Helt op mod 70 procent af nyregistrerede domæner (NRD) kan enten kategoriseres som mistænkelige, ‘not safe for work’ eller decideret ondsindede. Derfor kan man som netværksadministrator med fordel blokere al adgang til NRD'er i sikkerhedens navn.
Det er i hvert fald konklusionen på en analyse af nyoprettede domæner lavet af Palo Alto Networks, skriver The Register.
Virksomheden definerer mere præcist et NRD som værende et domæne, der er blevet registreret, eller som har skiftet ejer indenfor 32 dage.
»Mens det for nogle virker utroligt aggressivt ligefrem at blokere alle disse sider, opvejer risikoen for problemer med domænerne risikoen for falske positiver,« bemærkes det i analysen, som har Zhanhao Chen, Jun Javier Wang og Kelvin Kwan fra Palo Alto Networks sikkerhedsafdeling, Unit 42, som afsendere.
»Hvis man alligevel tillader brugere at tilgå domænerne, bør man opsætte en advarsel om, at domænet er nyt, så brugeren ved, at risikoen er større, når man tilgår det,« fortsætter sikkerhedsfolkene.
Tre kategorier
Analysen tager afsæt i domæner oprettet under 1.530 forskellige toplevel-domæner mellem marts og maj i år.
Kun 8,3 procent af de undersøgte domæner kunne bekræftes at indeholde udelukkende godartet indhold.
Halvanden procent af de mange sider havde decideret malware på sig, mens 70 procent som sagt blev klassificeret som mistænkelige. Disse domæner havde meget begrænset indhold og var blevet forladt umiddelbart efter opkøbet, men var ikke umiddelbart direkte ondsindede.
Fordi så lille en del af domænerne var åbenlyst legitime, mener Unit 42-folkene altså, at gevinsten ved en automatisk blokering af nye domæner klart opvejer ulemperne.
Det er flere gange blevet omtalt, hvordan også danske domæner bliver brugt til lyssky aktiviteter.