Облачные среды подвержены утечке данных: что известно о риске?
Что такое DNS-туннелирование, эксфильтрация данных и их обнаружение в облачных средах.
Облачные среды особенно подвержены риску атак с использованием DNS-туннелирования. И новые исследования показывают, что в последние годы облачные сервисы становятся все более популярными благодаря высокой гибкости, масштабируемости и экономической эффективности, которые они обеспечивают.
Что такое DNS-туннелирование? Это способ передачи данных поверх DNS-протокола, позволяющий киберпреступникам внедрять вредоносное ПО или передавать украденную информацию в DNS-запросы, создавая скрытый канал связи, обходящий большинство межсетевых экранов. Многие облачные провайдеры настаивают на том, что их платформы безопасны. Однако, новое исследование, проведённое Кингстонским университетом, показало, что облачные среды особенно подвержены утечке данных с помощью DNS-туннелирования.
Разберем ситуацию техническим языком:
Используя сервер AWS в качестве «атакующего» и сервер Google в качестве «жертвы», исследователям удалось создать DNS-туннель несмотря на то, что внутренний облачный межсетевой экран блокировал порт 53. Исследование приписало это локальному серверу метаданных, который разрешал внутренние и внешние DNS-запросы независимо от каких-либо правил межсетевого экрана.
Эксперты по кибербезопасности компании DNSSense, специализирующейся на анализе DNS запросов с использованием механизмов искусственного интеллекта рассказывают, как можно защититься от таких сложных атак как DNS-туннелирование.
«К сожалению, ситуация для большинства пользователей крайне неутешительная. Традиционные средства защиты, такие как NGFW, имеют крайне ограниченную возможность по детектированию DNS-туннелирования. В рамках используемых ими инструментов (сигнатурный анализ, поведенческий анализ или списки репутаций/CTI) можно обнаружить в лучшем случае только туннели созданные широко известными инструментами типа Iodine.
Задачу по созданию универсального эффективного подхода можно решить, исключительно имея в наличии информацию обо всех существующих и существовавших в каком-то обозримом прошлом зарегистрированных доменов. Крайне важно иметь информацию об их атрибутах, в том числе субдоменах, а также инструментарий, способный обработать столь большой объём информации. Именно эти причины стали предпосылками к созданию решений DNSSense на базе технологий машинного обучения и нейросетей ещё в 2016 году», – комментирует Олег Котов, технический консультант DNSSense.