Das Unternehmensnetzwerk ist schon lange kein einzelner Perimeter mit Zweigniederlassungen mehr, der nur durch das Internet mit der Außenwelt verbunden ist. Im wachsenden Netzwerkdschungel ist es aber oft schwierig, den Gesamtüberblick zu behalten. Das Netzwerk in einzelne Silos zu unterteilen, um dem Gesamtkonstrukt eine Struktur zu geben, wirkt daher auf den ersten Blick verlockend – stellt aber den falschen Ansatz dar. Denn Silodenken führt zu Problemen. Das wohl Wichtigste dabei ist die oftmals fehlende Kommunikation zwischen Insellösungen. Denn in den Silos werden die unterschiedlichsten Sicherheitstools implementiert – und dann auch meist mehr als eines.

Next-Generation-Firewalls, Web-Gateways, E-Mail-Security, Endpoint-Security – die Sicherheitslösungen in den einzelnen Sektoren stapeln sich teilweise. Die unbeabsichtigte Folge dieser Strategie: Die einzelnen Systeme kommunizieren nicht nur schlecht, sondern oft auch falsch miteinander. Sind beispielsweise Schnittstellen nicht richtig konfiguriert, lösen gegebenenfalls sogar die Sicherheitstools untereinander falsche oder doppelte Warnmeldungen aus, die die bereits überlasteten Sicherheitsteams überfordern. Für IT-Abteilungen bedeutet das, dass Arbeitsabläufe teilweise nicht mit nur einem Security-Tool vollständig abgedeckt werden können, Kommunikationsschnittstellen immer möglichst aktuell gehalten werden und Mitarbeiter stetig in der Nutzung der vielen verschiedenen Tools geschult werden müssen.

Ressourcen, die anderweitig besser genutzt wären. Dies ist gerade bei größeren Unternehmen ein noch ausgeprägteres Problem, denn diese sind eventuell verstreut und durchlaufen Umstrukturierungen wie mobiles Arbeiten, eine Multicloud-Einführung oder SaaS und SD-WAN-Implementierungen. Die Praxis zeigt, dass laut einer Ponemon-Studie im Durchschnitt noch immer mehr als 200 Tage vergehen, bis eine Sicherheitsverletzung erkannt wird. Und auch eine Forrester-Studie zeichnet ein düsteres Bild: 53 Prozent der befragten Sicherheitsteams benötigen mehr als acht Stunden, um eine Bedrohung im eigenen Netzwerk zu untersuchen.

Die gute Nachricht: Die Werkzeuge, um eine einheitliche, umfängliche Übersicht über das eigene Netzwerk zu erhalten, gibt es schon – das Domain Name System. Denn als Dreh- und Angelpunkt der Kommunikation im Internet kann das DNS das Herzstück integrierten Netzwerkmanagements und -sicherheit sein.

Ohne das Domain Name System wäre jede Aktivität im Web eine beschwerliche Angelegenheit. Denn das DNS sorgt dafür, dass Eingaben von URLs in die deutlich komplizierteren IP-Adressen umgewandelt werden und der Nutzer so die gewünschte Website erreicht. So praktisch das DNS für User ist, so gefährlich kann es auch sein, ist es nicht richtig abgesichert. Denn Cyberkriminelle missbrauchen das Protokoll auch für ihre Machenschaften.

Ob Diebstahl vertraulicher Unternehmensdaten (Datenexfiltration), Einschleusen von Malware in kleinen Datenpaketen (Dateninfiltration) oder das Anlegen eigener Kommunikationstunnel, um den Datentransport noch komfortabler zu machen: Hacker nutzen das Domain Name System als Transportweg in Netzwerke. Wie also kann das DNS bei der umfangreichen Absicherung der eigenen Netzwerke helfen?

Um verstehen zu können, wie das DNS bei der umfangreichen Absicherung der eigenen Netzwerke helfen kann, müssen wir die Historie betrachten: Anfang der 2000er-Jahre war die Sicherheit des DNS tendenziell noch eine Nebensache. Zu dieser Zeit hatten BIND-Nameserver, die bis heute ein wichtiger Standard im DNS sind, nur zwei Sicherheitsfunktionen: Sie akzeptierten keine Antworten von IP-Adressen, die sie nicht abgefragt hatten (auch bekannt als "Mars-Antworten"). Zudem fügten sie eine zufällige 16-Bit-Zahl in ausgehende Anfragen ein und überprüften, ob diese Zahl in den Antworten zurückkam. Erst später wurde bekannt, dass diese Prüfzahl nicht wirklich zufällig war. Kein Wunder also, dass DNS-Server lange Zeit ein lohnendes Ziel von Angriffen waren. Es gab beispielsweise den Li0n-Wurm, der sich eine Schwachstelle in BIND zunutze machte. Und natürlich werden DNS-Server aller Art häufig als Verstärker bei DDoS-Angriffen eingesetzt und sind bis heute selbst Ziel solcher Attacken.

Nichtsdestotrotz: Mit der Zeit verbesserte sich die Sicherheit von DNS-Servern und des DNS selbst. BIND wurde optimiert, um Zugriffskontrolllisten für fast alles zu unterstützen: Abfragen, rekursive Abfragen, Zonenübertragungen und dynamische Aktualisierungen. Die DNS-Community begann mit dem Betrieb von DNS-Servern in chroot-Umgebungen nach dem Prinzip des "least privilege". Zusätzlich wurden Transaktionssignaturen (TSIG) und DNS-Sicherheitserweiterungen (DNSSEC) eingeführt, um das DNS weiter zu schützen. Aber auch, wenn das DNS selbst nicht angegriffen wird, bleibt es doch der Kommunikations-Highway, den auch Hacker für ihre Angriffe nutzen.

Wo liegt also der Vorteil des DNS bei der Absicherung von Netzwerken? Cyberangriffe sind so unterschiedlich wie die Angriffsvektoren, die sich den Hackern bieten. Eines haben aber fast alle gemeinsam: Sie sind auf das DNS angewiesen. Denn auch sie nutzen das "Telefonbuch des Internets" für fast jede Kommunikation im Netz. Beispielsweise verwendet über 90 Prozent der Malware DNS, um Daten zu exfiltrieren, Traffic umzuleiten oder auf eine andere Weise mit dem Angreifer zu kommunizieren. Daher sind im DNS alle Daten enthalten, um einen Angriff zu erkennen. Verteidiger, die ihr DNS stets im Blick haben, können sich diesen Umstand zunutze machen und unerwartete, atypische Kommunikation schnell aufdecken und Gegenmaßnahmen einleiten. Ohne Frage eine Mammutaufgabe. Künstliche Intelligenz hilft dabei, den Überblick zu behalten und die schadhaften Kommunikationsanfragen automatisch herauszufiltern.

Das Potenzial des DNS als eigenes Sicherheitstool wurde erst in jüngster Zeit erkannt. Mit dem Aufkommen der Re-sponse-Policy-Zones im Jahr 2008 ließen sich DNS-Server so nutzen, dass sie "wohlwollende Lügen" ausgaben, wenn sie eine Informationsabfrage erhalten haben, deren Antwort schadhaft für die abfragende Stelle sein könnte. Mindestens genauso wichtig war die Möglichkeit zu erkennen, wenn ein DNS-Server nach Daten abgefragt wurde, von denen bekannt ist, dass sie schadhaft sind. Seitdem gibt es Unternehmen, die DNS-Bedrohungsdaten in Form von Response Policy Zones (RPZ) aufbereiten und sie ihren Kunden in dieser Form professionell anbieten. Unternehmen können so eine Vielzahl von RPZ-"Feeds" in ihre DNS-Infrastruktur einbinden und ihre DNS-Server in die Lage versetzen, Benutzer und Systeme vor bekannten Malware-Verbreitungsstellen, Command-and-Control-Infrastrukturen und vielem mehr zu schützen.

Auch beim zentralen Monitoring der Netzwerkgesundheit sind RPZs hilfreich, beispielsweise beim Erkennen von Infektionen und Sicherheitsverletzungen im Gesamten: Ein Laptop, der eine Abfrage an einen Domain-Namen sendet, der eindeutig von einer bestimmten Art von Malware verwendet wird, ist mit ziemlicher Sicherheit mit dieser Malware infiziert. Mit diesem Wissen können schnell und effizient die wichtigen Maßnahmen ergriffen werden, ohne dass erst eines der vielen anderen Security-Tools anschlagen muss. Und die Vorteile des zentralen DNS als Sicherheitsebene gehen noch weiter: Unternehmen, die alle ihre DNS-Abfrageprotokolle archivieren, haben im Fall einer Infektion ein wichtiges Werkzeug in der Hand. Denn selbst wenn der Angreifer nicht sofort entdeckt wird, kann in diesen Protokollen nachvollzogen werden, auf welche anderen Systeme der Hacker zugegriffen hat und wie er sich im Netzwerk bewegte. So kann der Angriff ganzheitlich rekonstruiert und nachvollzogen werden.

Die fortschrittlichsten Unternehmen und Anbieter speisen DNS-Telemetriedaten – "passives DNS" genannt – in Datenspeicher ein und lassen diese dann durch Machine-Learning-Algorithmen analysieren. Ausgefeilte Algorithmen können verschiedenste Arten von schadhaften Aktivitäten in passiven DNS-Daten erkennen: Darunter beispielsweise Anfragen, die von Domain Generating Algorithms (DGAs) gesendet werden. Dabei handelt es sich um Codes, die automatisch eine Liste von Domänen erstellen, die von Malware-Clients zur Kommunikation mit einer Reihe von Command-&-Control-Sites (C&C) verwendet werden.

Diese Domänen dienen als Treffpunkt für Malware und von Hackern kontrollierten Servern, die heimlich über ein Backhaul-Netzwerk kommunizieren. Sobald eine der DGA-Domänen von der IT Security erkannt und blockiert wird, wechseln der Malware-Client und der C&C-Server zur nächsten Domäne auf der Liste, um die Abwehrmaßnahmen zu umgehen. Der Algorithmus zur Abwehr kann hier beispielsweise Regelmäßigkeiten in den neu kreierten Domain-Namen erkennen und diese direkt als Bedrohung identifizieren.

Das DNS ist ein unverzichtbarer Bestandteil eines modernen Sicherheits-Toolkits und spielt sowohl eine aktive als auch eine unterstützende Rolle bei der Sicherung von Netzwerken und der Verfolgung bösartiger Aktivitäten. Gleichzeitig ist das DNS schon ein zentrales Tool, das vorhanden ist und alle Abteilungen miteinander verbindet. Der Paradigmenwechsel weg von den Silos und hin zu einem ganzheitlich integrativen Ansatz wird dadurch nur erleichtert.