Комментарии 19
Фишинговые домены построенные на базе typosquatting это атака на клиентов. Причем у них вообще может не быть каких-либо инструментов защиты, единственной действенной защитой в данном случае будет только их оперативное разделегирование фишинговых доменов. Просить клиентов использовать Cisco OpenDNS в качестве DNS серверов кажеться мало перспективным. Поправите пожалуйста если я ошибаюсь.
Функционал упомянутый в статье есть также в Bot-Treck intellegence от Group-IB, но там возможности больше, они также ищут фишинг по использованию фирменных логотипов и др.
Расскажите пожалуйста в чем преимущества описанного выше решения от Cisco от аналогичных решений ваших конкурентов и кого вы рассматриваете в качестве основных конкурентов.
Функционал упомянутый в статье есть также в Bot-Treck intellegence от Group-IB, но там возможности больше, они также ищут фишинг по использованию фирменных логотипов и др.
Расскажите пожалуйста в чем преимущества описанного выше решения от Cisco от аналогичных решений ваших конкурентов и кого вы рассматриваете в качестве основных конкурентов.
В заметке описывается не совсем средство блокирования, а средство расследования (не Umbrella, а Investigate). Для того, чтобы разделегировать домен, его надо найти. Искать и позволяет OpenDNS Investigate. А вот блокировать доступ к ним можно с помощью Umbrella или иного средства (МСЭ, маршрутизатор, средство контроля доступа и т.п.).
Оригинально: OpenDNS — публичный сервис, который многие («некоторые», на самом деле — сервера Гугла 8.8.8.8/8.8.4.4 все же в разы попопулярнее будут) используют вместо ДНС-серверов своего провайдера. Таким образом, через OpenDNS проходят запросы на многие сайты, и в этой базе сделанных запросов OpenDNS дает покопаться, но (следите за руками!) уже не бесплатно (как к нему самому попали эти запросы) а — за деньги!
Самое интересное, что даже из самого факта наличия в кеше того или иного запроса можно сделать некоторый вывод, и расценить это как утечку данных. Правда, как долго база собирается — вопрос, может, там все варианты поддоменов копятся по 5 лет? Пропарсили логи запросов (их же вроде OpenDNS не собирает, или я что-то путаю?)
Но это все мелочи на фоне того, что иные админы не от большого ума, а от лени, делают в ДНС записи вида *.mydomain.com IN A 1.2.3.4 (адрес, конечно, их сервера), что дает возможность получить ответы за запросы не только про mydomain.com, www.mydomain.com, mail.mydomain.com и какой-нибудь cdn.mydomain.com, но и про (без шутки) cisco.mydomain.com, facebook.mydomain.com и прочее — «звездочка» для того и указана, чтобы ни один запрос без ответа не остался.
Чем такая звездочка шикарна для OpenDNS (точнее, для продаванов от Циски) — тем, что такого рода запросы, отправленные через NS-сервера OpenDNS, лягут в ее кеш, а потом позволят построить статистику, что, мол, слово cisco фигурирует в миллиарде фишинговых записей, так что, уважаемые клиенты, без нашего мегасервиса вам никуда.
С другой стороны, идиоты-клиенты всегда будут. Если кто-то вместо https://online.sberbank.ru (у которого даже нет ответа на 80 порту — вместо редиректа на 443 и HSTS-заголовков — что спорно, но выглядит последовательной позицией) умник впечатает https://0nl1ne.sbetbsmj.ru (специально пишу соседние с нужными буквы и цифры сходного написания), а там его встретит фишинг, то это уже юзер, а не банк, имеет ярковыраженные признаки «небезопасности» для себя.
Вот я все жду, как еще простой публичный DNS попробуют продать. Какую еще «корпоративную фичу» в него впилят, чтобы хоть какой-то выхлоп (хотя бы копеечный, по цискиным-то масштабам) с него иметь?
Самое интересное, что даже из самого факта наличия в кеше того или иного запроса можно сделать некоторый вывод, и расценить это как утечку данных. Правда, как долго база собирается — вопрос, может, там все варианты поддоменов копятся по 5 лет? Пропарсили логи запросов (их же вроде OpenDNS не собирает, или я что-то путаю?)
Но это все мелочи на фоне того, что иные админы не от большого ума, а от лени, делают в ДНС записи вида *.mydomain.com IN A 1.2.3.4 (адрес, конечно, их сервера), что дает возможность получить ответы за запросы не только про mydomain.com, www.mydomain.com, mail.mydomain.com и какой-нибудь cdn.mydomain.com, но и про (без шутки) cisco.mydomain.com, facebook.mydomain.com и прочее — «звездочка» для того и указана, чтобы ни один запрос без ответа не остался.
Чем такая звездочка шикарна для OpenDNS (точнее, для продаванов от Циски) — тем, что такого рода запросы, отправленные через NS-сервера OpenDNS, лягут в ее кеш, а потом позволят построить статистику, что, мол, слово cisco фигурирует в миллиарде фишинговых записей, так что, уважаемые клиенты, без нашего мегасервиса вам никуда.
С другой стороны, идиоты-клиенты всегда будут. Если кто-то вместо https://online.sberbank.ru (у которого даже нет ответа на 80 порту — вместо редиректа на 443 и HSTS-заголовков — что спорно, но выглядит последовательной позицией) умник впечатает https://0nl1ne.sbetbsmj.ru (специально пишу соседние с нужными буквы и цифры сходного написания), а там его встретит фишинг, то это уже юзер, а не банк, имеет ярковыраженные признаки «небезопасности» для себя.
Вот я все жду, как еще простой публичный DNS попробуют продать. Какую еще «корпоративную фичу» в него впилят, чтобы хоть какой-то выхлоп (хотя бы копеечный, по цискиным-то масштабам) с него иметь?
Мне кажется вы ошибаетесь. OpenDNS — это название для множества сервисов. Среди них есть и бесплатный защищенный DNS-сервер, который по своему функционалу напоминает аналогичный сервис от Гугла или Яндекса. Есть корпоративный OpenDNS Umbrella, который добавляет к функции защиты еще и функцию анализа и репортинга и настроек под корпоративную политику. Например, можно привязать доступ к AD и показывать все попытки доступа и DNS-запросов уже в привязке к учетным записям AD. В статье же рассматривается сервис OpenDNS Investigate, который предназначен для аналитиков ИБ. Его преимущество в собранной базе данных на протяжении многих лет, к которой и можно обращаться для анализа интересующих доменов. Второе преимущество — использование огромного банка данных DNS-запросов для прогнозирования будущих атак. В таком объеме такой сервис не предлагает никто.
Поэтому, если нужна защита (без настроек) — бесплатный OpenDNS Home. Если нужна защита с тюнингом и репортингом — Umbrella или Secure Internet Gateway. Если нужна аналитика и помощь в проведении расследований — Investigate. Заметка именно про последний сервис.
Поэтому, если нужна защита (без настроек) — бесплатный OpenDNS Home. Если нужна защита с тюнингом и репортингом — Umbrella или Secure Internet Gateway. Если нужна аналитика и помощь в проведении расследований — Investigate. Заметка именно про последний сервис.
Т.е. вы признаете, что Investigate содержит данные не по последним дням, а по многим годам? И это не отключить (т.е. не выбрать, поискать ли "в годовом архиве" или в "недавнем")?
И в этой базе, вот скажите честно, запросы на wildcard записи отфильтрованы?
Потому что во всех остальных случаях это бессмысленный сервис.
Вот запросы в ДНС с привязкой к записям в AD — это технически круто, хотя и (логически) бредово. Я так понимаю, поскольку DNS-запросы не подписываются, сбор этой информации привязан к понимаю, кто и с какого порта коммутатора послал запрос в ДНС, а потом определения, кто авторизовался с этого порта (то же для wifi и для vpn, конечно)?
Поиграться — да. Чтобы это было нужно реально… Ну, да, забавно увидеть, что AD-аккаунт ivanov@company.com спросил у ДНС AAAA-запись для домена www.playboy.com (а тот ему, конечно, ничего не сказал, т.к. по конторской политике отфильтровал все, что заботливые аналитики Циски пометили как домены с нерабочими данными — правда, Хабр куда при этом вписали, в рабочие или в нерабочие?), но что это, по сути, дает?
Ничего, даже такое кто-то да покупает, но, по мне, так это напоминает продажу воздуха.
Я признаю, что база OpenDNS содержит ретроспективные данные за годы. Но использовать для анализа вы можете за любой интервал времени. В заметке показан пример, когда вы анализируете данные за последние сутки. Так что в этом плане варианты гибкие.
Привязка к AD полезна при расследовании инцидентов, когда надо понять, что за пользователь скрывается за адресом 192.168.1.1 или каким-то публичным. Вместо траты времени на связку IP<->AD мы ее получаем автоматически, скоращая время на расследование.
Насчет поиграться тоже не совсем верно. С помощью Investigate я могу понять не только какой пользователь к какому домену пошел, но и пошел ли он к C&C-домену/узлу или он полез к фишинговому сайту и т.д. Для мобильных пользователей, не имеющих защиты на устройстве, очень полезный функционал, который блокирует 93% вредоносов, а именно столько их использует DNS для подгрузки обновлений, утечки данных или получения команд от С&C-серверов. Для корпоративных сетей этот функционал дополняет стандартные функции МСЭ, которые обычно не фильтруют нормально DNS.
Также Investigate дает аналитику возможность предсказывать некоторые атаки. Например, я зафиксировал фишинг с домена fggjhstasjdh.kdjgsjdg.ua. Я анализирую его и понимаю, что он сидит, например, на AS 12345, за которой закреплено еще с пару сотен DGA-доменов, которые пока не использовались ни в одной атаке и просто ждут своего часа. Но я уже заранее знаю, что эти домены вредоносные и просто включаю их в свои черные списки для систем блокирования или пишу регистратору по поводу разделегирования их.
OpenDNS — это не средство фильтрации URL, хотя такой функционал там появился путем интеграции Umbrella и Cloud Web Security (получился Secure Internet Gateway). В статье же рассматривается другой сервис — Investigate.
Привязка к AD полезна при расследовании инцидентов, когда надо понять, что за пользователь скрывается за адресом 192.168.1.1 или каким-то публичным. Вместо траты времени на связку IP<->AD мы ее получаем автоматически, скоращая время на расследование.
Насчет поиграться тоже не совсем верно. С помощью Investigate я могу понять не только какой пользователь к какому домену пошел, но и пошел ли он к C&C-домену/узлу или он полез к фишинговому сайту и т.д. Для мобильных пользователей, не имеющих защиты на устройстве, очень полезный функционал, который блокирует 93% вредоносов, а именно столько их использует DNS для подгрузки обновлений, утечки данных или получения команд от С&C-серверов. Для корпоративных сетей этот функционал дополняет стандартные функции МСЭ, которые обычно не фильтруют нормально DNS.
Также Investigate дает аналитику возможность предсказывать некоторые атаки. Например, я зафиксировал фишинг с домена fggjhstasjdh.kdjgsjdg.ua. Я анализирую его и понимаю, что он сидит, например, на AS 12345, за которой закреплено еще с пару сотен DGA-доменов, которые пока не использовались ни в одной атаке и просто ждут своего часа. Но я уже заранее знаю, что эти домены вредоносные и просто включаю их в свои черные списки для систем блокирования или пишу регистратору по поводу разделегирования их.
OpenDNS — это не средство фильтрации URL, хотя такой функционал там появился путем интеграции Umbrella и Cloud Web Security (получился Secure Internet Gateway). В статье же рассматривается другой сервис — Investigate.
Например, если в написании домена cisco.ru ошибиться и вместо первой буквы «c» набрать стоящую на клавиатуре рядом букву «v»
Может, всё-таки, букву «x»?)
Начинается все со слова «автоматизация» заканчивается все тонной ручной работы и рекламой.
Можно не ждать пока собственный DNS сервер поймает чужие запросы а просто распарсить архивы сканеров scans.io и commoncrawl.org — из них получается суммарно порядка 500 миллионов доменных имен.
У нас ежедневно 80 миллиардов DNS-запросов парсится и в базу помещается еще 18 миллиардов URL. Масштаб имеет значение
Фишка не в масштабе а в том, что сканеры находят ссылки на фишинговые домены и сами фишинговые домены независимо от того, заходит ли юзер на эти домены фактически или нет. То есть у вышеупомянутых сканеров есть шансы найти подозрительные домены до того, как на DNS придет первый запрос по ним. Сканеры могут дополнять логи от DNS.
Так где взять API Key?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Автоматизация поиска клонов сайтов и сайтов-однодневок