מאת: דניאל קויפמן, אנליסט סייבר, Experis Solutions
בסביבה הדיגיטלית שבה אנחנו מתנהלים ועובדים, יש הרבה מאוד פרצות שאפשר לנצל כדי לקבל גישה למאגרים הכי יקרים לארגון שלנו. חלק מהפרצות מוכרות יותר, חלק פחות, אבל אלה שמייצרות את הנזק הרב ביותר לארגון הן דווקא הערמומיות, אלה שאנחנו בכלל לא מודעים אליהן.
אחת מן הדרכים הערמומיות האלו, זאת שיטת הפריצה בעזרת DNS. השיטה הזו, שמשמעותית בעיקר בקטגוריית איסוף המידע, משתמשת בפרוטוקול הידוע ומנצלת את הצורה בה הוא עובד, כדי לאסוף מידע עליכם ועל הארגון מבלי שתהיו מודעים לכך.
DNS – לא מה שחשבתם
כדי להכיר טוב יותר את שיטת הפריצה הזו, צריך קודם כל להבין את מה שקורה ברקע. אחד הדברים שלא מודעים אליהם בדרך כלל, זה שאם תוקף מריץ שרת DNS ובוחר להגדיר אותו כדי שיחזיר תשובה של "domain not found", הוא עדיין יראה שהבקשה קרתה ברשומות שלו, אפילו אם אנחנו בתור הנתקפים נראה את הבקשה נכשלת. המנגנון הזה מאפשר לתוקף להשתמש ב- DNS בתור כלי התקפי ערמומי מאוד, שלמעשה מנטרל כמעט לחלוטין את האפשרות לאתר אותו.
בהנחה שהתוקף מריץ שרת DNS שמוגדר להחזיר “NXDOMAIN” (דומיין לא קיים), ובהנחה שהשרת שאותו הוא מעוניין לתקוף פגיע, לדוגמה ל- Shell Injection, התוקף יראה בחזרה ברשומות שלו, את הפניה של האתר הפגיע (לאחר שימוש בשאילתת URL אשר בודקת את הפגיעות, לדוגמה על ידי שימוש ב- nslookup), וכך הוא ידע בוודאות שיש אפשרות לפרוץ לאתר.
הפריצה הופכת למתוחכמת עוד יותר, כשמבינים שאף אחד גם לא יבין מה קרה, מכיוון שהרשומות של האתר הנתקף יראו פשוט “NXDOMAIN”.
כך שלמעשה, אם התוקף מחזיר NXDOMAIN, מבחינת הלקוח או ה- IDS/IPS/Wireshark שלו, הדומיין לא קיים והחיבור לא קורה. כלומר, שום תקשורת לא מתרחשת – אפילו SYN לא נשלח, ולכן ללא הקשר ובדיקה מעמיקה, גם אדם מנוסה לרוב לא יצליח לקשר את הודעת ה- NXDOMAIN לאירוע סייבר שמתרחש.
הימנעות מתקיפה במחשבה תחילה
סוג התקיפה הזה, ועוד סוגים נוספים מתוחכמים לא פחות, יכולים להימנע בעזרת שירות SOC שמאויש על ידי בקרים מיומנים. תכלית העבודה בעצם של הבקרים והבקריות בחמ"ל ה-SOC היא לסרוק תעבורת רשת בעזרת כלים מתקדמים, ולאתר את סוגי התקיפות האלה ואחרות עוד לפני שהן קורות.
עבורם זו העבודה היומיומית שמתבטאת בהתראות בלתי פוסקות שמקבלות את מלוא תשומת הלב, עבורכם זה יכול להיות אירוע הסייבר הגדול הבא, שפותח מהדורות חדשות או גורם להשבתה כוללת בארגון.
רוב הארגונים אינם מחזיקים מומחים בעלי ידע מעמיק בכל אפשרויות הפריצה וכלי ההגנה, וזו גם אחת הסיבות שארגונים רבים עוברים היום לרכישת שירותי הגנת סייבר. שירותי סייבר שמנוהלים על ידי חברות המתמחות בכלי ההגנה הטובים ביותר ומבוקרים על ידי אנליסטים מוכשרים ובקיאים, מורידים דרסטית את הסיכוי להתקפה פתע. האנליסטים שלנו מכירים את כל צורות התקיפה ומתעדכנים באופן רציף על איומי סייבר חדשים וצורת תקיפה משוכללות וערמומיות.
בשורה התחתונה, שירותי סייבר מספקים שקט לבעלי התפקידים בארגון מתוך ידיעה שמערכות הארגון מנוטרות באופן רציף ויש מי שיתריע על סכנות ויטפל בהן לפני שיגרמו נזק בלתי הפיך.
אם אתם רוצים להימנע מסוג התקיפה הזאת ומכל הסוגים האחרים, פנו אלינו כדי לבדוק האם הגנות הסייבר שיש לכם כיום מגינות עליכם בצורה מספקת, ואיך אפשר לשפר את המצב ולמנוע את הנזק העתידי.
לבדיקת ההגנות הקיימות שלכם לחצו כאן
- בניית אתרים