DNS-Attacken - Typen und Sicherheitsvorkehrungen

DNS-Angriffen vorbeugen

Die Vielzahl der oben genannten Beispiele zeigt deutlich, dass die Angriffsmöglichkeiten auf das DNS zu vielschichtig sind, als dass eine einzige Technologie vor allen Arten von Attacken schützen könnte. Der umfassende Schutz der DNS-Infrastruktur bedarf daher einer ausgeklügelten Sicherheitsstrategie auf mehreren Ebenen.

Beinhalten sollte diese Strategie in jedem Fall DNS-Firewalls. Damit können Gefahren in Echtzeit festgestellt, Anomalien entdeckt und das DNS gegen bösartige Domains geschützt werden. Aber auch die Einhaltung von Internetstandards ist wichtig. Mit Domain Name System Security Extensions (DNSSEC) etwa werden DNS-Einträge digital signiert, um sicherzustellen, dass diese nicht von verdächtigen Quellen vergiftet werden. DOS/DDOS-Schutzsysteme unterstützen dabei, fortgeschrittene Denial-of-Service-Attacken zu erkennen und zu bekämpfen.

Dat- Leakage-Prevention (DLP)-Monitoring-Systeme bemerken dagegen direkt, wenn es ein Datenleck über das DNS oder andere Protokolle gibt. Dedizierte APT-bezogene Analyse-Systeme lernen etwa nach und nach, APT-Malware zu erkennen, die über das DNS mit Kontroll-Servern kommuniziert - ein Schutz, der mit der Zeit wirksamer wird.

Fazit

Das DNS ist schnell zu einer attraktiven Option für Angreifer geworden, die existierende Verteidigungsmechanismen umgehen und die oben beschriebenen Verfahren nutzen wollen. Hauptmotive sind dabei Cyber-Krieg, Industriespionage, Hacktivismus, politische Hintergründe, Datendiebstahl, Spam-Versand oder koordinierte DDOS-Attacken.

Die Zahl der DNS-basierten Angriffe ist besonders im vergangenen Jahr stark angestiegen. Das zeigt, dass bestehende Systeme sowie Next-Generation Firewalls wohl nicht mehr ausreichen. Deshalb müssen Unternehmen eine mehrschichtige Verteidigungsstrategie fahren, um diesen modernen Gefahren und der Malware, die über das DNS in die Infrastruktur gelangt und so existierende Vorkehrungen umgeht, zu trotzen. (hal)