I mere end et årti har OpenDNS været blandt verdens mest benyttede DNS services, der fortsat vurderes til at være blandt de tiltag, hvor man får mest sikkerhed for pengene. En cloud baseret DNS-sikkerhed er let at implementere og vedligeholde. Vi kaster et blik på Cisco Umbrella – tidligere OpenDNS.
Vi kan lige så godt slå det helt fast fra starten: 100% IT-sikkerhed er uopnåeligt. Det er ganske enkelt ikke muligt at købe og etablere et sikkerhedsniveau, der gør de cyber-kriminelles selv-definerede opgave med at stjæle og/eller ødelægge data, umulig.
Dette faktum har medført, at omkostningerne til IT-sikkerhedsløsninger ofte ender i den høje ende i forventningen om, at jo mere vi betaler, des mere sikkerhed får vi.
Dette er heller ikke nødvendigvis en forkert antagelse – men uanset hvor højt sikkerhedsniveau vi betaler for, kan det fortsat være forbundet med enorme udfordringer, hvis det alligevel lykkes hackerne at få adgang til vores data.
Derfor er det vigtigt at fokusere indsatsen dér, hvor løsningen har størst effekt. Det vil sige dér, hvor vi med en relativt begrænset indsats kommer rigtig langt – og dér kommer sikring af virksomhedens DNS-opslag netop ind.
Domaine Name System
Alle forespørgsler på internettet kræver en kendt IP-adresse på den host, vi ønsker at tilgå. Det er ikke nok at kende navnet eller webadressen for at kunne tilgå den pågældende host. Der skal også bruges en IP-adresse.
Opgaven for DNS, Domain Name System, er i den forbindelse at oversætte domæne-navnet til en IP-adresse. Når webadressen bliver tilgået, foretages et DNS-opslag, der resulterer i en IP-adresse på den server, der hoster/er vært for hjemmesiden. En forespørgsel bliver derefter sendt til denne IP-adresse og hjemmesiden kommer så retur som svar på denne.
Hvorfor sikrer vi DNS-opslag
Princippet bag DNS-sikkerhed er, at vi udnytter vores viden om, hvilke typer hosts, der reelt ligger gemt bag IP-adresserne. Tilgår en bruger fx www.internetbadguys.com, benytter vi DNS-sikkerhed til at se, hvorvidt omdømmet på den pågældende hjemmeside gør, at vi tillader trafik der til. Eller om vi faktisk ønsker, at denne trafik bliver blokeret.
En eventuel blokering foregår ved, at DNS-serveren returnerer IP-adressen til en foruddefineret server, som returnerer et svar til brugeren om, at trafikken ikke er tilladt.
Vi kan desuden anvende samme viden til kategorisering af forskellige sites på internettet som fx Gambling eller Adult. Dermed har virksomheden mulighed for at forhåndsdefinere typer af hosts, den ikke ønsker skal kunne tilgås, og blokere trafik dertil.
Som indledning til dette indlæg påpegede vi, at det ikke er muligt at opnå 100 % sikkerhed. Derfor må man forvente, at der på et eller andet tidspunkt kan snige sig malware ind. Men i disse tilfælde kan DNS-sikkerhed være en god hjælp, da DNS-sikkerhed kan forhindre malwaren i at kommunikere med sin Command & Control server. Det vil sige, at malwaren hverken kan modtage instruktioner eller sende data fra virksomhedens system.
Derfor er det en rigtig god idé at sikre virksomhedens DNS-opslag:
- Undgå trafik til kendte malware-hosts
- Effekten af brugernes risiko-adfærd bliver mindsket
- Eventuel modtaget malware bliver forhindret i kommunikation med Command & Control server
Bidrager til fællesskabet
Vores anbefaling er, at benytte Cisco Umbrella til DNS-sikkerhed. Det tidligere OpenDNS har leveret global DNS-sikkerked siden 2006 og blev i slutningen af 2015 opkøbt af Cisco.
Næst efter Google DNS er Cisco Umbrella verdens mest anvendte DNS-løsning. Derfor giver Cisco Umbrella stor indsigt i hvilke domæner og IP-adresser, skurkene i Cyberspace ynder at anvende. Cisco Umbrella kan desuden anvende Big Data modeller til hurtig identifikation, når de cyberkriminelle tager nye domæner i anvendelse – også hvis dette foregår fra nye IP-adresser, der ikke tidligere er blevet anvendt til svindel og humbug.
Det er også værd at bemærke, det faktisk er gratis at komme i gang med Cisco Umbrella. Faktisk skal man ikke gøre andet end at pege virksomhedens DNS-settings på følgende IP-adresser:
- IPv4:
208.67.220.220
208.67.222.222 - IPv6:
2620:119:35::35
2620:119:53::53
Ved at gøre dette vil virksomheden typisk opleve hurtigere DNS-opslag. Det er dog vigtigt at tilføje, at den gratis Cisco Umbrella ikke foretager blokering samt ikke giver mulighed for indsigt i DNS-trafikken.
Til gengæld er der sikkerhed for, at DNS-trafikken ikke bliver benyttet til at tracke brugernes vaner i reklameøjemed. Bidraget for dette er, at data om virksomhedens DNS-trafik bliver delt med det store malware-fællesskab, hvilket kommer alle Cisco Umbrella betalende kunder til gode.
Altid opdateret
Som allerede nævnt er det eneste, der skal til for at anvende Cisco Umbrella, at virksomhedens DNS-settings bliver ændret til at pege på Ciscos servere. Dermed vil Cisco Umbrella heller ikke belaste virksomhedens infrastruktur.
Det kræver heller ikke investeringer i ekstra hardware for at få løsningen til at fungere, da al scanning og blokering er cloud-baseret og derfor foregår i skyen.
Den klare fordel ved Cisco Umbrella som cloud-baseret værktøj er, at det ikke er nødvendigt at bekymre sig om opdateringer, da løsningen altid vil være opdateret.
Det bør også nævnes, at Cisco Umbrella siden starten i 2006, har haft 100% oppetid. Dette er opnået gennem global load-balancing mellem virksomhedens to IP-adresser, der peger på flere hundrede servere i 26 datacentre over hele verden. Til dette benytter man teknologien AnyCast, som der er mulighed for at fordybe sig lidt mere i på bloggen.
Visibilitet giver indsigt
Når vi i branchen taler om IT-sikkerhed, fokuserer vi også ofte på visibilitet. Visibilitet betyder – ud over synlighed – også indsigt i vores branche. Det vil sige, indsigt i hvad der sker:
- Hvor mange DNS-opslag?
- Hvilke brugere eller services foretager disse?
- Hvor mange bliver blokeret?
- Hvorfor bliver de blokeret?
Derfor giver dashboardet til Cisco Umbrella fuld visibilitet over virksomhedens DNS-sikkerhed. Og er der fx kun behov for at se sikkerhedsevents, kan alle andre events blive filtreret fra.
Der er samtidig mulighed for at se hvilke IP-adresser, der har genereret de usikre DNS-opslag, hvilket kan give viden om, hvor det er relevant at søge videre, hvis der virkelig er tale om noget, man bør bekymre sig om.
Drejer det sig om en medarbejder, hvis laptop er blevet ramt af malware? Eller kan der være tale om en eller flere medarbejdere, som måske har brug for en hurtig genopfriskning af sikker færdsel i Cyberspace?
En tretrinsraket
Virksomhedens licens til Cisco Umbrella er baseret på antallet af brugere med internetadgang og bliver opdelt i tre forskellige løsninger som en tretrins-raket:
- Cisco Umbrella Professional er det nederste trin på stigen. Med DNS-opslag, blokering og indsigt i virksomhedens DNS-trafik vil denne løsning ofte være nok for de fleste virksomheder.
- Cisco Umbrella Insights indeholder det samme som Professional men har også Secure Internet Gateway (SIG) funktionalitet, som sender brugeren igennem en usynlig proxy, hvis der er tvivl om omdømmet på siden, der forsøges hentet. Desuden inkluderer denne også et godt rapporteringsværktøj af virksomhedens brug af cloud services, der også er et stærkt værktøj mod shadow-IT.
- Cisco Umbrella Platform supplerer Professional og Insights med Threat Intelligence Feeds og integration til tredje-parts løsninger.
Flere og flere virksomheder har medarbejdere, som dagligt arbejder i marken, hvor de benytter andre netværk end virksomhedens eget. Disse medarbejdere kan på deres mobile enheder få installeret en roaming client, Cisco Umbrella roaming client, der sikrer samme sikkerhedsniveau på de mobile enheder, som på virksomhedens andre enheder.
Roaming klienten understøtter i skrivende stund:
- Windows 7, 8, 10
- Mac OS X 10.9+
Skal vi gøre noget?
Jeg indledte med at sige, at løsninger til IT-sikkerhed ofte bliver en kombination af kompleksitet og høje omkostninger.
Et lidt fortærsket brancheudtryk er derfor at tale om de lavest hængende frugter. Vi springer med på vognen og påpeger, at DNS-sikkerhed efter vores vurdering er så lavthængende frugter, man blot skal bukke sig ned for at samle op.
Desuden er cloud-baseret DNS-sikkerhed både let at implementere og drifte og kræver derfor ikke, at medarbejderne i IT-afdelingen skal bruge en masse tid på at tilegne sig nye kompetencer.
Ved at benytte mulighederne med Cisco Umbrella og DNS-sikkerhed er det således muligt at opnå en meget høj grad af sikkerhed med forholdsvis få ressourcer – også selv om sikkerhedsniveauet ikke når de umulige 100 procent.