DNS-kaprere er fortsat en betydelig trussel, der ikke kan ignoreres af virksomheder, som er afhængige af deres online tilstedeværelse. Selvom de primære mål for cyberangreb er finansielle institutioner, på grund af potentielt højere gevinst, bør andre virksomheder ikke undervurdere risikoen, da det kan koste dem tab af både omdømme og indtægter.
Hvad er DNS-kapring?
Domain Name System (DNS) er, som navnet hentyder til, et system, der muliggør kommunikation mellem en computer og internettet. Kort fortalt konverterer DNS en læsevenlig adresse, f.eks. www.example.com til en række maskinaflæste numre, der kaldes en IP-adresse, som derefter bruges af en computer til at identificere sig selv og kommunikere med andre enheder. Det er under denne identifikationsproces, at angreb kan foreligge ved brug af en almindelig “man-in-the-middle”-angrebsstrategi. Denne metode indebærer, at en bruger omdirigeres til en anden IP-adresse med ondsindet indhold, hvilket resulterer i, at al trafik til de kompromitterede websteder bliver opsamlet og omdirigeret til DNS-kaprene – herunder kreditkortsoplysninger, e-mails og VPN-oplysninger. Denne trussel udløste en reaktion fra ICANN, hvor de anbefalede alle domæneejere at anvende DNSSEC.
2020 Global DNS Threat Report tydeliggør nogle alarmerende statistikker: 79% af alle organisationer over hele verden har oplevet et DNS-angreb på deres domæner, med en gennemsnitlig omkostning anslået til 924.000 USD. På trods af den stigende procentdel af virksomheder, der anerkender nødvendigheden af at beskytte deres DNS-system (77 % i 2020 sammenlignet med 64 % året før), blev 75 % af DNS-baserede angreb stadig ikke modvirket af auto-responsive sikkerhedsforanstaltninger. Det mest almindelige resultat af disse angreb var, at applikationer blev tvunget offline, men andre påvirkninger omfattede kompromitterede websteder, omdømmeskader eller videregivelse af følsomme oplysninger – og i sidste ende tab af omsætning.
En anden rapport, som omhandler DNS-kapring, skabte røre blandt domæneindehavere i august 2019, da en række angreb på internettets kernestruktur, arrangeret af en gruppe med tilnavnet Sea Turtle, blev afsløret. Mindst 40 organisationer i 13 forskellige lande blev berørt, hovedsageligt i Nordafrika og Mellemøsten, og omfattede nationale sikkerhedsorganisationer, udenrigsministerier, energileverandører, DNS-registratorer, internetudbydere og telekommunikationsvirksomheder. Det overraskende faktum bag disse angreb var, at de blev udført således, at DNS-kaprerne først rettede deres angreb mod domæner fra virksomheder, der leverede tjenester til de egentlige ofre, og på denne måde var de i stand til at kapre de udsete domæner. Det er yderligere værd at bemærke, at kaprene hverken stoppede eller mildnede deres angrebshandlinger efter, at de var blevet afsløret for offentligheden. En så dristig og massiv invasion af DNS-systemet rejser spørgsmål om, hvordan man kan opretholde global databeskyttelse, og om DNS-systemet stadig er stabilt nok til at være pålideligt.
Forskellige måder at beskytte mod domæne-kapring
Domain Name System (DNS) blev udviklet i begyndelsen af 80’erne og var på daværende tidspunkt ikke udstyret med nogen sikkerhedsforanstaltninger. Internettets økonomiske potentiale kunne ikke udnyttes fuldt ud, før de nødvendige sikkerhedsstandarder var garanteret. Virksomheder nægtede at investere i online tilstedeværelse, så længe deres kunders data og interne virksomhedsinformationer var udsat for potentielle tyve, svindlere eller endda konkurrenter. Gennem årene er mange beskyttelsesmekanismer og protokoller blevet introduceret til DNS-netværket, fra kryptering til godkendelsesmetoder.
DNSSEC
DNSSEC er en sikkerhedsfunktion, der godkender DNS-data. Hvis din lokale DNS-server understøtter DNSSEC, er domæner med aktiveret sikkerhed beskyttet mod at blive omdirigeret til et phishing-websted, såsom en bank eller en onlinebutik, der opsnapper adgangskoder og betalingskortoplysninger. Selvom denne metode ikke beskytter mod alle former for angreb på domænestrukturen, blokerer den for angrebstypen ” Man-in-the-middle ” ved at tilføje et ekstra lag til serverens svarbekræftelse.
REGISTRAR LOCK
En type sikkerhedskode, der kan anvendes på et domæne af dets registrator, som tillader låsning af domænenavnets data. Denne metode beskytter domæneindehaveren mod uønskede og uautoriserede ændringer af domænenavnet. Når metoden benyttes, tillader det ikke nogen ændringer af domænenavnet, hvilket inkluderer overførsel eller sletning af det. Det gør det også umuligt at ændre domænets kontaktoplysninger.
REGISTRY LOCK
Godkendelsessystem leveret af registreringsmyndigheden, der låser og beskytter domænenavnets oplysninger. En registreringslås er dedikeret til de brugere, der prioriterer sikkerheden for deres domænenavne. Denne metode reducerer risikoen for kapring af domæner, hvad enten det er teknisk eller administrativt. Oplåsning af et domænenavn er en yderst sikker manuel proces, der kun kan udføres efter grundig godkendelse via e-mail eller telefon.
DNS over HTTPS (DoH)
DoH øger sikkerheden ved at minimere risikoen for, at brugernes online aktivitet bliver udspioneret. Ved at kryptere de meddelelser, der sendes mellem serveren og en brugers computer, gør DoH det vanskeligt for en mellemmand (man-in-the-middle) at spore din online aktivitet og muligvis omdirigere dig til et websted, der indeholder malware eller spionage og phishing-software. Det beskytter din DNS-kommunikation ved at indføre en HTTPS-protokol, som sender forespørgsler i modsætning til ukrypterede og gennemsigtige informationer sendt af DNS selv.
DNS over TLS (DoT)
Ligesom DNS over HTTPS (DoH) er DoT en metode, der krypterer kommunikationen mellem din enhed og den svarende server. Denne metoder bruger algoritmer, der omdanner en almindelig tekst til kodet besked, som det er umuligt for en tredjepart at læse. Al data krypteres under overførsel, som navnet Transport Layer Security (TLS) indikerer, og kan derfor ikke manipuleres af kaprere. Hvis TLS, mere almindeligt benævnt SSL, anvendes på din internetforbindelse, vises den i browserens adressefelt med et symbol på en hængelås.
ANYCAST DNS
I modsætning til unicast, muliggør anycast kommunikation med mange servere gennem den samme IP-adresse, hvilket gør hele processen meget hurtigere. Afhængigt af den geografiske placering besvares brugerens forespørgsel af den nærmeste tilgængelige server, hvilket forbedrer og optimerer ydelsen. Denne sikkerhedsmekanisme forhindrer DDoS-angreb (distributed denial-of-service), der finder sted, når en webserver er overfyldt med anmodninger til den udsete IP-adresse, hvilket forårsager en overbelastning af systemet og efterfølgende afbrydelse af tjenesten. Anycast DNS beskytter brugeren mod DDoS-angreb ved at sprede trafikken ud over flere servere, så en enkelt server ikke overvældes af antallet af forespørgsler.
EBRAND er her for at rådgive dig om den bedste måde at sikre dit domæne på. Vores eksperter hjælper dig med at beskytte dit brand online og sikre, at dine data forbliver private. Tag ikke risikoen, men lad os guide dig gennem de forskellige domænesikkerhedstjenester, fra udførelse af sårbarhedstests til anvendelse af de bedst tilgængelige beskyttelsesmekanismer til dit unikke domæne.
