Вчера наткнулся на интересное исследование по экономической ценности решений по инспекции DNS, которые пока незаслуженно не нашли своего места в портфолио служб ИБ. Может быть дело в том, что для таких решений нет требований у регуляторов?
А проблема при этом есть. Как обычно работает вредоносный код? Сначала пользователь заманивается на фишинговый ресурс или легальный, но зараженный сайт (например, evil.example.com), откуда скачивается инсталлятор вредоносного ПО, который в свою очередь соединяется с другим сайтом (например, bigevil.example.net) и подгружает с него основной функционал в виде различных модулей, коих может быть много. При этом вредоносный код может коммуницировать с командным сервером, расположенным на третьем сайте, например, cc.example.org.
Задача средств инспекции DNS заключается именно в том, чтобы выявлять попытки обращения к таким доменам и блокировать. Реализовано это может быть как надстройка над МСЭ или как расширение DNS-сервиса. В первом случае это более привычное решение, но которое оставляет беззащитными мобильных пользователей и устройства, которые не "ходят" в Интернет через МСЭ. Второй вариант позволяет вам охватить гораздо большее количество устройств, но он находится вне зоны вашего контроля (как и любое облачное решение). С точки зрения обнаружения вредоносных доменов используется также два подхода - привычный и продвинутый. В первом случае блокируются известные "плохие" домены, а во втором - анализируется также поведение доменов, ранее непопадавших в черные списки.
По данным Cisco, 92% всех вредоносов используют DNS как канал для получения обновлений, коммуникаций с командными серверами и т.п. Авторы исследования пошли дальше и проанализировали базу Verizon DBIR за 5 лет, содержащую 11079 подтвержденных взломов. Оказалось, что в трети из них (в 3668) смогли бы помочь средства инспекции DNS и не допустить совершения инцидента. Дальше авторы попробовали оценить сумму предотвращенных потерь и их результаты показывают, что эта сумма составляет около 10 миллиардов долларов США за 5 лет по известным инцидентам. Если посмотреть на общую картину по киберпреступлениям, то согласно оценкам, в 2018 в мире ущерб от них составил от 445 до 600 миллиардов долларов. Дальше авторы делают очень интересное предположение, что средства инспекции DNS могут помочь бороться с третью всех этих киберпреступлений, то есть они могут спасти от 115 до 200 миллиардов долларов в год.
Последнее допущение конечно вызывает вопросы, но вот то, что треть совершенных уже взломов можно было бы предотвратить с помощью решений по мониторингу DNS само по себе интересно. Есть о чем подумать в контексте перспективности этого подхода.
И возвращаясь к теме экономической ценности, которая упомянута в названии отчета. Увы. Отчет про эту тему говорит достаточно мало, приравнивая к эффективности стоимость потенциально предотвращенных потерь в целом по рынку, что далеко от того, что понимается под эффективностью.
А проблема при этом есть. Как обычно работает вредоносный код? Сначала пользователь заманивается на фишинговый ресурс или легальный, но зараженный сайт (например, evil.example.com), откуда скачивается инсталлятор вредоносного ПО, который в свою очередь соединяется с другим сайтом (например, bigevil.example.net) и подгружает с него основной функционал в виде различных модулей, коих может быть много. При этом вредоносный код может коммуницировать с командным сервером, расположенным на третьем сайте, например, cc.example.org.
Задача средств инспекции DNS заключается именно в том, чтобы выявлять попытки обращения к таким доменам и блокировать. Реализовано это может быть как надстройка над МСЭ или как расширение DNS-сервиса. В первом случае это более привычное решение, но которое оставляет беззащитными мобильных пользователей и устройства, которые не "ходят" в Интернет через МСЭ. Второй вариант позволяет вам охватить гораздо большее количество устройств, но он находится вне зоны вашего контроля (как и любое облачное решение). С точки зрения обнаружения вредоносных доменов используется также два подхода - привычный и продвинутый. В первом случае блокируются известные "плохие" домены, а во втором - анализируется также поведение доменов, ранее непопадавших в черные списки.
По данным Cisco, 92% всех вредоносов используют DNS как канал для получения обновлений, коммуникаций с командными серверами и т.п. Авторы исследования пошли дальше и проанализировали базу Verizon DBIR за 5 лет, содержащую 11079 подтвержденных взломов. Оказалось, что в трети из них (в 3668) смогли бы помочь средства инспекции DNS и не допустить совершения инцидента. Дальше авторы попробовали оценить сумму предотвращенных потерь и их результаты показывают, что эта сумма составляет около 10 миллиардов долларов США за 5 лет по известным инцидентам. Если посмотреть на общую картину по киберпреступлениям, то согласно оценкам, в 2018 в мире ущерб от них составил от 445 до 600 миллиардов долларов. Дальше авторы делают очень интересное предположение, что средства инспекции DNS могут помочь бороться с третью всех этих киберпреступлений, то есть они могут спасти от 115 до 200 миллиардов долларов в год.
Последнее допущение конечно вызывает вопросы, но вот то, что треть совершенных уже взломов можно было бы предотвратить с помощью решений по мониторингу DNS само по себе интересно. Есть о чем подумать в контексте перспективности этого подхода.
И возвращаясь к теме экономической ценности, которая упомянута в названии отчета. Увы. Отчет про эту тему говорит достаточно мало, приравнивая к эффективности стоимость потенциально предотвращенных потерь в целом по рынку, что далеко от того, что понимается под эффективностью.
0 коммент.:
Отправить комментарий