Yohai Einav

Yuriy Yuzifovich

Bien entendu, les entreprises qui passent au cloud ne sont pas les seules à se soucier de la cybercriminalité. Toutes les entreprises, quels que soient leur taille, leur secteur ou l’état d’avancement de leur migration vers le cloud, accordent la priorité à la sécurité. Les attaques de DNS (systèmes de noms de domaine) et la manière dont les entreprises peuvent exploiter les données DNS pour détecter les cyberattaques sur l’ensemble des serveurs constituent un sujet de préoccupation croissant.

Étant donné que le DNS fait office de répertoire téléphonique de l’internet, il est impératif de s’assurer qu’il est robuste et sécurisé. Cependant, la sécurité des DNS a deux significations différentes :

Premièrement, le DNS est une infrastructure critique dont toutes les organisations dépendent et sans laquelle elles ne peuvent fonctionner. Pourtant, le DNS reste un composant vulnérable du réseau, fréquemment exploité pour les cyberattaques et insuffisamment protégé par les solutions de sécurité traditionnelles. Lorsque les services DNS critiques sont compromis, cela peut entraîner des pannes de réseau et de système catastrophiques. Par conséquent, le sens premier de la sécurité DNS est de "protéger les serveurs DNS".
Deuxièmement, le DNS joue un rôle essentiel dans la conception actuelle de la sécurité en couches connue sous le nom de "défense en profondeur", où aucune solution unique ne permet de faire face à toutes les menaces, ce qui signifie que de multiples approches de la cyberdéfense sont nécessaires.

Dans l’environnement de menaces actuel, où les organisations et les individus sont ciblés, l’utilisation de couches de sécurité traditionnelles en silo n’offre pas une protection adéquate. Les attaquants connaissent le fonctionnement de chaque couche et savent donc comment contourner chacune d’entre elles. La collecte d’informations indépendantes provenant de plusieurs sources distinctes, puis le partage de ces informations entre les différentes couches sont la clé pour mettre fin aux attaques.

En intégrant les informations DNS dans l’architecture de sécurité, les organisations peuvent obtenir une visibilité dans des zones du cyberespace qui étaient jusqu’à présent relativement obscures. La corrélation entre les événements de sécurité DNS et les événements qui se produisent ailleurs dans l’infrastructure (points de terminaison, courrier électronique, réseau, cloud, etc...) améliore considérablement les chances de détection et de prévention des menaces. Par conséquent, la deuxième signification de "sécurité DNS" est l’utilisation des données DNS comme couche d’architecture de sécurité.

Un récent rapport de Gartner intitulé "Quick Answer : Comment les organisations peuvent-elles utiliser le DNS pour améliorer leur sécurité ?" (https://www.gartner.com/en/documents/4002327/quick-answer-how-can-organizations-use-dns-to-improve-th) recommande aux organisations de collecter et d’analyser les journaux DNS à des fins de détection des menaces et d’analyse judiciaire à l’aide d’un SIEM (Security Information and Event Management), de mettre en œuvre des capacités de prévention et de blocage des menaces DNS et de surveiller le trafic DNS à la recherche d’autres anomalies.

Alors que de grandes équipes et organisations se consacrent à l’infrastructure et à la sécurité du réseau DNS dans sa première acception, certaines se concentrent sur sa deuxième acception. Leur objectif est d’exploiter la puissance des données DNS (ainsi que d’autres données liées au réseau), qui sont disponibles dans tout réseau, afin de créer une nouvelle couche de sécurité qui complète les différentes autres couches.

Tofsee - détecter une menace par une approche basée sur les DNS
Un logiciel malveillant polyvalent appelé Tofsee, vu pour la première fois en Europe et aux États-Unis en 2020, semble devenir de plus en plus répandu ces derniers mois. Le Cheval de Troie Tofsee permet aux attaquants d’effectuer diverses actions malveillantes à des fins variées, notamment le spamming, la fraude au clic et le minage de crypto-monnaies. C’est un programme puissant, qui peut causer de graves dommages, notamment des pertes financières.

La méthode la plus courante pour détecter l’activité de Tofsee sur un serveur consiste à utiliser un agent de point d’accès : par exemple, une solution de détection et de réponse aux points d’accès (EDR), qui est installée sur une machine et surveille son activité, serait en mesure d’identifier les signatures connues de Tofsee (fichiers ou modèles connus qui lui ont été associés auparavant). L’inconvénient est que si les attaquants savent qu’une signature existe, ils peuvent apporter de petites modifications au code et au processus de leur logiciel malveillant, et ainsi la contourner. Ensuite, jusqu’à ce qu’une nouvelle signature soit créée, les capacités de détection du CED diminuent.

Plutôt que de tracer la menace Tofsee en utilisant un agent de point de terminaison, certains chercheurs ont utilisé un ensemble d’algorithmes qui analysent le trafic DNS, et recherchent des modèles et une corrélation avec des activités malveillantes antérieures. Plus précisément, leur méthode a permis d’identifier les cooccurrences entre les noms de domaine (séquences de domaines qui apparaissent régulièrement ensemble), ce qui a été suivi par la confirmation de la malveillance sur la base de modèles de comportements malveillants précédemment observés.

La détection des traces du Cheval de Troie Tofsee a commencé par un seul nom de domaine (’work[.]a-posté[.]info’) qui a été signalé par une société de sécurité réputée il y a quelques mois. Ce domaine avait été marqué à l’époque comme étant lié à une menace "générique de commande et de contrôle Windows". En appliquant des algorithmes d’apprentissage automatique, les équipes de recherche ont pu corréler et relier ce domaine à d’autres noms de domaine, qui étaient tous liés à un botnet de téléchargement de spam et de logiciels malveillants. Il s’agissait du botnet Tofsee. Une rapide analyse de suivi a permis de détecter toutes les machines cloud qui ont été impactées par le botnet.

Une autre couche dans la chaîne de sécurité

Si, dans le cas ci-dessus, un seul nom de domaine a permis de détecter la présence de Tofsee sur plusieurs machines, d’autres méthodes de détection auraient pu révéler d’autres aspects de la menace. La sécurité est construite couche par couche, et l’on espère (ou l’on suppose) qu’une ou plusieurs de ces couches peuvent identifier une menace dès qu’elle apparaît. Certaines de ces couches nécessitent un agent, d’autres non, mais chacune a une valeur unique dans la chaîne de la sécurité.

La nouvelle approche du DNS et du réseau décrite ici complète la sécurité existante basée sur les agents et permet aux clients de bénéficier d’une couverture mieux sécurisée, sans avoir à installer de nouveaux logiciels.

Cette nouvelle approche de la sécurité des serveurs DNS devrait contribuer à réduire les inquiétudes des responsables, tout en les aidant à réduire les coûts liés aux incidents de sécurité.