Cos'è la sicurezza DNS?

La sicurezza DNS tiene a bada i criminali informatici e i loro domini dannosi applicando metodi di crittografia, autenticazione e threat intelligence.

Perché è necessaria la sicurezza DNS? In gran parte a causa del ruolo centrale e chiave che i DNS Services rivestono nelle comunicazioni moderne. Il DNS funge da "rubrica telefonica" (o elenco di directory) di Internet e aiuta ad abbinare le richieste di dominio agli indirizzi IP.

Per avere davvero un'idea di quanto sia essenziale questa attività, basta considerare quante volte è probabile che ci servano questi servizi di ricerca durante una giornata tipica. Moltiplicando questa cifra per rappresentare settimane, mesi e anni, si vede chiaramente quanto sia costante e continua questa attività nell'informatica moderna.

Il DNS è anche un'attività ricca di indirizzi IP, ovvero dati potenzialmente preziosi e sensibili. Inoltre, la tecnologia DNS-layer presenta diverse vulnerabilità che la espongono a varie forme di attacchi informatici.

I criminali informatici sono entità che dispongono dei mezzi per eseguire attacchi informatici o altre azioni dannose. Chi sono questi individui o gruppi? Al giorno d'oggi, le possibilità non mancano:

• Hacker che sperano di ottenere ingenti riscatti dalle vittime.

• Fazioni politiche motivate da un risentimento.

• Disruptor senza alcuna apparente motivazione filosofica.

• Attività terroristiche sponsorizzate da stati canaglia.

Ciò che veramente spaventa di tutti questi potenziali trasgressori è la capacità di nascondere la propria identità, violando invece spietatamente le identità altrui.

Gli attacchi potrebbero provenire da qualsiasi luogo in cui i fornitori di servizi offrono il Wi-Fi: da singoli che operano da un seminterrato residenziale in fondo alla tua strada, a gruppi di criminali informatici dedicati che operano in luoghi nascosti in tutto il mondo. Questa capacità di mascheramento superiore li protegge molto, evitandone l'individuazione e consentendo loro di continuare a mettere in atto i loro piani nefasti.

La sicurezza DNS si basa su quattro processi di cybersecurity indipendenti.

I principali benefici derivanti dal rispetto dei principi generali della sicurezza DNS sono una maggiore sicurezza e una maggiore privacy, come dimostrato dai seguenti punti.

Gli attacchi Distributed Denial-of-Service (DDoS) sono progettati per sabotare il normale flusso di traffico DNS. Inondano l'obiettivo con una quantità talmente elevata di traffico web da intasare completamente il sistema.

Immagina di essere completamente sopraffatto, come se gestissi una piccola tavola calda all'angolo della strada e all'improvviso arrivassero migliaia di clienti affamati che chiedono tutti di essere serviti in quel momento. Gli attacchi DDoS funzionano allo stesso modo, grazie alla loro enorme potenza numerica.

Ci sono anche attacchi di amplificazione DNS, che violano la sicurezza della rete utilizzando server DNS aperti e disponibili per amplificare il traffico, il tutto nella speranza di sopraffare uno specifico servizio o dominio Internet. (Si parla di botnet quando molti computer compromessi vengono utilizzati in questo modo). Gli attacchi di amplificazione utilizzano un indirizzo IP di origine contraffatto (che appartiene alla vittima designata) per indirizzare enormi quantità di traffico di rete indesiderato verso quella vittima.

La sicurezza DNS contrasta gli attacchi DDoS in vari modi. Innanzitutto, la sicurezza DNS impone l'uso di firme digitali come requisito per l'accettazione dei trasferimenti di dati DNS. Utilizza anche il rilevamento delle anomalie per individuare minacce DNS uniche, usando algoritmi basati sull'AI.

Un altro metodo, la limitazione della velocità, limita il numero di richieste DNS che un singolo cliente può effettuare, in base al tempo trascorso. La convalida delle zone DNS prevede che solo i record DNS confermati e validi possano unirsi al normale flusso di traffico DNS.

Per creare un DNS veramente sicuro, è essenziale che questo si allinei e supporti l'ideale di cybersecurity zero-trust, ovvero "non fidarsi mai, verificare sempre”. Ciò significa che l'accesso non è consentito a nessuna risorsa (per quanto insignificante possa sembrare) senza che l'identità del richiedente sia prima verificata e poi autorizzata.

Le aziende che adottano appieno l'ideale zero trust hanno molti punti in comune, come riportato in un rapporto sulla sicurezza zero-trust dell'IBM Institute for Business Value. In questo rapporto vengono analizzati gli "zero trust pacesetters" e le azioni specifiche che circa il 23% delle aziende adotta per trarre beneficio dai principi pratici del modello zero-trust.

I resolver DNS svolgono un ruolo chiave nell'applicazione dei principi pratici zero-trust. I resolver agiscono come intermediari. Quando un utente richiede un determinato sito web, il resolver DNS gestisce la richiesta. Esegue quindi la scansione dell'intera infrastruttura DNS ed esamina i server DNS, alla ricerca dell'indirizzo IP corretto.

Se il sistema DNS non riesce a trovare quell'indirizzo IP, i resolver DNS si rivolgono a name server autorevoli all'esterno del sistema. Questi name server forniscono hanno l'ultima parola sull'indirizzo IP ricercato ed emettono un indirizzo IP confermato. Il resolver DNS ricorsivo nasconde quindi quell'indirizzo IP nella cache per conservarlo e accedervi rapidamente la prossima volta che è necessario.

La sicurezza DNS utilizza numerosi servizi e strumenti di sicurezza. I sistemi di rilevamento delle minacce basati su AI forniscono l'automazione. Lo stesso vale per i resolver DNS e altre soluzioni di sicurezza che traggono vantaggio dal machine learning e dai feed di threat intelligence.

Questi sistemi e soluzioni non solo automatizzano i processi necessari, ma controllano anche in modo proattivo il traffico DNS in tempo reale. DNSSEC aiuta anche ad automatizzare i processi di sicurezza proteggendo gli Internet Protocol dagli attacchi tramite dirottamento DNS, phishing e tunneling; questi attacchi informatici possono seriamente far deragliare il traffico DNS e danneggiare l'esperienza dell'utente.

Inoltre, la sicurezza DNS aiuta a proteggere gli oggetti con funzionalità Internet of Things (IoT). La sicurezza DNS protegge i framework IoT in diversi modi, ad esempio impedendo ai dispositivi IoT di interagire con i server di comando e controllo e di essere reclutati come nuove parti dei botnet.

La gestione della cybersecurity è un lavoro a tempo pieno, considerando che gli attacchi DNS sofisticati e in evoluzione sembrano mantenere costantemente la propria capacità di adattarsi. I seguenti tipi di soluzioni di sicurezza DNS vengono utilizzati principalmente per contrastare questi attacchi e migliorare la cybersecurity:

• Firewall DNS: ogni richiesta DNS generata viene bloccata dai firewall di sicurezza, che valutano la richiesta a fronte degli elenchi di indirizzi IP associati a siti web e domini dannosi. I firewall offrono anche protezione contro i tentativi di phishing e malware.

• Rilevamento del tunneling DNS: le attività di tunneling DNS includono l'esfiltrazione dei dati, in cui i malintenzionati tracciano dati riservati e sensibili e li estraggono da una rete o da un sistema mascherandoli come dati trasferiti innocentemente. Un altro tipo di intervento è la comunicazione di comando e controllo, che aiuta a eseguire un dirottamento del DNS.

• Servizi DNS protettivi: i servizi DNS supportano la gestione proattiva della protezione dalle minacce per tenere a bada i siti web dannosi. Ciò avviene valutando le richieste DNS in base ai feed delle minacce e alle policy stabilite.