SecureDNS en Threat Intelligence

Door Lex Crielaars, Chief Technology Officer bij SMT.

 

Threat Intelligence is de verzamelterm voor de verschillende soorten IoC’s, oftewel Indicators of Compromise. IT security organisaties bieden Threat Intelligence streams, vaak commercieel, aan organisaties aan om te helpen in de detectie van Advanced Persistent Threats (APT’s). In de simpelste vorm gaat het om lijsten met IP-adressen en domeinnamen waarvan er reden is om te geloven dat deze gebruikt worden door cybercriminelen voor malafide doeleinden zoals een botnet of voor het verspreiden van malware.

 

Threat Intelligence kan ook bestaan uit de file hashes van bekende programma’s (zoals Mimikatz) die door hackers gebruikt worden of juist de file hashes van virussen, malware en ransomware. Met deze informatie kan endpoint protection software snel en efficient bepalen of deze software ergens op een systeem aanwezig is. De term IoC komt voort uit de aanname dat als een organisatie een IP-adres, URL of file hash uit een Threat Intelligence stream in de infrastructuur detecteert, dat dit een indicator is dat er een security breach gaande is.

 

Wat is SecureDNS?

Om SecureDNS uit te leggen, leggen we eerst ‘normale’ DNS uit. Computers snappen namelijk niets van website adressen. Wanneer u naar een website gaat wordt dit adres omgezet naar het bijbehorende IP-adres, zodat de computer de website kan vinden op het internet. Aangezien mensen doorgaans slecht zijn in het onthouden van IP-adressen, is DNS in het leven geroepen om dit voor ons te doen. Een DNS server zet een domeinnaam, zoals bijvoorbeeld www.smtware.com, om in een IP-adres, zodat u bij onze website kunt komen. Feitelijk wil dit zeggen dat elke verbinding die een computer aangaat met een ander systeem voorafgegaan wordt door een DNS-verzoek. DNS-servers houden al deze verzoeken bij in de logging en zijn hiermee een waardevolle bron voor security use cases. Nadeel is dat het vaak gaat om veel data die moet worden gecontroleerd en daarom is Threat Intelligence een waardevolle toevoeging. Door Threat Intelligence streams met daarin domeinnamen en IP-adressen van malafide afkomst te vergelijken met de daadwerkelijke DNS verzoeken die in uw organisatie plaatsvinden maken we het mogelijk om APT’s tijdig te detecteren.

 

Mnemonic

De koppeling tussen een website adres en IP-adres kan uiteraard verbroken of verhuisd worden.  Ook malafide groeperingen maken hier dankbaar gebruik van om snel malware-verspreidende servers te verhuizen. Zo vissen statische lijsten met “bad IP-addresses” dus achter het net, omdat ze niet snel genoeg bijgewerkt worden. Dit is vaak het verschil tussen gratis Threat Intelligence in tegenstelling tot commercieel verkrijgbare Threat Intelligence.

SecureDNS lost dit probleem op door al uw DNS aanvragen real-time te vergelijken met Threat Intelligence uit mnemonic’s Argus Defence Platform. Argus behandeld dagelijks meer dan 3 miljard events en distilleert hieruit welke IP-adressen en websites wel en niet te vertrouwen zijn. Zo krijgt u de meest up-to-date bescherming voor al uw internetverkeer.

 

Security Information and Event Management (SIEM)

Om Threat Intelligence te correleren met een DNS logging is een SIEM nodig. Splunk Enterprise Security heeft een Threat Intelligence framework al standaard ingebouwd. Dit maakt het mogelijk om Threat Intelligence direct in Splunk te importeren. Vanuit hier zijn er standaard security use cases beschikbaar die het correleren van Threat Intelligence met DNS en web proxy logging voor hun rekening nemen. Wanneer de correlatie een match ziet komt er automatisch een notable event in Enterprise Security waar de SOC analist op kan inzoomen en acteren.

 

Security orchestration, automation & response (SOAR)

Wanneer de SOC analist kan bevestigen dat een domeinnaam of IP-adres daadwerkelijk gebruikt wordt in een hackerscampagne, krijgen we meer opties. Het notable event zal geëscaleerd worden tot een security case en het bijbehorende runbook zal in werking gezet worden. De domeinnaam kan geblokkeerd worden op de web proxy en het IP-adres kan dichtgezet worden op de firewall. Ook kunnen we de DNS-server vertellen dat hij deze specifieke domeinnaam en IP-adres niet meer mag behandelen en alle verzoeken in de prullenbak moet gooien. Dit laatste noemen we een sinkhole. Normaliter zijn dit handmatige acties voor de SOC analist. Executie van het runbook duurt gemiddeld 40 tot 45 minuten en gedurende deze tijd kunnen er meer gebruikers besmet raken. Het automatiseren van dit proces valt in het domein van SOAR waar Splunk Phantom actief in is. Hiermee reduceren we de executie van een runbook tot 60 seconden. Niet alleen is daarmee de SOC analist beduidend efficienter in zijn werkzaamheden maar ook de organisatie is significant sneller beschermd tegen de bedreiging.

 

Combineren

Slimme organisaties maken gebruik van alle middelen die ze tot hun beschikking hebben. SMT helpt u graag bij het aanpakken van deze uitdaging en heeft op het gebied van services en producten de juiste ervaring en middelen om uw digitale weerbaarheid te versterken.

Meer weten? Neem contact op met onze Information Security Experts.

 

Juni 2019