Обновление направлено на оперативное выявление одного из наиболее скрытных и опасных каналов утечки данных и командного взаимодействия — передачи информации через DNS-протокол.
Система теперь автоматически анализирует трафик на уровне DNS и блокирует потенциальную угрозу в течение 10 минут с момента первого запроса. Это позволяет значительно сократить время реакции на инциденты и минимизировать риски.
Ключевые критерии, используемые при детектировании
- Типы DNS-записей. Особое внимание уделяется записям TXT, CNAME, SRV, OPT и NULL — именно эти типы часто используются при организации DNS-туннелей.
- Структура доменов. Система анализирует длину и энтропию доменных имён. Избыточно длинные или подозрительно сложные домены могут быть признаком маскировки туннеля.
- Аномальная частота запросов. Всплески активности к определённым доменам фиксируются и автоматически классифицируются.
- Размер DNS-ответов. Крупные ответы дополнительно проверяются на предмет передачи скрытой информации.
Дополнительно мы очищаем поля EDNS в DNS-ответах, устраняя возможность его использования для скрытой передачи команд или в рамках DDoS-атак.
Почему это важно
- DNS-туннели легко внедрить, так как злоумышленники не изобретают велосипед, а используют готовые open-source решения.
- DNS-туннели могут “добраться” до сегментов вашей сети даже без доступа в интернет.
- DNS-туннель может быть развернут внутри вашей сети злоумышленником или заражённым устройством интернет.
- Вы не узнаете о них из стандартного антивируса, NGFW или SIEM, если не мониторите сам DNS-трафик.
Доступность функции
- Блокировка категории DNS-туннелирования доступна только на тарифе «Бизнес+».
- Клиенты тарифа «Бизнес+» получают доступ к новой функции автоматически — блокировка уже активна.
- Активным пользователям тарифа «Бизнес+» нужно связаться со своим менеджером для подключения функции.
SkyDNS продолжает совершенствовать механизмы защиты, обеспечивая надежное выявление даже тех угроз, которые остаются незаметными для большинства классических решений.
