Função da segurança em nível de DNS para o SASE

Muitos artigos do setor e meu blog sobre Decifrando a SASE são muito claros sobre os principais componentes da SASE.
No caso da SASE Security, os componentes predominantes discutidos são o Secure Web Gateway (SWG), o Cloud Access Security Broker (CASB), o Zero Trust Network Access (ZTNA) e o Next-Generation Firewall (NGFW).
As funções de segurança nesses componentes são endereço IP, domínio, URL, controle de acesso baseado em reputação de arquivos, antimalware, prevenção de perda de dados, prevenção de intrusão, além de controles de acesso baseados em políticas em vários níveis, incluindo controles de acesso L3/L4, controles de acesso baseados em categorias de URL, controles de acesso no nível da função Software as a Service etc.
Como o Hypertext Transfer Protocol (HTTP) é o protocolo mais comum para acesso a aplicativos da Internet, Software as a Service e até mesmo de empresas, as funções de segurança são descritas no contexto do Hypertext Transfer Protocol em muitos artigos.
Neste artigo, o foco está no protocolo DNS (Domain Name System) e na proteção contra ameaças que pode ser obtida por meio de proxies DNS.
Nós da Aryaka acreditamos que a SASE deve incluir a segurança baseada no DNS. O que é DNS? O DNS é um sistema que converte nomes de domínio legíveis por humanos em endereços IP.
Os computadores se comunicam entre si usando endereços IP, mas os nomes de domínio são mais fáceis de serem lembrados e usados pelos seres humanos.
Quando um usuário digita um nome de domínio em seu navegador para acessar um site ou serviço, o navegador envia uma solicitação de consulta de DNS a um resolvedor de DNS para procurar o endereço IP associado ao nome de domínio.
O resolvedor procura o endereço IP em um banco de dados distribuído chamado hierarquia de DNS e o retorna ao navegador, que então usa o endereço IP para estabelecer uma conexão com o servidor que hospeda o site ou serviço. Segurança via DNS e Segurança de DNS O termo “Segurança de DNS” é normalmente usado para se referir a medidas tomadas para proteger a infraestrutura de DNS da empresa, incluindo servidores de DNS autoritativos e resolvedores de DNS.
“Segurança via DNS” refere-se ao uso do protocolo DNS para proteção contra ameaças e controle de acesso, normalmente por meio de proxies DNS transparentes.
Como o SASE está consolidando vários serviços de segurança de rede em um só, acreditamos que o SASE precisa incluir as funcionalidades “Security via DNS” e “DNS Security”.
Essas duas funcionalidades podem ser realizadas pelo SASE por meio do mecanismo de proxy de DNS.
A parte SD-WAN da SASE pode interceptar o tráfego de DNS e transferi-lo para um proxy de DNS para executar várias funções de segurança.
Um proxy de DNS também precisa atuar como um resolvedor de DNS simples (não recursivo) para enviar as consultas de DNS aos resolvedores/servidores de DNS upstream. Recursos comuns do proxy de DNS SASEGarantia de privacidade: As consultas de DNS geradas por clientes, como aplicativos/navegadores de clientes nativos, não são criptografadas.
Devido a isso, qualquer entidade intermediária que tenha acesso ao tráfego pode ver quais sites estão sendo visitados pelos usuários.
Essa falta de privacidade pode facilitar o rastreamento do comportamento on-line dos usuários por invasores man-in-the-middle.
Como o proxy de DNS no SASE pode entrar em cena antes que as consultas de DNS saiam do limite lógico das empresas, ele pode proteger a privacidade do comportamento on-line dos usuários por meio de DNS sobre TLS e DNS sobre HTTP com resolvedores de DNS upstream.
O proxy de DNS intercepta as consultas de DNS dos clientes e pode encaminhá-las por DNS-over-HTTPS/TLS para os resolvedores de DNS upstream. Garantir a integridade e a autenticação das respostas do DNS: O sistema DNS é construído com base na confiança.
Os clientes de DNS e os resolvedores de DNS confiam na resposta de DNS que recebem dos servidores e resolvedores de DNS upstream.
Se os sistemas de DNS upstream estiverem comprometidos, é possível que os invasores enviem respostas de DNS com os endereços IP do site de seus invasores para os nomes de domínio genuínos.
Isso é chamado de spoofing de DNS ou ataques de envenenamento de cache de DNS.
Os aprimoramentos do DNSSEC (DNS seguro) no protocolo DNS são uma das soluções para impedir a falsificação de DNS.
O DNSSEC protege contra ataques assinando digitalmente os dados de resposta do DNS para ajudar os clientes/resolvedores de DNS a validar a autenticidade dos dados, protegendo assim contra dados de DNS manipulados/falsificados.
No entanto, nem todos os clientes e resolvedores de DNS são capazes de executar o DNSSEC. Os proxies de DNS que se interpõem entre os clientes de DNS e os servidores de DNS upstream podem verificar a validação dos dados usando a funcionalidade DNSSEC. Proteção contra ataques de inundação de DNS: Achei este artigo muito abrangente na descrição de ataques DDoS à infraestrutura de DNS, especificamente ataques de amplificação e reflexão de DNS, que podem sobrecarregar a vítima.
Isso inclui tanto a infraestrutura na qual os servidores/resolvedores de DNS estão sendo executados quanto o próprio serviço de DNS.
Outro tipo de ataque visa esgotar os recursos (CPU e memória).
Exemplos desse tipo incluem ataques de inundação NXDOMAIN e ataques de tortura de água em que o invasor envia as consultas de DNS com domínios e subdomínios inexistentes com rótulos aleatórios.
O SASE, com seu serviço de firewall L3/L4, pode impedir que as respostas de DNS cheguem à vítima se não houver nenhuma consulta de DNS para elas, impedindo efetivamente os ataques de reflexão.
Além disso, o SASE, com seu serviço genérico de limitação de taxa, pode ser usado para restringir o número de consultas por IP/sub-rede de origem, atenuando assim a inundação de serviços de DNS (resolvedores e servidores).
Um proxy de DNS SASE é necessário para a proteção inteligente contra ataques de inundação, inclusive inundações de NXDOMAIN e ataques de tortura de água.
O proxy de DNS SASE atenua esses ataques por meio da limitação da taxa no nível do protocolo de DNS e da detecção de rótulos aleatórios usando métodos de detecção de nomes de domínio anormais. Proteção contra exploits baseados em DNS: As vulnerabilidades e a configuração incorreta da infraestrutura de DNS podem ser exploradas por invasores para comprometer os serviços de DNS.
Quando um serviço de DNS é comprometido, os invasores podem falsificar as respostas do DNS com seus próprios endereços IP.
Alguns exemplos de vulnerabilidades de estouro de buffer incluem a vulnerabilidade TKEY do Bind9 e a vulnerabilidade de estouro de consulta inversa.
Algumas explorações podem ser detectadas verificando a conformidade com as RFCs relevantes.
No entanto, em alguns casos, a carga útil da exploração segue as RFCs, aproveitando as vulnerabilidades na implementação dos serviços de DNS.
A segurança SASE normalmente inclui IDPS (Intrusion Detection and Protection System) que pode ser usado para detectar explorações conhecidas.
Para proteção de dia zero, é importante que o proxy de DNS da SASE verifique a conformidade do protocolo e empregue a detecção de anomalias para identificar conteúdo anormal de carga útil de DNS em comparação com o que é normalmente observado. Controle de acesso e impeça que os usuários visitem sites com má reputação: Conforme descrito na seção “O que é DNS” acima, a consulta de nome de domínio é a primeira etapa quando um usuário visita qualquer site.
A segurança via DNS pode desempenhar uma função importante para impedir que os usuários acessem sites que hospedam malware e conteúdo de phishing.
Muitos fornecedores de inteligência contra ameaças fornecem pontuações de reputação para endereços IP e nomes de domínio.
Essa inteligência pode ser utilizada para bloquear consultas de DNS a nomes de domínios mal-intencionados e impedir respostas de DNS que incluam endereços IP ruins.
A funcionalidade de um proxy DNS da SASE permite a implementação dessa segurança antimalware e antiphishing de primeiro nível para os usuários.
Os proxies de DNS da SASE integram-se a vários fornecedores de inteligência contra ameaças para obter regularmente o banco de dados de reputação de IPs/domínios e filtrar consultas e respostas de DNS que envolvam endereços IP e nomes de domínios mal-intencionados. No entanto, é importante observar que pode haver falsos positivos nos feeds de inteligência contra ameaças, por isso é fundamental garantir que o seu provedor de SASE ofereça o recurso de criar exceções.
Além disso, um proxy de DNS SASE permite que os administradores filtrem nomes de domínio e endereços IP personalizados, o que pode ajudar a impedir que os usuários acessem sites que não estejam alinhados com os interesses da empresa. Proteção contra serviços de DNS upstream comprometidos: Conforme mencionado anteriormente, o DNSSEC pode resolver o problema da validade da resposta do DNS e impedir respostas do DNS com endereços IP falsificados.
No entanto, nem todos os serviços de DNS implementam o DNSSEC.
A detecção de falsificação de DNS a partir de serviços de DNS comprometidos não baseados em DNSSEC é fundamental para evitar que os usuários acessem sites de phishing e malware.
Uma técnica é utilizar vários resolvedores de DNS upstream, comparar as respostas de cada resolvedor e encaminhar a resposta de DNS somente se os resultados forem consistentes.
A funcionalidade de um proxy de DNS SASE permite a verificação cruzada de várias respostas de DNS recebidas de vários resolvedores de DNS upstream.
Ele verifica a consistência entre as respostas e só responde quando a verificação é bem-sucedida.
Como essa abordagem pode introduzir latência adicional às consultas de DNS devido à necessidade de aguardar respostas de vários resolvedores de DNS upstream, é prática comum enviar várias consultas de DNS e realizar a verificação cruzada somente quando o banco de dados de inteligência contra ameaças não tiver uma resposta para os nomes de domínio consultados. Indicadores de comprometimento (IoC): A análise de segurança do tráfego de DNS pode fornecer informações valiosas e indicadores de comprometimento.
Alguns dos insights e IoCs que a segurança do DNS da SASE pode fornecer incluem:

• Nomes de domínios suspeitos usando feeds de inteligência contra ameaças.
• Detecção de tentativas de falsificação de DNS por meio da análise da resposta do DNS, conforme descrito na seção “Proteção contra serviços de DNS upstream comprometidos” e outras técnicas.
• Identificação de códigos de resposta DNS anormais e inesperados, como NXDOMAIN e SERVFAIL.
• Detecção de padrões de consulta incomuns, como um alto volume de solicitações para um determinado domínio ou consultas repetidas com falha.
• Detecção de Domain Generation Algorithms (DGAs) normalmente usados por malware para se comunicar com centros de comando e controle.
• Identificação de redes de fluxo rápido, em que os endereços IP associados a um domínio mudam rapidamente.
  Esse comportamento é comumente observado em sites que hospedam malware.

O proxy de DNS do SASE, o IDPS e os firewalls desempenham um papel importante não apenas na redução dos riscos para os usuários, mas também no fornecimento de informações valiosas por meio dos logs gerados pelo sistema SASE. Resumo Em nossa opinião, a segurança baseada em DNS serve como a primeira linha de defesa tanto para os usuários quanto para a infraestrutura de DNS, pois o DNS é consultado antes que as transações de dados reais ocorram.
A detecção de ataques o mais cedo possível é fundamental para uma segurança eficaz.
Embora a segurança baseada no DNS possa não ser apresentada com destaque em grande parte da literatura atual sobre SASE/SSE, acreditamos firmemente que os serviços de SASE/SSE devem incorporar a segurança baseada no DNS. Confira as postagens anteriores do blog sobre SASE e tópicos de segurança aqui.