Что будет, если не отключить DNS?

Многие организации, которые работают c промышленными системами управления, стремятся изолировать их из Интернета, но иногда забывают запретить систему доменных имен (DNS) трафика, что обеспечивает скрытый способ для вредоносных программ для нефильтрованных данных.

Иногда их называют системами диспетчерского управления и сбора данных (SCADA), промышленные системы управления (ICS), как известно, небезопасны. Мало того, что их прошивка полна недостатков, но и протоколы связи, которые многие из них используют не имеют аутентификации или шифрование.

Так как систем ICS большинство, они как правило, предназначены, чтобы длиться более десяти лет после развертывания, они не легко заменяемые без значительных затрат. Таким образом, операторы ICS как правило, сосредоточены на обеспечении безопасности периметра вокруг систем управления, а не латании самих устройств, что не всегда возможно. Это делается путем изоляции ICS среды от корпоративных сетей и более крупной сети Интернет.

Согласно с Ридом Уайтманом от консалтинговой фирмы ICS Digital, владельцы систем управления часто считают, что их критические окружающие среды защищенна, когда на самом деле нет. Одна вещь, которую его команда часто обнаруживает, что во время проведения оценок безопасности клиенты заблокировали интернет связь, но забыли о DNS.

DNS используется для перевода считываемых человеком имен хостов в числовой интернет-протокол (IP) адрес, компьютеры должны разговаривать друг с другом. Это является ключевым компонентом в Интернете, но он также используется в локальных сетях для компьютеров, чтобы найти друг друга более легко.

Проблема заключается в том, что запросы DNS могут использоваться для передачи данных в и из сети с помощью крафта DNS запросов и ответов, и из доменных имен, находящихся в собственности злоумышленников. Этот метод, известный как DNS-туннелирование, был известен в течение многих лет и был использован вредоносными программами в прошлом.

В мае исследователи из охранной фирмы Palo Alto Networks сообщили, что последний инструмент вредоносных программ группы использует DNS-туннелирование для связи с сервером его командного управления.

Уайтман не видел каких-либо ICS конкретных вредоносных программ, которые работают с помощью DNS-туннелирования, чтобы избежать изоляции сети, но техника, безусловно, жизнеспособна. Вредоносные программы могут быть введены в изолированные среды ICS инсайдерами или подрядчиками на зараженных USB-накопителя, как и в случае киберсаботажа червя Stuxnet, который заразил АЭС Ирана в Натанзе.

Лучшим способом смягчить эту проблему было бы запретить DNS исключительно для окружающей среды ICS, но в тех случаях, когда требуется локальный DNS-сервер DNS должен быть настроен на отклонение запросов DNS на внешние домены, сказал Уайтман. «Например, зона управления DNS направляет запросы на corpdomain.com к корпоративному DNS, и отклоняет запросы для любого другого домена.»

Впервые DNS была разработана в 1983 году и используется для получения информации о доменах.

Запись опубликована в рубрике Безопасность. Добавьте в закладки постоянную ссылку.