Cybersecurity

DNS Filtering: prevenire (le minacce) è meglio che curare

16 Marzo 2023

Tu che sei un MSP sai quanto sia fondamentale preservare la cyber sicurezza dei tuoi clienti, soprattutto quando navigano in internet.

A proposito di questo vorrei porre l’attenzione su una tecnologia che è stata progettata per funzionare come una sorta di “rubrica” di indirizzi Internet.

Sto parlando del DNS (Domain Name System) che si occupa di tradurre dei semplici nomi comprensibili che appartengono a un dominio, ad esempio www.amazon.com, in indirizzi IP, ovvero stringhe numeriche attraverso le quali tutti i device di navigazione comunicano tra loro, ad esempio 192.0.2.44.

Fin qui tutto bene.

Purtroppo però, quando la tecnologia è stata implementata, non si è prestata sufficiente attenzione alle potenziali compromissioni che si sarebbero potute verificare per mano dei cyber criminali che, sempre più, affinano le loro tecniche di attacco.

Il DNS è infatti molto vulnerabile in quanto il progetto originale si basava solo su concetti di scalabilità e prestazioni, mentre alcune componenti essenziali, come la crittografia, sono state trascurate.

Questo vuol dire che le informazioni sui siti web sui quali i tuoi clienti navigano sono scambiate “in chiaro” e possono essere visualizzate:

  • “a fin di bene” dai filtri per la navigazione che si assicurano che un utente non visiti siti pericolosi o lontani dalla sfera lavorativa;
  • con scopi meno nobili da parte di aziende commercialmente interessate a quei dati, o malintenzionati che si sono intrufolati nella rete.

Per sopperire a questa mancanza e proteggere la privacy degli utenti, ecco quindi il DNS Filtering (o blocco DNS).

Di cosa parliamo quando parliamo di DNS Filtering

Si tratta di una misura di sicurezza informatica utilizzata per impedire agli utenti di accedere a siti Web non approvati su un server. Le aziende utilizzano il blocco DNS per proteggere il proprio perimetro da attacchi di phishing e da altre minacce informatiche. Attraverso i servizi di DNS Filtering, le aziende controllano ciò a cui gli utenti possono accedere, limitando l’accesso ai siti che potenzialmente presentano rischi di malware e riducendo richieste di aiuto ai loro team IT.

Gli step di un processo DNS

Abbiamo già detto che il Domain Name System è un database che traduce i nomi di dominio in indirizzi IP consentendo ai browser di caricare le pagine Internet. Tutti i dispositivi connessi a Internet hanno un indirizzo IP univoco e altre macchine possono utilizzare l’indirizzo IP per individuare un dispositivo specifico.

Quando un utente apre una pagina Web, viene eseguita una serie di passaggi per caricarla:

  • l’utente cerca il nome di dominio in un browser web. Una query DNS viene creata e inviata a un resolver DNS;
  • il resolver DNS trova e abbina il nome di dominio a un indirizzo IP, poi risolve il dominio rispondendo al dispositivo dell’utente con l’indirizzo IP corrispondente;
  • infine, il dispositivo interagisce con il server all’indirizzo IP e si connette per caricare il contenuto.
sicurezza del perimetro aziendale

3 modi in cui il DNS Filtering può salvare le PMI dagli attacchi informatici

La maggior parte delle aziende italiane sono PMI, quindi molto probabilmente tu e/o i tuoi clienti siete PMI e credo tu sia già consapevole del fatto che le minacce informatiche possono devastare la tua azienda e quella dei tuoi clienti.

Ogni tipo di minaccia sta puntando sempre più verso le PMI e questo non causa solo perdite finanziarie, ma anche significativi tempi di inattività e danni alla reputazione. Aggiungi questo al fatto che molte minacce informatiche sono basate sul Web, che i tuoi clienti useranno in maniera intensiva durante il loro lavoro, ed ecco che la frittata è fatta.

È qui che entra in gioco il DNS Filtering: andiamo allora a vedere tre modi in cui può aiutare a salvare un’azienda dagli attacchi informatici.

Blocca i siti Web di phishing

Supponiamo che qualcuno nella tua azienda riceva un’e-mail dalla sua “banca” che gli chiede di aggiornare la propria password.

Non sapendo che si tratta di un falso, questo dipendente fa clic su un collegamento che lo porta a un sito Web dannoso che assomiglia esattamente all’originale. Il tuo dipendente quindi inserisce alcune informazioni sensibili, forse scarica anche un file dannoso e bam, proprio così, i criminali ora hanno accesso alla tua rete, consentendo loro di installare malware, rubare dati e diffondere ransomware.

Fortunatamente, bloccando i nomi di dominio dei siti di phishing, un filtro DNS può stroncare gli attacchi sul nascere.

Ecco come funziona: il filtro DNS fa riferimento a database di noti nomi di dominio ritenuti pericolosi. I database di siti Web dannosi possono anche essere ordinati in categorie di minacce, come spyware, typosquatting, cryptomining e così via. Da lì, la tua azienda può bloccare siti dannosi come questi per proteggere o proteggersi dagli attacchi di phishing.

In altre parole, se si dispone di un filtro DNS, non appena lo stesso dipendente fa clic su un collegamento a un sito Web dannoso, gli viene impedito di visitarlo.

Protegge dagli attacchi machine-in-the-middle

Immagina di essere in un bar a chiacchierare con un amico, condividendo dettagli privati sulla tua vita. Probabilmente non apprezzeresti se uno sconosciuto a caso origliasse la conversazione.

Uno scenario del genere è più o meno quello che è accade in un attacco machine-in-the-middle (anche man-in-the-middle). I criminali informatici possono rubare le tue informazioni personali, password o dettagli bancari intercettando i dati scambiati tra te e un’applicazione.

Un tipo di attacco man-in-the-middle di cui le aziende dovrebbero preoccuparsi è lo spoofing del DNS.

In un attacco di questo tipo, quando il computer di un cliente effettua una richiesta a un server DNS, chiedendo dove si trova il sito Web, un hacker può invece reindirizzare il computer a un sito dannoso!

Da lì, gli hacker possono effettuare il phishing di informazioni sensibili sui clienti o sull’azienda, come descritto sopra. Per questo la crittografia DNS è essenziale. Protegge la connessione tra il computer e il resolver DNS, in modo che i criminali informatici non si frappongano fornendo voci DNS contraffatte.

Rileva potenziali attacchi DDoS

L’ultima cosa che un’azienda desidera è subire un attacco DDos (Distributed Denial of Service).

Puoi pensare a un attacco DDos come a un’invasione di zombi. Utilizzando un esercito di bot chiamato botnet, un criminale informatico può utilizzare migliaia o addirittura milioni di computer “zombie” per inondare il tuo sito Web, sovraccaricandolo e bloccandolo.

Il risultato finale? Danni al marchio, clienti arrabbiati e spesso anche perdite di fatturato.

Un tipo di attacco DDos è chiamato DNS flood, in cui il criminale informatico utilizza il proprio esercito di bot per sopraffare un server DNS e impedirgli di indirizzare richieste legittime al tuo sito web.

E, come nella maggior parte delle minacce informatiche, prima si individua un potenziale attacco DDos DNS, meglio è. Essere in grado di monitorare continuamente l’attività DNS è un ottimo modo per cogliere i segnali di allarme di un attacco di questo tipo e con un buon DNS Filtering puoi farlo.

Il web è lastricato di buone intenzioni

Bè, in realtà, mica tanto. Il web è pieno di pericoli nascosti dietro ogni angolo.

È un terreno fertile per attacchi di phishing, spyware, virus e malware, per non parlare del ransomware. E poiché questi attacchi sono sempre più frequenti e sofisticati, non è mai stato così importante per le PMI proteggersi online.

Ma sebbene avere un filtro DNS sia un ottimo modo per farlo, molte PMI non investono in uno strumento di questo tipo, lasciandole esposte.

È una scelta (o una non scelta) assurda e da buon MSP potresti e dovresti portare sulla retta via i clienti più scettici. I vantaggi del DNS Filtering, d’altronde, sono evidenti e necessari:

  • Prevenzione e protezione in tempo reale: il filtro DNS include un database continuamente aggiornato di nomi di dominio e indirizzi IP dannosi che offre alle aziende il controllo per bloccare intere categorie Web. Il filtro dei contenuti DNS si concentra sulla prevenzione degli incidenti e sulla protezione in tempo reale dei sistemi basati sul Web.
  • Risparmi tempo organizzativo: il blocco DNS ferma le minacce prima che raggiungano i livelli interni dell’infrastruttura e impedisce alle minacce di causare danni e, quindi, il team di sicurezza della tua azienda può concentrarsi su altre attività con priorità più alta.
  • Norme di conformità: il filtro DNS può aiutare le aziende a soddisfare le policy di alcune normative del settore.
  • Aggiunge un livello di protezione: il filtro DNS si integra con gli strumenti di protezione endpoint esistenti per fornire un ulteriore livello di sicurezza. La sicurezza DNS protegge i dispositivi dei tuoi clienti e i sistemi da contenuti sospetti e siti Web pericolosi, una protezione DNS dovrebbe esser parte di ogni piano completo di sicurezza degli endpoint. Una protezione DNS basata su cloud offre, inoltre, funzionalità e capacità di filtraggio migliorate che possono essere personalizzate in base alle esigenze, al budget e alle dimensioni di un’azienda.
  • Mantenere alta la produttività: oltre a bloccare i siti pericolosi noti, la protezione DNS aiuta le aziende a controllare l’accesso Web degli utenti bloccando i contenuti controproducenti. Attraverso il filtro DNS, le aziende gestiscono l’esperienza dell’utente sul Web mantenendo alta la produttività, la crescita e le operazioni aziendali.

La console di Malwarebytes, in questo senso, offre un ampio spettro di strumenti per gestire la sicurezza multistrato, tra cui proprio il DNS Filtering. Non solo endpoint protection quindi!

Se vuoi saperne di più, abbiamo preparato un Webinar On Demand durante la quale parleremo di tutti gli strumenti che la console di Malwarebytes offre agli MSP per gestire al meglio la sicurezza.

Guarda il Webinar On Demand
Autore
Claudio Panerai
Gli ultimi prodotti che vi ho portato, nel 2020: Vade Secure Il primo sistema antispam/antihishing/antimalware basato sull'intelligenza artificiale e appositamente progettato per Office 365. Naturalmente a misura di MSP. ID Agent Piaffaforma che consente agli MSP di monitorare le credenziali (proprie e dei clienti) che sono in vendita nel dark web.
Nato a Ivrea nel 1969, è sposato e padre di due figlie. Laureato in Scienze dell’Informazione nel 1993, ha dapprima svolto numerose consulenze e corsi di formazione per varie società per poi diventare responsabile IT per la filiale italiana del più grande editore mondiale di informatica, IDG Communications. Dal 2004 lavora in Achab dapprima come Responsabile del Supporto Tecnico per poi assumere dal 2008 la carica di Direttore Tecnico. Giornalista iscritto all’albo dei pubblicisti, dal 1992 pubblica regolarmente articoli su riviste di informatica e siti web di primo piano. E' stimato da colleghi e clienti per la schiettezza e onestà intellettuale. Passioni: viaggi, lettura, cinema, Formula 1, sviluppo personale, investimenti immobiliari, forex trading. Claudio è anche su LinkedIn e Facebook.
Commenti (0)
guest
0 Commenti
Inline Feedbacks
Guarda tutti i commenti