Разработчики: | BI.Zone (Безопасная Информационная Зона, Бизон) |
Дата последнего релиза: | 2024/11/14 |
Технологии: | ИБ - Межсетевые экраны |
Содержание |
Основная статья: Межсетевой экран (Firewall)
BI.ZONE Secure DNS - услуга на базе собственной разработки по поиску и блокировке опасных доменов, фишинга, попыток эксфильтрации данных, DNS-туннелей, вредоносного ПО, командных серверов (C&C), а также алгоритмически сгенерированных доменов (DGA).
2024
Поддержка cookie-файлов для повышения безопасности DNS-транзакций
Вышло обновление BI.ZONE Secure DNS. Об этом BI.Zone сообщила 14 ноября 2024 года.
Данная версия сервиса предоставляет больше механизмов для контроля DNS-трафика, в том числе списки перенаправления и мониторинга, а также поддержку cookie-файлов для повышения безопасности DNS-транзакций. Кроме того, теперь политиками фильтрации можно управлять не только при помощи API, но и через личный кабинет.
По данным BI.ZONE, почти 80% компаний не отслеживают DNS-трафик, что дает злоумышленникам возможность проводить длительные и трудно обнаруживаемые атаки. Преступники могут воспользоваться этой слепой зоной, чтобы украсть данные, доставить вредоносное ПО или перенаправить пользователей на фишинговые ресурсы.
Эффективно выстроенная защита DNS-трафика помогает организации заблокировать атакующим доступ в ее ИТ-инфраструктуру и в целом заметно укрепить безопасность. При разработке обновлений мы поставили цель: сделать отслеживание трафика еще более прозрачным и управляемым. Так мы ответили на запрос самих клиентов: теперь у них есть больше возможностей настраивать решение под свои задачи кибербезопасности, — рассказал Дмитрий Царев, руководитель управления облачных решений кибербезопасности BI.ZONE. |
Добавили список перенаправления и список мониторинга. Ранее DNS-фильтрация основывалась только на белых и черных списках. Теперь за счет более точечных настроек клиент может не только блокировать или разрешать переход на определенные ресурсы, но и перенаправлять пользователя на другой IP-адрес либо отслеживать и сохранять информацию о запросах, не предпринимая при этом никаких действий.
Разработали механизм перенаправления в рамках фильтрации по веб-категориям. Если сотрудник обращается к нежелательному сайту из категории, к которой компания запретила доступ (сайты с азартными играми, социальные сети и т. п.), механизм позволяет не блокировать запрос, а перенаправлять его на другой ресурс. Например, на страницу с информацией о блокировке.
Добавлена поддержка DNS-cookies. При обращении к авторитативному серверу решение само выставляет значение DNS-cookies и таким образом обеспечивает дополнительную защиту от DNS-спуфинга. Это помешает злоумышленнику реализовать атаку и подменить результат разрешения доменного имени.
В 2 раза увеличена производительность ядра сервиса. Таким образом, увеличилось количество обрабатываемых DNS-запросов.
Добавлен механизм инвалидации записей в DNS-кеше. Это нужно для того, чтобы вовремя очищать данные в кеше второго уровня. Таким образом повышается достоверность данных в случае внештатных ситуаций.
Ускорен процесс получения данных с BI.ZONE Threat Intelligence — портала с информацией об актуальных киберугрозах. Оптимизировали механизм получения идентификаторов компрометации (IoC). Теперь вместо массовых единичных запросов, содержащих требующий проверки домен, BI.ZONE Secure DNS делает один запрос по всем доменам, которые пришли в единицу времени. Таким образом, сократили время проверки и нагрузку на обе системы.
Уменьшена задержка передачи информации об актуальных угрозах. Добавлена возможность передавать эту информацию между облачным и клиентским узлом, используя расширение протокола DNS — EDNS0. В итоге быстрее принимается решение: блокировать или пропустить запрос на стороне узла заказчика.
Оптимизирована передача информации через протокол DNS-over-HTTPS (DoH). В данной версии улучшен механизм буферизации сообщений — теперь взаимодействие через DoH стало более стабильным.
Пользователи теперь могут управлять политиками фильтрации BI.ZONE Secure DNS прямо в личном кабинете. В частности, настраивать механизмы обнаружения и блокирования DNS-туннелей, сгенерированных алгоритмом доменов (DGA), перепривязывания DNS (DNS rebinding), а также управлять черными и белыми списками и модулем интеграции с BI.ZONE Threat Intelligence. Ранее это было возможно только при помощи API.
Обнаружение DGA
Обновленная версия BI.ZONE Secure DNS предоставляет пользователям расширенные возможности для контроля DNS-трафика, включая обнаружение DGA (domain generation algorithm), а также усовершенствованную функциональность личного кабинета. Это позволяет повысить видимость трафика и облегчить управление безопасностью. Об этом разработчик решения сообщил 10 июня 2024 года.
Одна из ключевых проблем кибербезопасности — сетевые угрозы через протоколы системы доменных имен (DNS). Несмотря на то что эта система критична для работы большинства организаций, 79% компаний, по данным BI.ZONE, не отслеживают DNS-трафик, из-за чего образуется слепая зона в защите.
Мы стремимся создать инструмент, который позволяет взглянуть на DNS-трафик с разных сторон: как с точки зрения безопасности компании, так и с точки зрения общего контроля того, что происходит в ИТ-инфраструктуре. Наше намерение отражено в новой версии BI.ZONE Secure DNS: точность выявления DGA-доменов в 96% случаев помогает эффективнее обнаруживать связь между зараженными устройствами и управляющим сервером злоумышленника, а расширенная аналитика в личном кабинете решения позволяет проще находить теневые IT и аномальные активности, — отметил Дмитрий Царев, руководитель управления облачных решений кибербезопасности BI.ZONE. |
Внедрение нового метода обнаружения DGA. Он позволяет определять сложные техники генерации доменов и детектировать активность злоумышленников. Это происходит благодаря специально разработанному механизму, в основе которого лежит машинное обучение на базе 100 различных утилит и фреймворков C2 (command and control), а также серии тестов на вредоносном ПО.
Доработка алгоритмов обнаружения DNS-туннелей. Обновление предотвращает риск кражи данных через DNS-туннели, которые задействуют особенности EDNS0 — расширения протокола DNS. В разработке мер против этого нового вектора атаки участвовала команда анализа защищенности BI.ZONE. Также расширился список утилит, чьи DNS-туннели детектирует и блокирует BI.ZONE Secure DNS: добавились Sliver, Pupy RAT, Metasploit, White Snake и еще более 10 программ.
Внедрение системы журналирования DNS-запросов. Данная функциональность позволяет пользователям не только контролировать посещаемые веб-ресурсы, но и отслеживать информацию об атаках и прочей подозрительной активности.
Разработка публичных API. Теперь пользователям доступна как аналитика, так и управление настройками сервиса. В обновленной версии это реализовано при помощи вызова API-функций.
Создание личного кабинета для локальной версии поставки решения. Он позволяет работать с сервисом и просматривать статистику в удобном интерфейсе. Обновление соответствует требованиям к полной on-prem-интеграции со стороны многих компаний, включая государственные организации и банки.
Время разрешения доменных имен снизилось до 5–10 миллисекунд благодаря внедрению принципа single responsibility для компонентов BI.ZONE Secure DNS. А время проверки безопасности доменных имен сократилось до 20 миллисекунд за счет улучшенной интеграции с BI.ZONE Threat Intelligence — порталом данных об актуальных киберугрозах . Это же позволило увеличить производительность решения втрое и обеспечить еще большую отказоустойчивость. Кроме того, обновление ликвидирует угрозу, связанную с DDoS-атаками из-за ошибки в DNSSEC — пакете расширений безопасности протокола DNS.
Заказчик | Интегратор | Год | Проект |
---|---|---|---|
- Страховой Дом ВСК (Группа ВСК) | BI.Zone (Безопасная Информационная Зона, Бизон) | --- |
Подрядчики-лидеры по количеству проектов
Softline (Софтлайн) (144)
ESET (ИСЕТ Софтвеа) (65)
Инфосистемы Джет (64)
ДиалогНаука (56)
Информзащита (40)
Другие (1190)
Смарт-Софт (Smart-Soft) (5)
Национальный аттестационный центр (НАЦ) (4)
Card Security (Кард Сек) (4)
R-Vision (Р-Вижн) (4)
Softline (Софтлайн) (4)
Другие (72)
Солар (ранее Ростелеком-Солар) (8)
А-Реал Консалтинг (6)
Softline (Софтлайн) (3)
TUV Austria (2)
Сторм системс (StormWall) (2)
Другие (55)
Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров
Лаборатория Касперского (Kaspersky) (22, 169)
ESET (ИСЕТ Софтвеа) (11, 79)
Positive Technologies (Позитив Текнолоджиз) (13, 68)
Смарт-Софт (Smart-Soft) (5, 47)
Доктор Веб (Dr.Web) (7, 45)
Другие (715, 493)
Смарт-Софт (Smart-Soft) (1, 5)
R-Vision (Р-Вижн) (1, 4)
Ngenix (Современные сетевые технологии, ССТ) (2, 3)
Positive Technologies (Позитив Текнолоджиз) (2, 3)
Trend Micro (2, 3)
Другие (13, 12)
Солар (ранее Ростелеком-Солар) (3, 7)
А-Реал Консалтинг (3, 6)
Positive Technologies (Позитив Текнолоджиз) (3, 4)
Лаборатория Касперского (Kaspersky) (2, 4)
АМТ-Груп (AMT Group) (1, 1)
Другие (12, 12)
UserGate, Юзергейт (ранее Entensys) (3, 8)
Лаборатория Касперского (Kaspersky) (1, 3)
Киберпротект (ранее Акронис-Инфозащита, Acronis-Infoprotect) (1, 3)
А-Реал Консалтинг (1, 2)
Крок Облачные сервисы (1, 1)
Другие (6, 6)
UserGate, Юзергейт (ранее Entensys) (6, 9)
Positive Technologies (Позитив Текнолоджиз) (4, 5)
ИВК (1, 4)
Cloud4Y (ООО Флекс) (1, 1)
X-Labs (Икс Лабз) (1, 1)
Другие (4, 4)
Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)
Kaspersky Endpoint Security - 81 (81, 0)
ESET NOD32 Business Edition - 51 (51, 0)
Dr.Web антивирус - 48 (12, 36)
MaxPatrol SIEM - 35 (33, 2)
Kaspersky Enterprise Space Security - 34 (34, 0)
Другие 561
Смарт-софт: Traffic Inspector Next Generation - 5 (5, 0)
R-Vision SGRC Центр контроля информационной безопасности (ЦКИБ) - 4 (4, 0)
FortiOS - 3 (0, 3)
StormWall: Многоуровневая распределенная система фильтрации - 2 (2, 0)
Ngenix Облачная платформа - 2 (2, 0)
Другие 11
Kaspersky Endpoint Security - 3 (3, 0)
Solar JSOC - 3 (3, 0)
А-Реал Консалтинг: Интернет-шлюз ИКС - 3 (3, 0)
Solar MSS - 3 (3, 0)
MaxPatrol SIEM - 2 (2, 0)
Другие 19
UserGate UTM - 4 (4, 0)
Kaspersky Endpoint Security - 3 (3, 0)
Кибер Инфраструктура (ранее Acronis Инфраструктура) - 3 (3, 0)
UserGate C-серия Межсетевые экраны - 3 (3, 0)
А-Реал Консалтинг: Межсетевой экран ИКС - 2 (2, 0)
Другие 7
ИВК Кольчуга - 4 (4, 0)
UserGate UTM - 3 (3, 0)
UserGate E-серия Межсетевые экраны - 2 (2, 0)
UserGate VE-серия Виртуальные межсетевые экраны - 2 (2, 0)
UserGate Next-Generation Firewall (NGFW) - 2 (2, 0)
Другие 12