generation Algorithm ou Algoritmo de Geração de Domínio – é comumente utilizada por atacantes na primeira comunicação com a infraestrutura de comando e controle (C&C). O DGA significa que o domínio é gerado pelo host infectado e registrado pelo atacantes ao mesmo tempo, ignorando assim os serviços tradicionais de reputação de domínio porque são domínios vistos recentemente. Uma análise mais detalhada da infraestrutura conectada a esses domínios sugere que eles fazem parte de um Canal de backup de DNS usado para infecções por malware CoinLoader.

A ferramenta DeepDNS da Check Point Software é capaz de analisar essas diferenças e evitar que infecte sua rede. As conclusões tiradas pelo DeepDNS são automaticamente enviadas para a Check Point ThreatCloudAI.