En février 2019, l’ICANN (Internet Corporation for Assigned Names and Numbers c’est-à-dire la société pour l’attribution des noms de domaine et des numéros sur Internet), lançait l’alerte sur des attaques mondiales sans précédent autour des infrastructures DNS. Signe que le service DNS indispensable au bon fonctionnement de tout trafic réseau, qu’il s’agisse de navigation internet ou de flux de données internes dans les entreprises, est désormais de plus en plus ciblé par les cybercriminels.
Pour mieux protéger la navigation des collaborateurs dans l’entreprise, il est important d’inclure dès maintenant le filtrage DNS dans votre chaîne de sécurité web afin de pouvoir bloquer certains flux malveillants et continuer à protéger efficacement toutes les ressources informatiques du système d’information.
Le service DNS (Domain Name System) est incontournable pour le bon fonctionnement d’Internet puisqu’il permet de transformer les noms de domaines en adresses IP. Il l’est tout autant pour le réseau informatique de l’entreprise puisqu’il permet à tous les périphériques connectés (postes de travail, tablettes, smartphones, objets connectés…) d’accéder aux autres ressources et services informatiques partagés.
Toutes les organisations exploitent donc des services DNS qui reçoivent constamment des requêtes des équipements et services connectés au réseau TCP/IP et assurent ainsi le bon fonctionnement du système d’information : disponibilité des mails, applicatifs internes ou web, trafic internet, imprimantes, supervision, caméras, IoT, etc.
Si le trafic DNS est absolument indispensable, il est pourtant rarement maîtrisé : de plus en plus d’équipements contactent les services DNS sans passer par le Proxy de l’entreprise en charge du filtrage. Cela représente un véritable risque pour les entreprises qui doivent non seulement s’assurer que le trafic internet est bien conforme aux obligations légales et culturelles mais aussi se protéger des requêtes envoyées au serveur DNS qui pourraient être malveillantes. Or, en matière de cybersécurité, l’instantanéité de la réponse est essentielle : soit le 1er appel est bloqué, soit l’organisation s’expose à des risques.
Le risque peut venir par exemple d’un malware qui pénètrerait l’organisation et appellerait des noms de domaines qui changent fréquemment via l’algorithme DGA (Domain Generation Algorithm). Dans ce cas, seul le malware et son serveur connaissent la combinaison. Si le service DNS ne fait pas de filtrage par défaut, il renverra l’adresse IP du domaine appelé et l’organisation sera exposée à des risques de piratage. Mais ce n’est qu’un exemple parmi une grande diversité des attaques DNS…
Dans le secteur privé, les objets connectés sont en plein essor mais sont souvent développés en open-source par des constructeurs et/ou éditeurs qui n’intègrent que très rarement pour l’instant une politique de « security by design ». De plus en plus de malwares peuvent s’exécuter sur ces environnements « légers » et on parle alors de « Spoofing DNS » : l’objet connecté est dévié au sein du réseau, un malware interfère pour appeler des noms différents à la place du site de l’éditeur (qui aurait vérifié par exemple s’il existait une mise à jour) et le renvoyer vers un serveur qui fera pénétrer la menace sur le réseau interne…
L’absence de filtrage de ces appareils de plus en plus nombreux dans les organisations constitue une faille de sécurité qu’il est pourtant facile de combler comme nous l’explique Farid Agha, Customer Success Manager chez Olfeo :
Pour votre stratégie de cybersécurité, il s’agit de mettre en place une protection en temps réel pour distinguer les flux réseau légitimes des flux suspects qui doivent être filtrés par le serveur DNS et ainsi assurer une protection optimale du système d’information.
La passerelle de sécurité web Olfeo répond précisément à ce besoin et propose plusieurs modes d’intégration que l’on peut mettre en œuvre très rapidement. Cela permet d’activer un service de filtrage DNS qui va contenir les utilisateurs et les accès, que ce soit pour des équipements non maîtrisés ou des équipements connectés, et appliquer des règles de filtrage. Grâce à la qualité de la base URL Olfeo, les 2% de sites web inconnus sont bloqués au niveau du serveur DNS.
