Ogni MSP ha da sempre investito sulla sicurezza, cercando di stare al passo con l’offerta di servizi, anche se l’evoluzione degli attacchi continua ad essere una minaccia per la protezione di ogni azienda. 

La Defense in Depth (DID) è, quindi, ciò su cui gli MSP basano la propria sicurezza multilivello, e il DNS Filtering è una delle prime linee di difesa da implementare per ridurre l’esposizione all’attacco. 

Prima riesci a fermare un attacco, meno saranno i danni e i tempi di riparazione. Come raggiungere questo traguardo?  Con DNS Filtering. 

Cos’è una Kill chain?

Per comprendere a pieno il funzionamento del filtro DNS, bisogna innanzitutto capire cosa sia una Kill Chain. Essa è un modello che descrive approfonditamente ognuna delle fasi di un attacco informatico, dove sono molti i framework di attacco tra cui il MITRE ATT&CK è quello con cui si dovrebbe avere avere più familiarità, essendo il difficile da combattere. Esso, infatti, copre fasi di attacco separate con oltre 200 sotto-tecniche. 

Anche se il filtraggio DNS non protegge da tutte queste tecniche, va ad interrompere i primi e più importanti passaggi che permettono di arrivare all’attacco vero e proprio. 

Vediamo ora, come il filtro DNS può interrompere una Kill Chain.

Ricognizione
La prima fase di una Kill Chain è la Ricognizione, come un controllo di un profilo Linkedin del dipendete aziendale. L' hacker controllando i vari profili può sviluppare un elenco e-mail valide per un dominio e inviare così una mail di phishing, con la speranza che l'utente clicchi su di essa o divulghi le informazioni. Il filtraggio DNS, in questo caso, può bloccare la connessione al sito Web che ospita l'attacco, indirizzando l'utente ad una pagino di blocco anziché al sito dannoso.
Sviluppo delle risorse
Un hacker durante una kill chain può impostare delle risorse per supportare altre parti della catena. Anche se non è possibile impedire di effettuarne i 5 passaggi principali, questi possono essere difesi con il filtraggio DNS, bloccando l'accesso di un endpoint.
Accesso iniziale
Durante la fase di accesso iniziale un hacker può inviare e-mail di spear phishing mirate, contenenti collegamenti che, una volta cliccati, potrebbero far scaricare file di playload dannosi. Con DNS il filtraggio della posta elettronica è però ottimale, bloccando l'utente prima che esso effettui l'accesso nella pagina dannosa.
Esecuzione
La fase di esecuzione consiste nell'esecuzione di un codice controllato da un utente malintenzionato che si abbina ad altre tecniche, per ottenere un accesso più ampio. All'interno di MITRE ATT&CK ci sono 12 sotto-tecniche di esecuzione tra cui " Command and Scripting" e "User execution" sono le più utilizzate. Per impedire però questa fase DNS ha l'opportunità di fermare l'attacco impedendo il download del playload.
Comando e Controllo
Command and Control copre le tecniche utilizzate dagli aggressori per controllare e comunicare con i sistemi compromessi. Qui il DNS Filter dà il miglior rapporto qualità prezzo: filtrando tutto il traffico con un servizio affidabile, impedisce agli endpoint compromessi di comunicare con l'infrastruttura dell'utente malintenzionato. In questo modo impedisce agli endpoint di ricevere comandi dannosi e riduce la probabilità di esfiltrazione dei dati impedendo la registrazione di un dispositivo come parte di una botnet.

Compila il form per avere maggiori informazioni su DNS Filtering 

MENU
Torna in cima