Les cybercriminels utilisent des méthodes d’attaques de plus en plus sophistiquées alors que les menaces internes sont toujours présentes et reposent en grande partie sur des erreurs humaines. Les entreprises ont intégré le caractère inévitable des violations de données. Il ne s’agit plus de savoir si ces dernières vont se produire mais plutôt quand elles auront lieu !
Avec plus d’un milliard de programmes malveillants et 40 millions d’attaques ransomwares chaque mois1, se prémunir au maximum contre l’exfiltration de données est donc plus que jamais un sujet d’actualité.
Bien que de multiples solutions de sécurité soient déployés sur l’ensemble du Système d’Information, bon nombre d’entreprises continuent de négliger l’un des éléments les plus critiques : le DNS.
En effet, le caractère universel du DNS ainsi que l’absence quasi-totale de prise en compte de la sécurité dans sa conception, en font un vecteur d’attaque très utilisé tout au long de la kill-chain : détournement de trafic lors de la phase de phishing, canal caché de commande à distance (C&C), canal caché d’exfiltration de données, flux de déni-de-service (DoS/DDoS).
Souvent ouvert et peu surveillé, le DNS est donc souvent utilisé pour exfiltrer de la donnée sans être détecté.
C’est pourquoi les cybercriminels l’utilisent comme protocole de tunnelisation ou de transfert de fichiers pour voler des données et diffuser des logiciels malveillants. Les firewalls et les systèmes de prévention de pertes de données ont du mal à détecter ces activités d’exfiltration. Ainsi les entreprises victimes vont souvent s’apercevoir bien tardivement du vol de leurs données.
Quid de la sécurité réseau traditionnelle ?
Les composants de sécurité réseau traditionnels sont insuffisants. En effet, leur capacité d’analyse du DNS est limitée.
Les attaquants utilisent des domaines de bonne réputation pour contourner les systèmes de sécurité qui se basent sur des correspondances de modèles et des bases de données de domaines connus comme malveillants.
Pour protéger les données, il est donc nécessaire d’adopter une approche de sécurité plus avancée, en vérifiant les données DNS provenant des utilisateurs finaux et en enquêtant sur leur intention.
Rien de tel que le DNS pour protéger le DNS !
La criticité des services DNS rend nécessaire une analyse comportementale et des informations contextualisées.
L’analyse en temps réel va permettre de détecter les menaces et de déployer des contre-mesures adaptatives pour bloquer l’exfiltration de données.
Des fonctionnalités de remédiation rapide et de reporting centralisé peuvent également être ajoutées pour améliorer le processus de protection des données.
L’approche d’APIXIT & EfficientIP
L’approche conjointe d’APIXIT et d’EfficientIP pour la protection des données consiste à utiliser des analyses DNS en temps réel, à déployer des contre-mesures adaptatives et à offrir des fonctionnalités de remédiation rapide et de reporting centralisé.
Vous bénéficiez ainsi d’une :
- compréhension complète de votre environnement
- analyse DNS avancée
- détection des menaces comportementales
EfficientIP vous aide à surmonter les limites des systèmes basés sur les signatures et vous apporte une visibilité étendue du trafic périphérique.
L’inspection des transactions DNS va permettre de détecter les activités suspectes avant même que les domaines associés ne soient identifiés comme malveillants, réduisant ainsi le risque de bloquer le trafic légitime.
1 : rapport Sonic Wall 2022 sur les cybermenaces