Di tutti i servizi Internet il Domain Name System, DNS, è certamente uno dei più importanti, perché ha il compito di convertire i nomi delle macchine collegate in rete in indirizzi IP e viceversa. Di conseguenza, per essere sicuri di sapere cosa sta accadendo e trovarsi nella posizione migliore per proteggere il DNS, occorre operare a livello di DNS server. Questo fa Infoblox. Ne parliamo con Juanjo Martinez Pagan, Direttore e General Manager Southern Europe di Infoblox.
In cosa consiste la vostra proposta?
Oggi gli attacchi ai servizi DNS sono in costante aumento: quello interno viene infatti utilizzato come canale di comunicazione da parte di botnet, malware, APT; mentre quello esterno è oggetto di attacchi di tipo DDoS. Da alcuni anni abbiamo deciso di incrementare i nostri investimenti per poter fornire soluzioni in grado di garantire la continuità operativa anche in situazioni critiche, capaci di mitigare in maniera efficiente ogni tipo di rischio. Oggi è indispensabile poter mettere i nostri clienti nelle condizioni di monitorare e rendere sicure le proprie reti, in qualunque situazione, ed è per questo che abbiamo realizzato la Actionable Network Intelligence Platform, una piattaforma unificata che consente alle aziende di ampliare le funzionalità di disponibilità, agilità, sicurezza e prestazioni della propria rete.
Perché il DNS viene continuamente attaccato dagli hacker?
Le aziende stanno cercando di gestire il fenomeno della digital transformation, dove il numero degli oggetti connessi alla rete cresce in modo esponenziale. Basti pensare all’Internet of Things, anzi all’Internet of Everything indicato da Cisco, che a mio parere è il termine più corretto, dove le organizzazioni stanno perdendo il controllo su quanto gira in rete e non riescono più a gestirlo nel rispetto della sicurezza. Quando non sai realmente cosa sta accadendo nella tua rete, diventa impossibile garantirne la sicurezza. Tuttavia, la Actionable Network Intelligence rappresenta l’elemento fondante per realizzare un eco sistema di sicurezza, di fatto massimizziamo le informazioni che derivano dalla posizione che occupiamo in rete, raccogliendo tutti i dati analitici prodotti e permettendone la condivisione con tutti i principali player sui temi di sicurezza. Questo abilita il potenziamento delle funzionalità di visibilità, governance e sicurezza totale.
Come possono organizzarsi le aziende per difendersi?
Il focus sulla cybersecurity si è intensificato in seguito alle numerose violazioni di sicurezza avvenute nei mesi passati sia negli Stati Uniti, sia con gli attacchi del ransomware WannaCry avvenuti a marzo in tutta Europa, che hanno disabilitato il servizio sanitario nazionale nel Regno Unito. A mio avviso, ci sono due principali passi che le aziende dovrebbero compiere per definire le strategie di sicurezza. Il primo passo è legato essenzialmente al liberarsi dal pensiero che per difendere al meglio il perimetro aziendale dei propri sistemi IT sia sufficiente acquistare firewall ad alte prestazioni. Oggi, il 50% delle organizzazioni si comporta ancora in questo modo, e mentre affermano di comprendere i rischi esponenziali a cui vanno incontro, non si preparano con budget e strategie per rispondere adeguatamente ai cyberattack in continua crescita, di fatto il traffico DNS nella maggior parte dei casi non è monitorato.
Il secondo passo che dovrebbero compiere le aziende è in direzione dei vendor: dovrebbero sollecitarli maggiormente. L’acquisto del prodotto migliore sul mercato non funziona più, l’acquisto del miglior firewall e del miglior sistema di point-end e del miglior DNS non è più sufficiente. Perché questi oggetti non comunicano tra loro e le imprese dovrebbero poter mettere in contatto vendor e system integrator per chiedere loro “oggi sto acquistando questo prodotto, ma come funziona realmente con tutte le mie applicazioni?” Se il vendor oggi non è in grado di dimostrare la completa partnership e la possibilità di integrare le proprie funzionalità con un più ampio eco sistema di sicurezza, la soluzione non dovrebbe essere presa in considerazione. Oggi è indispensabile l’implementazione di policy di sicurezza cross platform per proteggere l’intero network.
Quali sono i punti di forza di Infoblox?
Offriamo una gamma di soluzioni DDI (DNS, DHCP ed IPAM) che garantiscono i più elevati livelli di servizio nella gestione automatizzata dei core network IP service: questi includono oltre ai servizi DNS anche i servizi DHCP (Dynamic Host Configuration Protocol), i servizi IPAM (IP Address Management) e i servizi di Network Configuration and Change Management. In particolare la nostra soluzione per il DNS sicuro, corredata da servizi di monitoraggio e gestione centralizzati altamente performanti, garantisce la disponibilità del servizio DNS anche quando il servizio è sotto attacco. Questo viene realizzato grazie all’implementazione di una soluzione di sicurezza integrata nel DNS che si compone di apparati e rules di rilevamento innovative. Inoltre, gli strumenti di Infoblox si basano su una tecnologia che consente di rilevare, bloccare e mitigare gli attacchi al DNS e per mezzo del DNS, sia con soluzioni hardware integrate sia software. Questo approccio garantisce la massima disponibilità dei servizi anche su reti eterogenee, composte cioè non solo da appliance hardware Infoblox ma anche da appliance virtuali su VMware, Hyper-V di Microsoft, XEN, KVM ed Amazon e/o da sistemi virtuali su piattaforme Cisco e Riverbed.
Come funzionano le vostre soluzioni?
Infoblox gestisce i servizi DHCP (Dynamic Host Configuration Protocol) ma soprattutto i servizi DNS. E sappiamo bene che tutto inizia e finisce con il DNS. Prima di poter navigare in rete avviene sempre una risoluzione DNS, prima di poter accedere alle applicazioni abbiamo bisogno del DNS, parlando di canali social non si può accedere a WhatsApp o Facebook senza DNS, quindi quando il vostro PC è infettato da un malware, Infoblox ne è al corrente perché processa ed analizza tutto il traffico DNS, sia quello relativo a nomi di dominio legittimi che quello relativo a nomi di dominio malevoli . Quando un malware viene scaricato maliziosamente sul vostro computer senza che voi lo sappiate, possiamo interromperne tutte le comunicazioni DNS associate. Attraverso il DNS possiamo intercettare qualsiasi tipo di malware che si appropri e renda inutilizzabili i vostri dati. Nessuno sa cosa sta accadendo nel DNS, ad eccezione di Infoblox. E’ indispensabile agire come un server DNS per poter proteggere il DNS, è necessario completare le richieste di query e sezionarle alla massima velocità per identificare correttamente se qualcosa è pericoloso in termini di sicurezza.
