Los ataques contra el Sistema de Nombres de Dominio (DNS) son numerosos y variados, por lo que las organizaciones tienen que depender de capas de medidas de protección, como monitoreo de tráfico, inteligencia de amenazas y firewalls de red avanzados, para actuar en conjunto. Con el aumento de los ataques NXDOMAIN, las organizaciones necesitan fortalecer sus defensas DNS.
Con la lanzamiento del Escudo NS53Akamai se une a una lista cada vez mayor de proveedores de seguridad con herramientas DNS capaces de defenderse de los ataques de NXDOMAIN.. El nuevo servicio extiende las tecnologías Edge DNS de Akamai en la nube a implementaciones locales.
En un ataque NXDOMAIN, también conocido como ataque DDoS DNS Water Torture, los adversarios abruman el servidor DNS con un gran volumen de solicitudes de dominios y subdominios inexistentes (de ahí el prefijo NX) o no válidos. El servidor proxy DNS utiliza la mayoría, si no todos, de sus recursos al consultar el servidor DNS autorizado, hasta el punto en que el servidor ya no tiene la capacidad de manejar solicitudes, ya sean legítimas o falsas. Más consultas basura que llegan al servidor significan que se necesitan más recursos (CPU del servidor, ancho de banda de red y memoria) para manejarlas, y las solicitudes legítimas tardan más en procesarse. Cuando las personas no pueden acceder al sitio web debido a errores de NXDOMAIN, eso se traduce en una posible pérdida de clientes, pérdida de ingresos y daño a la reputación.
NXDOMAIN ha sido un vector de ataque común durante muchos años y se está convirtiendo en un problema mayor, afirma Jim Gilbert, director de gestión de productos de Akamai. Akamai observó que el 40% de las consultas DNS generales de sus 50 principales clientes de servicios financieros contenían registros NXDOMAIN el año pasado.
Reforzando la protección DNS
Si bien es teóricamente posible defenderse contra los ataques de DNS agregando más capacidad (más recursos significa que se necesitan ataques más grandes y más largos para derribar los servidores), no es un enfoque técnico financieramente viable o escalable para la mayoría de las organizaciones. Pero pueden reforzar su protección DNS de otras maneras.
Los defensores empresariales deben asegurarse de comprender su entorno DNS. Esto significa documentar dónde se implementan actualmente los solucionadores de DNS, cómo interactúan con ellos los recursos locales y en la nube, y cómo utilizan servicios avanzados, como Anycast y los protocolos de seguridad DNS.
"Podría haber buenas razones de cumplimiento para que las empresas quieran mantener sus activos DNS originales en sus instalaciones", dice Gilbert de Akamai, señalando que Shield NS53 permite a las empresas agregar controles de protección manteniendo intacta la infraestructura DNS existente.
La protección de DNS también debería ser parte de una estrategia general de prevención de denegación de servicio distribuido (DDoS), ya que muchos ataques DDoS comienzan con vulnerabilidades de DNS. Según Akamai, casi dos tercios de los ataques DDoS del año pasado utilizaron algún tipo de exploit DNS.
Antes de comprar algo, los gerentes de seguridad deben comprender tanto el alcance como las limitaciones de la posible solución que están evaluando. Por ejemplo, si bien los servicios de seguridad DNS de Palo Alto cubren una amplia colección de exploits DNS además de NXDOMAIN, los clientes obtienen esa amplia protección sólo si tienen el firewall de próxima generación del proveedor y se suscriben a su servicio de prevención de amenazas.
Las defensas del DNS también deberían vincularse a un sólido servicio de inteligencia contra amenazas para que los defensores puedan identificar y responder rápidamente a posibles ataques y reducir los falsos positivos. Proveedores como Akamai, Amazon Web Services, Netscout, Palo Alto e Infoblox operan grandes redes de recopilación de telemetría que ayudan a sus herramientas de protección DNS y DDoS a detectar un ataque.
La Agencia de Seguridad Cibernética e Infraestructura ha elaborado una serie de acciones recomendadas eso incluye agregar autenticación multifactor a las cuentas de sus administradores de DNS, así como monitorear los registros de certificados e investigar cualquier discrepancia.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.darkreading.com/remote-workforce/akamai-boosts-dns
