¿Alguna vez se preguntó cómo puede subir la apuesta cuando se trata de ciberseguridad? ¿Alguna vez pensó en hacerlo consultando el historial de DNS de un dominio?
Los registros del sistema de nombres de dominio (DNS) pueden proporcionar mucha información para comprender cómo ocurrió un ciberataque, qué herramientas, tácticas y procedimientos (TTP) utilizaron los atacantes y, lo más importante, quién está detrás de ellos.
Como tal, las soluciones fácilmente disponibles, como la API de búsqueda de DNS y la descarga de la base de datos de DNS, pueden proporcionar información que es fundamental para las investigaciones de delitos cibernéticos. Con estos, los especialistas en seguridad pueden determinar dónde se alojan los dominios, junto con todos sus servidores de correo, direcciones IP y servidores de nombres conectados. Estos datos pueden ayudar a los investigadores de ciberseguridad y a los cazadores de amenazas con sus esfuerzos de análisis de riesgos y recopilación de inteligencia sobre amenazas.
Sin embargo, a pesar de sus múltiples usos, las soluciones de búsqueda de registros DNS están infrautilizadas cuando se trata de mantener la postura general de ciberseguridad de una red. Por eso, enumeramos solo algunas de sus aplicaciones y ataques que pueden ayudar a prevenir.
Utilizando Búsqueda de DNS Soluciones para reforzar la ciberseguridad
Mediante el uso de soluciones proactivas, los especialistas en seguridad pueden conocer los entresijos de los ataques para, en consecuencia, idear mejores estrategias de seguridad para prevenirlos antes de que puedan causar daños importantes. Por ejemplo, así es como puede ayudar el uso de soluciones como la API de búsqueda de DNS y la descarga de la base de datos DNS:
Una base de datos pasiva, como la descarga de la base de datos DNS, permite a los usuarios ver cuándo se actualizó por última vez un dominio. La realización de cambios de dominio suele llevar mucho tiempo y no suele realizarse después de la configuración inicial (cuando se registró). Si la última vez que se actualizó un dominio no coincide con su fecha de registro o cuando su propietario lo modificó por última vez, eso podría ser una señal de un ataque. Mientras tanto, una API de búsqueda de registros DNS enumera todas las direcciones IP y de servidor, subdominios, certificados y registros adjuntos a un dominio. Si alguno de estos no coincide con la configuración que estableció el propietario del dominio, también podrían ser indicativos de ataques.
Amenazas que las búsquedas de DNS pueden ayudar a abordar
Los atacantes cibernéticos a menudo abusan de los registros DNS mal configurados para iniciar el secuestro de DNS, el envenenamiento de la caché, la denegación de servicio (DoS) y otros ataques. Y han demostrado ser exitosos hasta donde muestran estos eventos y estadísticas recientes:
Vimos un ataque de secuestro de DNS a escala global en enero de 2019. Apodado “DNSpionage”, los presuntos piratas informáticos iraníes pudieron acumular enormes volúmenes de contraseñas de cuentas de correo electrónico y otros datos confidenciales de varios gobiernos y empresas privadas en todo el mundo. Los atacantes pusieron en peligro varios registros DNS insuficientemente seguros y los manipularon para robar datos de los sistemas conectados. Probablemente uno de los ataques de envenenamiento de caché más importantes se registró en Brasil en 2011. En él, los atacantes redirigieron las computadoras de los usuarios afectados a páginas de alojamiento de malware antes de permitirles acceder a las páginas reales que deseaban visitar. Lo hicieron inyectando malware en los servidores vulnerables de los proveedores de servicios de Internet (ISP). Hasta la fecha, vemos la friolera de 30.000 ataques DoS por día que resultan en la interrupción del servicio para las empresas que no están lo suficientemente preparadas para tales amenazas. Las víctimas pueden variar desde pequeñas empresas hasta grandes empresas que a veces quedan fuera de Internet durante horas o días, lo que se traduce en productividad y pérdida de ingresos. Vimos el ataque DoS distribuido (DDoS) más masivo el año pasado, que afectó a una organización no revelada con 500 millones de paquetes por segundo (PPS).
Sin embargo, como se dijo anteriormente, aunque los ataques basados en DNS son difíciles de detectar, es posible mitigar los riesgos. Prestar más atención a la infraestructura de DNS de su organización para asegurarse de que ninguno de sus registros haya sido o pueda ser alterado es una forma de evitar convertirse en la próxima víctima. Las comprobaciones periódicas de una base de datos de DNS pasiva también pueden ayudar a ver si hay algún problema.
Mantener la integridad de su infraestructura de DNS es fundamental para una postura general saludable de ciberseguridad. La API de búsqueda de DNS y la descarga de la base de datos de DNS pueden ayudar a los especialistas en seguridad a buscar ataques continuos en sus dominios y evitar repercusiones de ataques basados en DNS más costosas. Con el conocimiento de los problemas de seguridad y las vulnerabilidades en su red, puede reforzar su seguridad, especialmente en las áreas que tienen más probabilidades de ser atacadas.
¿Tienes alguna idea sobre esto? Háganos saber más abajo en los comentarios o lleve la discusión a nuestro Twitter o Facebook.
Nota del editor: Jonathan Zhang es el fundador y director ejecutivo de Threat Intelligence Platform (TIP), un proveedor de datos, herramientas y API que se especializa en detección automatizada de amenazas, análisis de seguridad y soluciones de inteligencia de amenazas para empresas Fortune 1000 y de ciberseguridad. TIP es parte de la familia de API WhoisXML, un proveedor de inteligencia confiable por más de 50,000 clientes.
