Neste exato momento em que lê este artigo, você pode estar sendo atacado ou sua rede pode estar infectada. Não acredita? Segundo um relatório de segurança realizado pela Cisco, 100 por cento das redes analisadas pela empresa de networking contém tráfego suspeito para websites que hospedam malwares. Apesar de utilizarem firewalls de última geração, ferramentas robustas de segurança, muitas organizações têm APTs e/ou malwares em suas redes e não conseguem nem identificá-los.
Com o crescimento da mobilidade, do Bring Your Own Device, as ameaças entram pela porta da frente de sua rede, passando limpo pelo sistema de segurança e deixando os administradores de mão atadas. Com isso 75 por cento das empresas tem pelo menos um bot rodando em background dentro de sua LAN. Para resolver esse problema, a Infoblox conta com a ferramenta de DNS Firewall, que identifica e previne infecções ocasionadas por ataques. Neste artigo iremos apresentar a solução ao leitor, demonstrando as características e ganho com o uso.
Como funciona?
Basicamente, seu funcionamento consiste em garantir que consultas DNS com conteúdo infectado sejam executadas dentro da rede, prevenindo que o botnet trabalhe. Todos os malwares são registrados (logados) no Infoblox podendo ser descobertos por meio de relatórios que o NIOS disponibiliza. São enviados ao cliente contaminado alertas de que o mesmo está infectado. O Infoblox DNS Firewall de tempos em tempos consulta uma base de conhecimento para identificar novas ameaças, que segundo o gráfico, são criadas diariamente:
Imagem 1 – Novos Malwares
Segue abaixo uma amostra do funcionamento e da arquitetura do Infoblox DNS Firewall:
Imagem 2 – Funcionamento DNS Firewall
Essa base de conhecimento é dinâmica e atualizada e o seu funcionamento é bem simples. Quando os experts Infoblox detectam uma nova ameaça, eles atualizam a base e enviam real-time para todos os clientes, prevenindo contra ataques não conhecidos. Se um usuário tentar clicar ou ir a um site que contém malware, a tentativa será bloqueada pelo DNS Firewall e redirecionada a uma página informando que o site não é confiável.
Em casos de usuários já infectados, o Infoblox irá bloquear qualquer tentativa de comunicação[LS1] com botnet master. Todas essas atividades serão registradas em syslog, podendo ser criados relatórios para gestão posterior.
Integração com FireEye
Para melhorar ainda mais a solução a Infoblox se juntou à FireEye, empresa de detecção de ameaças, deixando a solução ainda mais robusta. Basicamente o FireEye fica monitorando toda a rede à procura de malwares e assim que alguma ameaça é identificada, ele imediatamente aciona o Infoblox, bloqueando a ação. Com isso, a identificação de vírus ganha um tempo considerável em relação à arquitetura convencional.
Imagem 3 – FireEye
A FireEye é bem difundida na América do Norte, sendo uma das líderes do mercado no ramo de atuação. Com o uso de seu appliance, clientes ganham tempo na mitigação e detecção de ameaças e com a integração com o Infoblox a ferramenta de segurança de DNS se torna extremamente potente. Segue abaixo uma imagem demonstrando o funcionamento:
Imagem 4 – FireEye
Neste artigo foi demonstrada a funcionalidade de DNS Firewall da Infoblox, listado os seus ganhos e benefícios e também a possibilidade de integração com o FireEye.