Aunque los MSP han estado realizando importantes inversiones en seguridad y ofreciendo servicios, es un reto mantenerse al día con la frecuencia y la sofisticación cambiante de las amenazas de ciberseguridad actuales. La defensa en profundidad (DiD) es la base sobre la que la mayoría de los MSP han construido un enfoque de seguridad en capas para hacerles frente.
El filtrado de DNS es una de las líneas de defensa más sólidas y rápidas que puede implementar como parte de una oferta de seguridad por capas para reducir la exposición de sus clientes a las amenazas maliciosas y, a su vez, ayudar a reducir tus gastos operativos.
Cuanto antes se pueda detener un ataque, menos daño se producirá. Se invertirán menos horas en la reparación y las operaciones de tus clientes sufrirán menos. Estos son objetivos por los que se esfuerza todo MSP, pero ¿cómo le ayuda el filtrado de DNS a conseguirlos?
¿Qué es una cadena de seguridad?
Entender lo que es una kill chain facilita la comprensión de cómo funciona el filtrado DNS para proteger contra las amenazas de ciberseguridad. Una kill chain es un modelo basado en fases que describe las etapas por las que pasa un ciberataque para que el atacante logre su objetivo final. Hay muchos marcos diferentes, y algunos son más detallados que otros. La matriz ATT&CK de MITRE es quizás el marco más sólido y actual y con el que debería estar familiarizado. El marco MITRE ATT&CK cubre fases de ataque separadas a través de 14 etapas con más de 200 sub-técnicas.
Aunque el filtrado de DNS no protege contra todas las técnicas definidas en el marco MITRE ATT&CK, sí interrumpe las primeras y algunas de las más importantes etapas, lo que es quizás su característica más potente.
Cómo el filtrado de DNS interrumpe una cadena de seguridad
El filtrado de DNS interrumpe una cadena de muerte en cinco áreas clave:
Reconocimiento
La primera etapa de una cadena letal es el reconocimiento. A veces esto es tan simple como que un atacante busque en LinkedIn a los empleados de una empresa y luego envíe correos electrónicos de phishing. Nada puede impedir que un atacante elabore una lista de correos electrónicos válidos para un dominio y luego envíe correos electrónicos de phishing con la esperanza de que un usuario haga clic en un enlace o divulgue información. Una solución de filtrado de correo, la formación en materia de ciberseguridad para que los usuarios finales no respondan a los mensajes sociales de «cómo se llamaba tu primer perro» y una solución de filtrado de DNS son grandes apuestas para combatir el reconocimiento.
Si el filtro de correo no capta el mensaje, o si el usuario final lo anula y abre la correspondencia de todos modos para hacer clic en un enlace del interior, entonces una solución de filtrado de DNS tiene la oportunidad de bloquear la conexión con el sitio web que aloja el ataque de phishing. El usuario final es llevado a una página de bloqueo en lugar del sitio web malicioso real, lo que puede interrumpir la recopilación de información de un atacante, lo que significa que el atacante tendrá que empezar de nuevo con otros métodos.
Desarrollo de recursos
Estas son las técnicas que un atacante puede utilizar para establecer recursos para apoyar otras partes de la cadena de asesinato. El marco ATT&CK de MITRE las define como: Adquirir infraestructura, comprometer cuentas, comprometer la infraestructura, desarrollar capacidades, establecer cuentas, obtener capacidades y poner en escena capacidades.
Aunque no se puede evitar que un atacante realice cualquiera de estos pasos, el uso posterior de los cinco sub-pasos de las Capacidades de la Etapa (cargar malware, cargar herramientas maliciosas, instalar un certificado digital, dirigir el objetivo a través de un enlace y dirigir el objetivo a través de un enlace) pueden ser defendidos mediante el filtrado de DNS. Si un atacante utiliza sistemas comprometidos o carga malware u otras herramientas de entrada a servidores maliciosos conocidos, el filtrado DNS puede bloquear el acceso de un punto final a ese recurso.
Acceso inicial
Al igual que el phishing en la fase de reconocimiento, durante la fase de acceso inicial un atacante puede enviar correos electrónicos de phishing selectivo, pero en lugar de recopilar información, éstos entregan una carga útil. Los correos electrónicos de phishing pueden contener enlaces que podrían evadir una solución de filtrado de correo y, una vez que se hace clic, pueden descargar un archivo de carga útil malicioso de servidores maliciosos conocidos. Una vez más, el filtrado del correo electrónico, la formación en ciberseguridad para los usuarios finales y el filtrado del DNS son algunas de las defensas más fuertes en este caso.
El Drive-by Compromise también es una técnica utilizada para el acceso inicial. Los atacantes pueden comprometer sitios web legítimos existentes para redirigir la información a la infraestructura del atacante o intentar entregar cargas útiles maliciosas a través del sitio comprometido. Un filtro DNS puede bloquear el acceso al sitio web comprometido si tiene actividad maliciosa conocida.
Ejecución
La etapa de ejecución consiste en ejecutar código controlado por el atacante en un sistema. A menudo se combina con otras técnicas para lograr un compromiso más amplio de un entorno o la entrega de una carga útil. En el marco de MITRE ATT&CK hay 12 subtécnicas listadas bajo Ejecución. De ellas, la interpretación de comandos y scripts y la ejecución por parte del usuario son probablemente las más utilizadas.
Si un actor de la amenaza consigue que su código se ejecute en un endpoint, por ejemplo a través de una macro incrustada en un documento de Word que llama y ejecuta un script de PowerShell para descargar y ejecutar una carga útil maliciosa, entonces un filtro DNS tiene la oportunidad de detener esta técnica de ataque impidiendo la descarga de la carga útil desde el sitio malicioso conocido en el que está alojada.
Comando y control
El comando y control abarca las técnicas que los atacantes utilizan para controlar y comunicarse con los sistemas comprometidos. Aquí es donde el filtrado de DNS quizás le da el mayor beneficio por su dinero. Al filtrar todo el tráfico DNS a través de un servicio de confianza, puede evitar que los puntos finales comprometidos se comuniquen con la infraestructura de mando y control de un atacante. Esto puede evitar que los puntos finales reciban comandos maliciosos, reduciendo la probabilidad de exfiltración de datos y evitando que un dispositivo se inscriba como parte de una red de bots.