Admin-anbefaling: Er domænet yngre end 32 dage? Så bare bloker det

Illustration: twinsterphoto/Bigstock
Det er bedre at være aggressiv og sikker end sød og sårbar, lyder det fra tre sikkerhedsfolk fra Palo Alto Networks.
9

Helt op mod 70 procent af nyregistrerede domæner (NRD) kan enten kategoriseres som mistænkelige, ‘not safe for work’ eller decideret ondsindede. Derfor kan man som netværksadministrator med fordel blokere al adgang til NRD'er i sikkerhedens navn.

Det er i hvert fald konklusionen på en analyse af nyoprettede domæner lavet af Palo Alto Networks, skriver The Register.

Virksomheden definerer mere præcist et NRD som værende et domæne, der er blevet registreret, eller som har skiftet ejer indenfor 32 dage.

Læs også: 17.000 domæner ramt af ondsindet skimming-script via skrivbart cloud-storage

»Mens det for nogle virker utroligt aggressivt ligefrem at blokere alle disse sider, opvejer risikoen for problemer med domænerne risikoen for falske positiver,« bemærkes det i analysen, som har Zhanhao Chen, Jun Javier Wang og Kelvin Kwan fra Palo Alto Networks sikkerhedsafdeling, Unit 42, som afsendere.

»Hvis man alligevel tillader brugere at tilgå domænerne, bør man opsætte en advarsel om, at domænet er nyt, så brugeren ved, at risikoen er større, når man tilgår det,« fortsætter sikkerhedsfolkene.

Tre kategorier

Analysen tager afsæt i domæner oprettet under 1.530 forskellige toplevel-domæner mellem marts og maj i år.

Kun 8,3 procent af de undersøgte domæner kunne bekræftes at indeholde udelukkende godartet indhold.

Halvanden procent af de mange sider havde decideret malware på sig, mens 70 procent som sagt blev klassificeret som mistænkelige. Disse domæner havde meget begrænset indhold og var blevet forladt umiddelbart efter opkøbet, men var ikke umiddelbart direkte ondsindede.

Læs også: Efter gentagne angreb: Bahne starter på en frisk med ny webshop-platform

Fordi så lille en del af domænerne var åbenlyst legitime, mener Unit 42-folkene altså, at gevinsten ved en automatisk blokering af nye domæner klart opvejer ulemperne.

Det er flere gange blevet omtalt, hvordan også danske domæner bliver brugt til lyssky aktiviteter.

Sponseret indholdDanmarks største IT-sikkerhedsmesse er tilbage! Skal du være udstiller?
Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (9)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Claus Bobjerg Juul

For nogle år siden foreslog jeg at man behandlede adgangen til dnsnavne på samme måde som firewall regler, I bunden skal der være en deny all. Så åbnes der kun for de dnsnavne som man reelt anvender i virksomheden. Det kan blive vanskeligere at tilgå nye sider som man ikke plejer at anvende, men har man en smidig proces, skulle det ikke være et stort problem.

  • 0
  • 11
#4 mikkel Holm

Det lyder som en umulig opgave. Hvordan vil du udføre det i praksis? Eksemepelvis IT-support afdelingen bruger søgemaskiner for at finde resource omkring fejl brugerne oplever. De kommer vidt omkring.

En Firewall med UTM vil være løsningen. Her kan du sætte en række filtre på, som man via abbonnement kan hente ned. Her kunne der meget vel være en liste med domain'er under 32 dage ikke er tilladt.

  • 1
  • 0
#5 Ditlev Petersen

At holde nye domæner ude, vil nok holde en del hurtige fiduser væk. Men der er da fidusmagere, der overtager domæner, der ikke bliver fornyet. Og af og til er et nyt domæne nødvendigt (så kan man jo aktivt tillade dette = manuelt tillade dette).

For mig at se er det en meget lidt givtig måde at bruge sin tid på.

  • 2
  • 0
#7 Steffen Lindemann

Den DNS beskyttelse jeg kender til og bruger både privat og arbejdet, har denne funktion indbygget og den kan slås til. Det virker fint, bortset fra når en udvikler laver et nyt subdomæne under en sky tjeneste, så er det jo et nyt domæne og blokeret en tid.

  • 1
  • 0
#8 Joe Sørensen

Synes ikke det er et helt dumt forslag. I en virksomhed er det meget de samme sider der bliver brugt heletiden.

Jeg vil dog antage at de bruger en form for graylisting og ikke skal forvente at en reaktiv IT afdeling lige skal tilføje nye domænder.

Graylisting kan eks fungere sådan at den viser en formular, hvor brugeren kan fortælle, hvad han regner med der skal ske og selv selv låse siden op. Så kan IT afdelingen derefter se om det giver mening. Fx. hvis stor site, eks. stackoverflow, pludselig opfinder deres egen nye CDN med nyt domænenavn. I det tilfælge vil det være lidt øv at skulle vente 30 dage med at bruge stackoverflow, hvis man plejer at bruge det.

Samtidig er det også øv, hvis man selv køber et nyt site hos en hjemmeside-smed og derefter er den eneste på Internettet der ikke kan se, men må vente 30 dage eller indtil IT afdelingen er tilgængelig.

  • 0
  • 1
#9 Morten Vinding

Syntes det virker lidt voldsomt bare at blokere. Tænker der aligevel jævnligt bliver skudt nye domains op til div. kamagner ol.

Tror mere på en model hvor man vægter domainet (lidt ala det spam filtre gør), så: hvis domainet er oprettet inden for 32 dage: 10 point hvis domainet ligger tæt op af et kendt domaine: 15 point hvis domainet er registreret i kina: 2 point osv.

Så kan man sætte sit tresshold efter hvor aggresivt man vil beskytte.

  • 0
  • 0
Log ind eller Opret konto for at kommentere

Dansk hotelbooking betaler stor løsesum til ransomware-banditter: »Det var det første vi gjorde«

52

Hackere skulle kun knække ét password for at få adgang til Colonial Pipeline

7

Efterretnings-ekspert: Intet overraskende i de seneste ‘afsløringer’ af dansk overvågning

24
Job fra Jobfinder
Mest debatteredeMest læste
Webinars and Whitepapersopen_in_new
Webinar
Webinar
Praktiske konsekvenser af Schrems II-dommen
Whitepaper
Whitepaper
2021-tjeklisten til cloud og netværksstrategi
Webinar
Webinar
Din konkrete vej til cloud transformation
Se flereopen_in_new
Jobfinder Logo
Upload dit CV
Få nye job via e-mail
Upload din jobannonce
Job fra Jobfinder