I mer än ett decennium har OpenDNS varit en av världens mest använda DNS-tjänster och den ses fortfarande som ett av de bästa sätten att få mest säkerhet för pengarna. Molnbaserade DNS-skydd är lätta att implementera och underhålla. Låt oss titta på OpenDNS idag – Cisco Umbrella.
Låt oss vara tydliga redan från början: 100% IT-säkerhet är omöjligt att uppnå. Det går helt enkelt inte att köpa och skapa en säkerhetsnivå som gör det omöjligt för en cyberbrottsling att stjäla eller förstöra data.
Detta faktum har lett till att kostnaden för IT-säkerhetslösningar ofta hamnar i det högre spannet samtidigt som vi förväntar oss att ju mer vi betalar desto mer säkerhet får vi. Det behöver inte nödvändigtvis vara ett felaktigt antagande – men oavsett hur hög säkerhetsnivå vi betalar för, kan vi fortfarande stå inför enorma utmaningar om hackare trots allt lyckas få tillgång till våra data.
Därför är det viktigt att fokusera på insatser där lösningen har störst effekt, alltså som innebär att man med relativt begränsad ansträngning kan komma så långt som möjligt – och det är här säkringen av företagets DNS-sökning kommer in.
Domännamnssystemet
Alla frågor på internet kräver en känd IP-adress för den värd som vi vill ha åtkomst till. Det räcker inte att känna till namnet eller webbplatsadressen för att komma åt värden i fråga. En IP-adress måste också användas.
Uppgiften för DNS, Domain Name System, är i det här fallet att översätta domännamnet till en IP-adress. När en webbplats öppnas, utförs en DNS-sökning som genererar IP-adressen till servern som är värd för webbplatsen. En fråga skickas sedan till IP-adressen och webbplatsen kommer tillbaka som svaret på frågan.
Varför säkra DNS-sökning?
Principen bakom DNS-skydd är att vi använder vår information om vilka typer av värdar som faktiskt ligger bakom vilka IP-adresser. Om till exempel en användare får åtkomst till www.ont-malware-site.ru, använder vi DNS-skydd för att se om webbplatsens rykte tillåter oss att skicka trafik dit, eller om vi vill att trafik till webbplatsen ska blockeras.
Blockering görs av DNS-servern som skickar tillbaka IP-adressen till en fördefinierad server, som returnerar ett svar till användaren om att trafiken inte är tillåten.
Vi kan använda samma information för att kategorisera webbplatser på internet, till exempel Gambling eller Adult. På så sätt har företaget möjlighet att fördefiniera typer av värdar som det vill tillåta eller blockera tillgång till.
I början av blogginlägget påpekade jag att det är omöjligt att uppnå 100% säkerhet. Därför måste du räkna med att skadlig kod vid något tillfälle kan smyga sig in. I det här fallet kan dock DNS-skydd vara till stor hjälp eftersom det kan hindra skadlig programvara från att kommunicera med sin Command & Control-server. På så sätt kan skadlig kod varken ta emot instruktioner eller skicka data från företagets system.
Här är varför det är klokt att säkra företagets DNS-sökning:
- Undviker trafik till kända malware-värdar
- Konsekvenserna av användarnas riskbeteenden minimeras
- Eventuell mottagen skadlig kod hindras från att kommunicera med Command & Control-servern
Bidrar till communityn
Vi rekommenderar att använda Cisco Umbrella för DNS-säkerhet. Den tidigare OpenDNS har levererat global DNS-säkerhet sedan 2006 och förvärvades av Cisco i slutet av 2015.
Näst efter Google DNS är Cisco Umbrella världens mest använda DNS-lösning. Det är därför Cisco Umbrella har sådan god inblick i vilka domäner och IP-adresser som cyberskurkarna använder. Cisco Umbrella kan också använda big data-modeller för snabb identifiering när cyberkriminella börjar använda nya domäner – även om det görs från nya IP-adresser som inte tidigare har använts för bedrägerier.
Värt att notera är att det är gratis att komma igång med Cisco Umbrella. Allt du behöver göra är att ange företagets DNS-inställningar till en av följande IP-adresser:
208.67.220.220 208.67.222.222
På så sätt går företagets DNS-sökning ofta snabbare. Det är dock viktigt att veta att gratisversionen av Cisco Umbrella inte utför blockeringar och den erbjuder inte möjligheten att få överblick över DNS-trafiken.
Å andra sidan är det tryggt att veta att DNS-trafiken inte används för att spåra användarvanor i annonseringssyfte. Fördelen här är att data om företagets DNS-trafik delas med den stora malware-communityn, något som gynnar alla betalande Cisco Umbrella-kunder.
Alltid uppdaterad
Som nämnts är det enda du behöver göra för att använda Cisco Umbrella att ändra företagets DNS-inställningar så att de pekar mot Ciscos servrar. På så sätt kommer Cisco Umbrella inte att belasta företagets infrastruktur.
Ingen investering i extra hårdvara behövs för att lösningen ska fungera eftersom all skanning och blockering är molnbaserad.
Den tydliga fördelen med Cisco Umbrella som molnbaserat verktyg är att du inte behöver oroa dig för att göra uppdateringar eftersom lösningen alltid kommer att vara uppdaterad.
Det är också värt att nämna att sedan början av 2006 har Cisco Umbrella haft 100% upptid. Det är möjligt genom att lastbalansera IP-adresserna som pekar på flera hundra servrar i 26 datacenter över hela världen. Därför används en teknik som heter AnyCast, som du kan läsa mer om på bloggen.
Synlighet ger insikt
När vi i branschen pratar om IT-säkerhet, fokuserar vi ofta på synlighet. Med det menar vi också insikt om vad som händer i vårt företag, som:
- Hur många DNS-sökningar?
- Kommer användare eller tjänster att utföra dem?
- Hur många är blockerade?
- Varför blockeras de?
Cisco Umbrellas instrumentpanel ger en fullständig överblick över företagets DNS-säkerhet. Och om du exempelvis bara vill se säkerhetshändelser så kan alla andra händelser filtreras bort.
Det är samtidigt möjligt att se vilka IP-adresser som har genererat de oskyddade DNS-sökningarna, vilket indikerar var det är relevant att undersöka om det verkligen finns något att oroa sig för.
Kanske handlar det om en anställd vars bärbara dator har drabbats av skadlig kod? Eller kanske en eller flera anställda behöver en snabb uppdatering om säker trafik i cyberrymden?
DNS-skydd som trestegsraket
Företagets Cisco Umbrella-licens baseras på antalet användare med internetåtkomst och delas in i tre olika lösningar som en trestegsraket:
- Cisco Umbrella Professional motsvarar det första steget. Med DNS-sökning, blockering och överblick av företagets DNS-trafik är den här lösningen ofta tillräcklig för de flesta företag.
- Cisco Umbrella Insights innehåller samma saker som Professional utöver SIG-funktionen (Secure Internet Gateway), som skickar användaren via en osynlig proxy om det finns tveksamheter när det gäller den webbplats som försöker nås. Dessutom innehåller den ett rapporteringsverktyg för företagets användning av molntjänster, vilket är utmärkt för att ha koll på shadow-IT på företaget.
- Ciscos Umbrella-plattform kompletterar Professional och Insights med Threat Intelligence-flöden och integration med tredjepartslösningar.
Allt fler företag har anställda som arbetar ute på fältet varje dag och använder andra nätverk än företagets. Dessa anställda kan installera en roamingklient, Cisco Umbrella-roaming client, på sina mobila enheter, som då får samma säkerhetsnivå som företagets övriga mobila enheter.
För närvarande stöder roamingklienten:
- Windows 7, 8, 10
- Mac OS X 10.9+
Ska vi göra något?
Jag började med att säga att IT-säkerhet ofta är en kombination av hög komplexitet och hög kostnad. Med lite banal jargong skulle det i så fall kunna handla om lågt hängande frukter. I så fall vill jag hoppa på tåget och påpeka att DNS-säkerhet är en så lågt hängande frukt att du knappt behöver sträcka på dig för att plocka ned den.
Dessutom är ett molnbaserat DNS-skydd både enkelt att implementera och driva och kräver därför inte att IT-folket ska behöva ägna någon längre tid på att skaffa ny kompetens.
Genom att använda de möjligheter som Cisco Umbrella och DNS-skydd erbjuder, går det att komma upp i en mycket hög grad av säkerhet med relativt få resurser – även om säkerhetsnivån aldrig kommer att nå upp till 100 procent.
Läs mer om våra kunder med Cisco Umbrella, anmäl dig till vårt seminarium med Cisco 21 mars, 2019 i Stockholm eller kontakta oss för mer info!
Torben Nissen Ernst är Security Sales Lead på Conscia. Med ett särskilt fokus på hot inom informationsteknologi och operativ teknologi har Torben under sin karriär skaffat sig en omfattande kompetens och erfarenhet om hur näringslivet får störst nytta av dessa teknologier. Torben Nissen Ernst är en specialist inom hela cykeln före, under och efter ett angrepp, och i hur verksamheter kan ligga i framkant med att skydda och kontrollera alla operativa system mot exempelvis malware, C2 och phishing.
