In het voortdurend veranderende landschap van cyberbeveiliging zijn aanpassing en innovatie van het grootste belang. Toch kunnen sommige ontwikkelingen, hoewel veelbelovend, onbedoeld kwetsbaarheden introduceren. Een opvallend voorbeeld hiervan is de opkomst van DNS over HTTPS (DoH) en de bijbehorende cyberbeveiligingsrisico’s in bedrijfsomgevingen. DoH is in eerste instantie ontworpen om de privacy en veiligheid van gebruikers te verbeteren, maar wanneer het wordt misbruikt door kwaadwillenden kan het de beveiliging van een onderneming aanzienlijk ondermijnen.
DNS? DoH? Waar gaat het over?
Zie het internet als een uitgestrekte stad en elke website is daarbinnen een gebouw. Hoe vindt u de exacte locatie (IP-adres) van uw gewenste website (zoals ‘google.com’)? U raadpleegt de digitale directory die bekend staat als het Domain Name System (DNS).
In essentie is DNS een systeem dat mensvriendelijke domeinnamen vertaalt naar IP-adressen, die computers gebruiken om elkaar te identificeren op het netwerk. In plaats van een complexe reeks getallen te onthouden zoals 2a00:1450:400c:0c00:0000:0000:0000:0065, onthouden we ‘google.com‘ en DNS doet het zware werk.
Traditionele DNS-query’s zijn vergelijkbaar met het versturen van een ansichtkaart-open voor iedereen om te onderscheppen en te lezen waar je naartoe gaat op het internet. Bovendien is het vaak de onderneming of de internetprovider die de symbolische namen omzet in adressen en dus de mogelijkheid heeft om je zoekopdrachten te loggen. DNS over HTTPS (DoH) revolutioneert dit proces echter. Het kapselt je ‘ansichtkaart’ in een veilige envelop, waardoor het voor nieuwsgierige ogen aanzienlijk moeilijker wordt om je internetbestemmingen te achterhalen. Om deze verhoogde beveiliging te bereiken, maakt DoH gebruik van het beveiligde HTTPS-protocol, dat op dezelfde manier wordt gebruikt om uw webverkeer af te schermen van nieuwsgierige ogen.
DoH: de Phantom Menace voor cyberveiligheid in het bedrijfsleven
In essentie is DNS over HTTPS (DoH) ontworpen om de privacy en veiligheid van webgebruikers te verbeteren. Door DNS-query’s te versleutelen binnen het reguliere HTTPS-verkeer, kan het iemands online handelingen meer privé en veiliger maken voor afluisteraars. In een wereld waar online privacy een steeds belangrijker goed wordt, lijkt DoH een stap in de goede richting. Maar voor bedrijven brengt diezelfde versleuteling uitdagingen met zich mee die niet genegeerd kunnen worden.
Traditionele netwerkbeveiligingsmaatregelen zijn van oudsher sterk afhankelijk van het monitoren van DNS-verkeer, een cruciaal onderdeel bij het identificeren en beperken van DoH-cyberbeveiligingsrisico’s in bedrijfsomgevingen. Door deze waakzaamheid zijn bedrijven in staat geweest om te controleren op verdachte domeinverzoeken, de toegang tot mogelijk schadelijke websites te blokkeren en malwarecommunicatie met commando- en controleservers te detecteren. Door de komst van DoH worden deze DNS-query’s echter effectief verborgen, waardoor ze onzichtbaar worden voor de ogen van conventionele monitoringtools. Wat eerst een transparante gegevensstroom was, wordt nu ondoorzichtig, waardoor het voor cyberbeveiligingsprogramma’s moeilijk wordt om onderscheid te maken tussen regulier webverkeer en potentieel schadelijke DNS-verzoeken, waardoor de cyberbeveiligingsrisico’s van DoH in bedrijfsomgevingen toenemen.
Exfiltratie van gegevens
Een van de grootste risico’s van DoH is stille exfiltratie van gegevens. In een wereld van toenemende cyberspionage is de waarde van bedrijfsgegevens nog nooit zo hoog geweest. Intellectueel eigendom, financiële gegevens, klantinformatie en strategische plannen zijn goud waard voor cybercriminelen.
Met DoH hebben kwaadwillende actoren de mogelijkheid om heimelijk gegevens over te hevelen. Ze bereiken dit door de gegevens in te sluiten in versleuteld HTTPS-verkeer, waardoor de gegevensextractie naadloos overgaat in standaard webverkeer. Deze integratie maakt detectie dan ook buitengewoon lastig, omdat de kwaadaardige activiteiten worden verborgen onder het mom van normaal internetgebruik.
Communicatie met malware
Net zoals mensen vertrouwen op communicatie, doen malware en hun controllers dat ook. Command-and-control servers dicteren de acties van malware, van het verzamelen van gegevens tot het lanceren van verdere aanvallen. Traditioneel was deze communicatie een zwakke schakel, detecteerbaar via DNS-verkeeranalyse.
DoH verandert het landschap drastisch voor cybercriminelen en vermindert hun kwetsbaarheid. Met deze technologie krijgt malware de mogelijkheid om discreet met zijn controller te communiceren, zijn signalen versleuteld en gecamoufleerd in het gewone webverkeer. Deze ontwikkeling bemoeilijkt de identificatie en neutralisatie van malware aanzienlijk, waardoor de kwaadaardige software extra tijd krijgt om een ravage aan te richten of zich te verspreiden over het netwerk van een onderneming.
Navigeren door DoH in het bedrijfsleven: Het goede en het risico
Een andere uitdaging bij DoH is het onderscheid tussen legitiem en kwaadwillig gebruik. Niet elk geval van DoH-gebruik is kwaadaardig. Veel moderne webbrowsers gebruiken DoH om de privacy van gebruikers te verbeteren. Dit betekent dat een bedrijf een toename in DoH-verkeer kan zien, alleen vanwege een browserupdate.
Maar te midden van deze toename kan een cybercrimineel DoH gebruiken voor kwaadaardige doeleinden. Onderscheid maken tussen de twee wordt een complexe taak, waarvoor geavanceerde cyberbeveiligingsoplossingen en een verschuiving in de traditionele aanpak voor het opsporen van bedreigingen nodig zijn.
Bots en achterdeurtjes
Een van de grootste problemen met DoH in een bedrijfsomgeving is de mogelijke uitbuiting ervan door bots en backdoors. Deze kwaadwillende entiteiten kunnen DoH gebruiken om geheime kanalen op te zetten, traditionele DNS-gebaseerde detectiemechanismen te omzeilen en zelfs gevoelige gegevens te exfiltreren.
Het onmiskenbare risico van DoH in bedrijfsbeveiliging
Hoewel DNS over HTTPS (DoH) ontegenzeggelijk de privacy van individuele gebruikers verbetert, vormt deze versleutelde methode voor het omzetten van domeinnamen een enorme uitdaging in de context van de cyberbeveiligingsrisico’s van DoH in bedrijfsomgevingen. De sluier van privacy die het introduceert kan, hoewel gunstig in sommige contexten, ook worden misbruikt, wat een tweesnijdend zwaard is voor bedrijven. Dit vraagt om een nader onderzoek naar de specifieke cyberbeveiligingsrisico’s die gepaard gaan met de komst van DoH in bedrijfsomgevingen.
1. Verlies van zichtbaarheid en de DoH-uitdaging
Het meest directe risico van DoH is het verlies van inzicht in DNS-verkeer, een kritisch onderdeel van veel beveiligingscontrolesystemen.
Traditionele DNS-monitoring kan bedreigingen, afwijkingen en potentiële gegevensschendingen detecteren door onversleutelde DNS-query’s te analyseren. Met DoH zijn deze query’s niet meer te onderscheiden van normaal HTTPS-verkeer. Voor ondernemingen wordt het moeilijker om onderscheid te maken tussen echt verkeer, goedaardige DoH-verzoeken en kwaadaardige DoH-query’s. Deze vervaging bemoeilijkt de analyse van bedreigingen enorm. Deze vervaging compliceert de analyse van bedreigingen enorm.
2. De ineffectiviteit van beveiligingsmiddelen tegen DoH
Veel beveiligingstools vertrouwen op de transparantie van DNS-verkeer om effectief te kunnen functioneren.
Firewalls die domeingebaseerde regels gebruiken om schadelijke domeinen te blokkeren, worden minder effectief omdat ze de daadwerkelijke DNS-query’s niet kunnen zien wanneer DoH wordt gebruikt. Tools die zijn ontworpen om inbreuken op gegevens te detecteren door DNS-query’s te controleren op grote of verdachte gegevensoverdrachten, missen mogelijk exfiltratiepogingen die verborgen zijn in DoH.
3. Stealthy malware-activiteiten
DoH biedt een bijna perfect kanaal voor malware om te communiceren met hun command-and-control servers.
Malware en botnets kunnen DoH gebruiken om clandestien opdrachten te ontvangen of gegevens door te sluizen, waardoor de traditionele DNS-gebaseerde detectiemechanismen worden omzeild. Deze vrijheid om te communiceren via DoH stelt malware in staat om te evolueren in reactie op defensieve maatregelen, updates te downloaden of zich te verspreiden over het netwerk, waardoor de aanwezigheid wordt uitgebreid en de effecten worden versterkt.
4. Exfiltratie van gegevens onder de radar via DoH
Met DoH is de exfiltratie van gegevens naadloos en bijna niet te detecteren.
Gevoelige informatie kan heimelijk worden onttrokken, naadloos opgaan in het reguliere webverkeer en daarmee de kans op snelle detectie en reactie verkleinen. Gezien het inherente vertrouwen in het HTTPS-protocol kan dit vertrouwen helaas worden gemanipuleerd door kwaadwillende actoren om ongemerkt en ongehinderd gegevens naar buiten te smokkelen.
5. Verhoogde responstijd bij incidenten
In het onfortuinlijke geval van een inbraak of cyberincident kan de DoH de tijd vergroten die nodig is om de dreiging te identificeren, te begrijpen en erop te reageren.
De versleuteling van DNS-query’s betekent dat het langer kan duren om ongebruikelijke of kwaadaardige activiteiten te detecteren, waardoor tegenstanders meer mogelijkheden hebben om schade toe te brengen of gegevens te exfiltreren. Bovendien wordt het zonder toegang tot transparante DNS-gegevens een grotere uitdaging om de oorsprong, omvang en technieken van een aanval te onderzoeken, wat een snelle oplossing en de implementatie van effectieve preventieve maatregelen voor toekomstige beveiliging in de weg staat.
6. Verkeerde toewijzing van middelen
De aanwezigheid van DoH kan ertoe leiden dat ondernemingen hun beveiligingsmiddelen verkeerd toewijzen.
Beveiligingssystemen kunnen goedaardig DoH-verkeer als verdacht markeren vanwege de versleutelde aard ervan, wat leidt tot onnodig onderzoek. Door de stortvloed aan potentiële bedreigingen als gevolg van het onvermogen om DoH-verkeer te onderscheiden, kunnen beveiligingsteams overbelast raken en echte bedreigingen over het hoofd zien.
7. Uitdagingen bij de handhaving van het beleid
Ondernemingen hebben vaak beleidsregels om de toegang tot specifieke websites of diensten te beperken om verschillende redenen, waaronder productiviteit, bandbreedtebeheer en beveiliging.
Met de komst van DoH krijgen gebruikers de mogelijkheid om vastgestelde beperkingen te omzeilen, waardoor ze toegang krijgen tot inhoud die geblokkeerd is en mogelijk beveiligingsproblemen introduceren. In industrieën die onderhevig zijn aan strikte regelgeving kan de verminderde zichtbaarheid van DNS-query’s bovendien leiden tot niet-naleving van industriestandaarden, wat mogelijk boetes tot gevolg heeft of het vertrouwen ondermijnt.
Cyberbeveiligingsrisico’s van het DoH in bedrijven beperken: Een proactieve benadering
Hoewel DoH het cyberbeveiligingslandschap van ondernemingen voor aanzienlijke uitdagingen stelt, is niet alle hoop verloren. Er zijn verschillende strategieën mogelijk om de risico’s van DoH tegen te gaan. Laten we eens kijken naar deze mogelijke oplossingen.
1. Eindpunt DoH-controle
Een van de meest eenvoudige benaderingen is het uitschakelen van de DoH functionaliteit op alle beheerde enterprise endpoints. De meeste moderne browsers en besturingssystemen die DoH ondersteunen bieden configuratie-instellingen om het uit te schakelen.
2. Deep Packet Inspection (DPI) inzetten om DoH-bedreigingen af te zwakken
Door deep packet inspection te implementeren, kunnen bedrijven HTTPS-verkeer ontsleutelen en inspecteren en DoH-verzoeken identificeren en blokkeren.
NB: deze methode is weliswaar effectief, maar kan zorgen oproepen over de privacy, vooral als deze wordt geïmplementeerd zonder duidelijke communicatie met werknemers over de aard en het doel van deze monitoring.
3. DoH-detectie op netwerkniveau
In plaats van alleen te vertrouwen op de inhoud van het netwerkverkeer, kunnen bedrijven tools gebruiken die anomalieën in gedragspatronen detecteren. Een plotselinge piek in HTTPS-verkeer naar een voorheen onbekend domein kan bijvoorbeeld een rode vlag zijn. Dit kan worden gecombineerd met realtime informatiefeeds over bedreigingen om de detectie van kwaadaardig DoH-verkeer te verbeteren.
4. Externe DoH-blokkering
Hoewel DoH traditionele DNS filters kan omzeilen, kunnen deze filters nog steeds nuttig zijn. Door een bijgewerkte blokkadelijst van bekende DoH providers bij te houden en deze lijst regelmatig te controleren en aan te passen, kunnen bedrijven het risico van externe DoH servers beperken.
5. Training en bewustwording van werknemers
Een aanzienlijk aantal risico’s kan worden aangepakt door gebruikerseducatie. Door werknemers te informeren over de gevaren en gevolgen van DoH en het standpunt en beleid van het bedrijf hierover toe te lichten, kunnen organisaties hun eerste verdedigingslinie versterken.
Moedig werknemers aan om door de onderneming goedgekeurde browsers en configuraties te gebruiken. Door tools en plugins aan te bieden die beveiliging als prioriteit hebben, kunnen werknemers ook worden weggeleid van mogelijk schadelijke alternatieven.
6. Jacht op strategische bedreigingen
In plaats van te wachten tot bedreigingen zich manifesteren, moet je cyberbeveiligingsprofessionals actief laten jagen op tekenen van compromittering. Door de bedrijfsomgeving regelmatig te doorzoeken op indicatoren van misbruik van DoH kunnen verborgen bedreigingen aan het licht komen.
Verder lezen
DNS-over-HTTPS veroorzaakt meer problemen dan het oplost, zeggen experts | ZDNET
NSA – Versleutelde DNS invoeren in bedrijfsomgevingen
Conclusie
Bij het aanpakken van de evoluerende DoH cyberbeveiligingsrisico’s in bedrijfsomgevingen is het cruciaal dat traditionele netwerkbeveiligingsmaatregelen worden aangepast. In het verleden leunden deze maatregelen op het monitoren van DNS-verkeer om verdachte domeinverzoeken te identificeren, schadelijke websites te blokkeren en malwarecommunicatie te detecteren. DoH verbergt deze query’s echter in versleuteld verkeer, waardoor ze onzichtbaar worden voor standaard monitoringtools. Wat vroeger een transparante gegevensstroom was, wordt nu ondoorzichtig, waardoor cyberbeveiligingsprogramma’s worden uitgedaagd onderscheid te maken tussen goedaardig webverkeer en mogelijk kwaadaardige DNS-verzoeken, wat het belang benadrukt van waakzaamheid tegen de cyberbeveiligingsrisico’s van DoH in bedrijven.
Maakt u zich zorgen over de mogelijke valkuilen van DNS over HTTPS binnen uw organisatie? Ons team van experts staat klaar om u te begeleiden bij het begrijpen van deze uitdagingen en het ontwikkelen van effectieve strategieën om uw netwerk te beveiligen. Laat ons u helpen bij het navigeren door de complexiteit van DoH, zodat uw onderneming veilig blijft zonder aan efficiëntie in te boeten. Neem contact met ons op en samen versterken we uw verdediging tegen de verborgen bedreigingen van versleutelde DNS-query’s.
