DNS-säkerhet och DNS-skydd

– säkra DNS:en och använd DNS som aktivt skydd mot angrepp

DNS – Internets hjärta

DNS är en av internets äldsta och mest grundläggande funktioner – navet och hjärtat som ser till att digital kommunikation hittar rätt och flödar som den ska. Men det är också ett system som designades i en tid då säkerhet inte var i fokus och hotbilden såg helt annorlunda ut. Idag är DNS helt avgörande för att internet och modern kommunikation ska fungera – men samtidigt en av de mest utnyttjade attackvägarna.

Många cyberangrepp använder DNS i någon del av angreppskedjan. Trots det faller DNS-säkerhet ofta mellan stolarna – kanske för att den (felaktigt) ses som en teknisk infrastrukturfråga snarare än en säkerhetsfråga. Det gör DNS till en perfekt språngbräda för cyberkriminella. Med tekniker som DNS-spoofing, tunneling och attacker mot själva DNS-tjänsten kan angripare ta sig in, röra sig obemärkt eller smuggla data in och ut – utan att det märks.

Men DNS-arbetet handlar inte bara om att täppa till sårbarheter. DNS-säkerhet handlar om att skydda själva funktionen så att den inte kan manipuleras eller missbrukas. DNS-skydd handlar om att använda DNS som ett aktivt skyddslager – där ni kan blockera kontakt med skadliga domäner, upptäcka avvikelser tidigt och agera innan skadan är skedd. Rätt implementerat blir DNS därmed både en stabil grund för kommunikation och ett proaktivt verktyg för att stärka er cybersäkerhet.

Kontakta oss

Läs mer om Säker DNS i vår guide

Läs Guiden

När DNS saknar aktivt skydd ökar affärsrisken

För verksamheten handlar DNS-säkerhet inte i första hand om teknik. DNS är en funktion som finns i bakgrunden, som sällan syns och som få ens känner till, men som samtidigt måste fungera. I stort sett all digital kommunikation börjar nämligen med en DNS-fråga. (Lär dig mer i vår ”Eller så här…”-video: Cuebid förklarar DNS)
Just därför har DNS också blivit en naturlig väg för angripare att utnyttja.

Utan ett aktivt DNS-skydd ökar risken kraftigt att användare leds till skadliga domäner, att phishing-attacker når längre, att skadlig kod kan kommunicera med angriparnas servrar och att känslig information lämnar organisationen via kanaler som annars uppfattas som normala. Det kan i sin tur leda till driftstörningar, dataläckor, ransomware, förlorat förtroende och ökade kostnader för incidenthantering.

Genom att säkra och analysera DNS-trafiken kan organisationen stoppa många hot tidigare – innan de hinner påverka användare, system eller affärskritiska processer.

Två sidor av DNS

DNS har funnits sedan internets begynnelse och används ständigt i bakgrunden av all digital kommunikation. Historiskt har fokus legat på ”DNS-Säkerhet” – dvs att skydda själva funktionen. Men på senare år har även ”DNS som skydd” eller det som vi nedan kallar “DNS-skydd” vuxit fram som en viktig del av cybersäkerheten.

DNS-säkerhet

DNS är en grundläggande byggsten i all modern kommunikation – men det skapades i en tid då säkerhet inte var i fokus. Ursprungligen byggdes DNS för att vara öppet och tillgängligt, inte för att stå emot dagens hot.

DNS-säkerhet handlar därför om att skydda själva DNS-funktionen från att manipuleras eller missbrukas. Det innebär att konfigurera och drifta DNS på ett korrekt sätt, så att det inte kan användas för felaktiga ändamål, exempelvis omdirigeringar eller attacker.

DNS-skydd

På senare år har DNS även blivit en av de mest effektiva plattformarna för att upptäcka och stoppa hot. Angripare använder ofta DNS för att kommunicera med sina system, både under pågående attacker och i förberedande faser – ofta på sätt som vid första anblick ser helt legitima ut.

Genom att analysera domänregistreringar, trafikmönster och DNS-data kan man med hög precision identifiera misstänkta domäner och stoppa kommunikationen innan den får genomslag. På så sätt kan DNS användas som ett aktivt och proaktivt skyddslager mot attacker.

Experter inom DNS och säkerhet

Cuebid har några av Europas vassaste experter inom området och hjälper er att säkra en av nätverkets mest kritiska – men ofta förbisedda – funktioner. Med rätt DNS-säkerhet skyddar ni själva DNS-funktionen mot manipulation och missbruk. Med DNS-skydd kan ni dessutom stoppa hot som annars kan passera obemärkt, och få nya möjligheter att upptäcka och blockera angrepp tidigt.

Vi har ett långt och djupgående partnerskap med Infoblox, som är världsledande inom DNS. Det omfattar både DDI – DNS (Domain Name System), DHCP (Dynamic Host Configuration Protocol) och IPAM (IP Address Management) – och proaktivt DNS-skydd via DNS Threat Defense, som stärker er förmåga att arbeta systematiskt med DNS-säkerhet i praktiken

Kontakta oss

Vanliga DNS-hot och varför de är viktiga att förstå

Visste du att DNS på något sätt involveras i över 90 % av alla cyberangrepp? Därför är DNS inte bara en grundläggande funktion i nätet – utan också en viktig plats att upptäcka, stoppa och förstå hot. Nedan går vi igenom några av de vanligaste sätten DNS utnyttjas/missbrukas.

Vad är DNS spoofing?

DNS spoofing innebär att en angripare lyckas skicka falska DNS-svar. Det gör att användaren tror att en viss webbadress leder till rätt plats, men i själva verket hamnar på en annan plats som oftast ser likadan ut vid en snabb anblick.

Det kan till exempel användas för att leda användare till en falsk inloggningssida, en skadlig webbplats eller en miljö där information kan samlas in.

För verksamheten kan DNS spoofing innebära ökad risk för kapade konton, phishing, bedrägerier och förlorat förtroende om användare eller kunder leds fel.

Lär dig mer i vår ”Eller så här…”-video: Cuebid förklarar DNS Spoofing

Vad är DNS poisoning?

DNS poisoning innebär att felaktig information placeras i en DNS-server eller cache. Skillnaden mot spoofing är att den falska informationen kan ligga kvar och påverka många användare under en längre tid. När någon försöker nå en legitim domän kan de därför gång på gång ledas till fel plats, trots att de skriver rätt adress.

Det gör DNS poisoning särskilt allvarligt, eftersom attacken kan vara svår att upptäcka för användaren. Allt ser ut att fungera som vanligt – men trafiken går inte dit den ska.

Lär dig mer i vår ”Eller så här…”-video: Cuebid förklarar DNS Poisoning

Vad är DNS-tunneling?

DNS-tunneling innebär att DNS-funktionen används för att skicka annan information än vanliga namnuppslagningar. Angripare kan till exempel använda DNS-frågor för att skicka kommandon till skadlig kod, föra ut känslig information eller skapa en dold kommunikationskanal ut ur nätverket.

Eftersom DNS-trafik oftast är tillåten genom brandväggar kan tunneling bli ett sätt att smyga förbi traditionella säkerhetskontroller. Därför är det viktigt att kunna analysera DNS-mönster, upptäcka avvikelser och stoppa kommunikation med misstänkta eller kända skadliga domäner.

Lär dig mer i vår ”Eller så här…”-video: Cuebid förklarar DNS Tunneling

Vad är DNS DDoS?

DNS DDoS är en överbelastningsattack där angripare skickar stora mängder DNS-förfrågningar för att göra DNS-tjänsten långsam eller otillgänglig. Om DNS inte svarar kan användare få problem att nå webbplatser, e-post, molntjänster och andra affärskritiska system.

För verksamheten kan konsekvensen bli driftstörningar, avbrott i digitala tjänster och påverkan på både kundupplevelse och intern produktivitet.

Lär dig mer i vår ”Eller så här…”-video: Cuebid förklarar DNS DDoS

Hur används DNS vid phishing och skadliga domäner?

Många phishing-attacker börjar med att användaren luras att klicka på en länk till en domän som ser legitim ut. Det kan handla om en så kallad lookalike-domän eller typosquatting-domän, där angriparen använder ett domännamn som liknar ett känt företag, en leverantör eller en intern tjänst. Skillnaden kan vara ett litet stavfel, ett extra tecken, en annan toppdomän eller bokstäver som är svåra att skilja från originalet.

Syftet är ofta att få användaren att tro att adressen är äkta och lämna ifrån sig inloggningsuppgifter, MFA-koder, betalningsinformation eller annan känslig information på en falsk sida. I andra fall kan skadliga domäner användas för bedrägerier, omdirigering till annat skadligt innehåll, spridning av malware eller för att dölja trafik vidare till angriparens infrastruktur.

Eftersom nya domäner kan skapas snabbt och användas under kort tid är de svåra att stoppa enbart med traditionella säkerhetskontroller. Ett aktivt DNS-skydd kan hjälpa till att identifiera, blockera och analysera misstänkta domäner innan användaren når dem.

På så sätt blir DNS en tidig kontrollpunkt som minskar risken för phishing, kontokapning, malware och vidare angrepp.

Vad är Command & Control via DNS?

När skadlig kod har tagit sig in i en miljö behöver den ofta kommunicera med angriparens infrastruktur. Det kallas Command & Control, eller C2. DNS kan då användas för att hitta eller etablera kontakt med angriparens kontrollserver – på samma sätt som DNS används när en vanlig användare surfar till en helt legitim webbsida.

När kontakten väl är etablerad kan den skadliga koden få nya instruktioner. Det kan till exempel handla om att samla in en viss typ av information, hämta fler skadliga komponenter, förbereda vidare spridning eller aktivera ransomware.

Genom att analysera DNS-trafik och samtidigt blockera trafik till kända och/eller misstänkta Command & Control-servrar kan organisationen både upptäcka och stoppa sådan kommunikation i ett mycket tidigt skede. Det kan handla om ovanliga domäner, upprepade förfrågningar, nya domäner eller trafikmönster som avviker från det normala.

Hur hjälper DNS som skydd mot dessa hot?

“DNS som skydd”, eller DNS-Skydd handlar om att använda DNS som en aktiv säkerhetsfunktion. Genom att analysera och styra DNS-trafiken kan organisationen blockera kända och/eller misstänkta skadliga domäner, upptäcka avvikande mönster och minska risken för att användare, enheter eller system kommunicerar med angriparnas infrastruktur.

Rätt använt blir DNS något mer än en teknisk grundfunktion. Det blir en tidig försvarslinje som stärker organisationens förmåga att skydda, upptäcka och hantera cyberhot.

Hur kan misstänkta domäner blockeras innan de är bekräftat skadliga?

Alla skadliga domäner är inte kända från början. Angripare skapar hela tiden nya domäner, använder dem under kort tid eller bygger upp infrastruktur som först senare används i phishing, malware, bedrägerier eller Command & Control. Därför räcker det inte alltid att bara blockera sådant som redan är bekräftat skadligt.

Moderna DNS-skydd kan även arbeta med misstänkta domäner. Det innebär att domäner analyseras utifrån flera signaler, till exempel hur nya de är, hur de är registrerade, vilka mönster de följer, om de liknar kända varumärken, om de ingår i misstänkt infrastruktur eller om de beter sig på ett sätt som avviker från normal DNS-trafik.

Infoblox är ett exempel på en aktör som arbetar mycket aktivt med denna typ av prediktiv DNS-intelligens. Enligt Infoblox analyserar de över 70 miljarder DNS-frågor per dag och följer dessutom över 200 000 nya domänregistreringar dagligen. Genom att kombinera stora mängder DNS-data, domäninformation, hotanalys och beteendemönster kan misstänkta domäner identifieras långt innan de används fullt ut i en attack.

Infoblox anger själva att deras lösning i genomsnitt upptäcker hot 68 dagar tidigare än andra verktyg, med en false positive rate på 0,0002 procent. För verksamheten innebär det att DNS-skyddet inte bara stoppar kända hot, utan även kan minska risken för nya och snabbt föränderliga attacker.

Det kräver samtidigt hög träffsäkerhet, eftersom blockering av misstänkta domäner måste ske utan att skapa onödiga störningar för användare och verksamhet.

Viktiga delar inom DNS-säkerhet

DNS-filtrering (Threat Defense)

Stoppar åtkomst till skadliga, misstänkta eller oönskade domäner innan kommunikationen ens sker. Ett effektivt sätt att bryta attackkedjan i ett tidigt skede.

DNSSEC (Domain Name System Security Extensions)

Förhindrar att DNS-data manipuleras genom att signera svar kryptografiskt. Det skyddar mot attacker som DNS-spoofing och cache poisoning.

Krypterad DNS (DoH/DoT)

DNS-trafiken krypteras så att den inte kan avlyssnas eller manipuleras på vägen mellan klient och resolver. Det förhindrar läckage och insyn i användarnas trafik.

Realtidsövervakning och analys

Genom att övervaka DNS-trafiken i realtid kan man upptäcka avvikelser som tyder på angrepp – t.ex. ovanlig domänanvändning, tunneling eller kontakt med kända hotaktörer.

Blockering av Command & Control-kommunikation

Genom att ha uppdaterade listor över C2-servrar kan DNS användas för att aktivt blockera att skadlig kod “ringer hem” – och därmed hindra attackens fortsättning.

Integration med andra säkerhetslager

DNS-säkerheten blir starkare när den är kopplad till andra skydd – som EDR, brandväggar, identitetsplattformar eller direkt till en SOC. Det ger sammanhang och bättre beslutsunderlag.

DNS och NIS2

NIS2 kräver ett systematiskt, riskbaserat säkerhetsarbete där åtgärder ska vara proportionerliga till identifierade risker. En säker DNS-lösning är en teknisk åtgärd som direkt minskar en viktig och mycket utsatt attackvektor.

Skydda er DNS med Cuebid

Vi kan hjälpa dig genom:

  • Expertis vid val och införande
    Vi hjälper dig att välja rätt lösning och ser till att den fungerar i praktiken och bistår med support, inköp och förnyelser.
  • Projekt och konsultuppdrag
    Vi designar och implementerar skräddarsydda lösningar som nyckelfärdiga projekt. Vi kan även bistå med rådgivning, löpande underhåll och teknisk support.
Kontakta oss

Relaterade tjänster

Säker
kommunikation

Säker SOC

Nätverksövervakning

Alla våra tjänster

Cybersäkerhetsförmågorna


Denna tjänst stärker dina förmågor att:

SKYDDA

Gör det svårare att ta sig in och betydligt svårare att röra sig runt i miljön om någon ändå lyckas ta sig in

UPPTÄCKA

Upptäcka eventuella angripare så fort som möjligt och sätt in motåtgärder direkt vid misstanke om fara

HANTERA

Vara förberedda på att kunna hantera situationen snabbt och agera kraftfullt, om en kritisk situation skulle uppstå

Läs mer om förmågorna

VILL DU VETA MER ?

Fyll i formuläret så kontaktar vi dig så fort vi kan!
Vanligtvis inom 8 timmar (kontorstid).