Поделиться
Вячеслав Новоселов, SkyDNS: DNS как иммунная система: защищает от угроз еще до того, как проблема становится видимой
DNS-протокол остается основой интернета, несмотря на большое количество новых разработок. Именно поэтому высокий уровень защиты корпоративного периметра в сфере DNS — одна из приоритетных задач любой компании. О том, почему DNS остается эффективным решением для безопасности, какую роль в этом направлении играют технологии искусственного интеллекта и почему новые функции не должны делать продукт более сложным для пользователя, в интервью CNews рассказал генеральный директор SkyDNS Вячеслав Новоселов.
«Все начинается именно с DNS»
Cnews: Почему компании должны особое внимание уделять именно DNS-защите?
Вячеслав Новоселов: DNS — один из старейших протоколов. Его создали для ускорения взаимодействия между пользователями и интернет-ресурсами. О безопасности тогда никто не думал, и только спустя пятнадцать лет появилось расширение DNSSEC, которое защищает от манипуляций в DNS-запросах.
Однако все начинается именно с DNS — фундаментального протокола, который использует каждое устройство. И примерно 88% компаний сталкиваются с DNS-атаками каждый год, поскольку протокол зачастую открыт через порт 53 и его активность не контролируется.
Злоумышленники это прекрасно понимают, так что 90% вредоносного ПО пользуются DNS. Если взглянуть на матрицу MITRE ATT&CK, DNS задействуют на этапах проникновения в сеть, передачи команд, эксфильтрации данных. Также он может служить резервным каналом связи с командным центром, обходя фаерволы, системы предотвращения вторжений и антивирусы.
Cnews: А какие угрозы чаще всего существуют на DNS-уровне?
Вячеслав Новоселов: Основной вектор угрозы — человеческий фактор. Часто именно сотрудник, не подозревая об опасности, открывает ссылку, файл или картинку, становясь проводником атаки. Так злоумышленники получают возможность проникнуть в корпоративную сеть или получить из неё данные.
Угроз на DNS-уровне довольно много. Например, DGA (Domain Generation Algorithms) предполагает автоматизированное создание доменов для связи с командными серверами, а DNS-туннелирование позволяет злоумышленникам входить в сеть, эксфильтровать данные и передавать команды, избегая стандартных систем безопасности.
Отдельно стоит отметить такой вид угрозы, как Zero-day фишинг и Typosquatting — обманные ссылки и домены, которые имитируют известные ресурсы для кражи данных, а также различные вредоносные ресурсы, например, сайты, связанные с Ransomware, Malware, C2C-сетями, криптоджекингом и скрытым майнингом.
Также стоит опасаться инъекций в DNS-запросы и подмены серверов назначения. Речь идет об атаках, направленных на изменение маршрутов и перенаправление пользователей на поддельные ресурсы.
Наконец, существуют еще распределенные атаки и маскировка активности внутри корпоративного периметра, или Botnet и Fast-Flux сети.
Каждая из этих угроз активно использует DNS для обхода систем безопасности и достижения своих целей.
«SkyDNS — лидер на рынке DNS-защиты в России»
Cnews: Что в первую очередь предлагает SkyDNS своим клиентам?
Вячеслав Новоселов: SkyDNS предоставляет рекурсивный DNS-резолвер с предиктивной защитой от DNS-угроз и фильтрацией пользовательского контента. Наша облачная инфраструктура BGP Anycast снижает задержки для пользователей по всей России, а локальное исполнение позволяет хранить данные в периметре организации.
Cnews: Недавно ваша команда разработала новые функции SkyDNS. В чем их преимущество для пользователей?
Вячеслав Новоселов: Мы добавили интеграцию с Active Directory, что делает массовую установку удобнее и позволяет синхронизировать пользователей. Кроме того, она предоставляет более детализированную статистику.
Обновление DNS-over-HTTPS, в свою очередь, позволяет создать выделенный сервер с преднастроенной политикой фильтрации.
А новый модуль расследования инцидентов — это расширенная панель, которая ускоряет выявление угроз и атак в реальном времени. Он также поддерживает экспорт данных в стороннее S3-хранилище и позволяет создавать подробные отчеты в формате PDF для специалистов по информационной безопасности.
Cnews: DNS используют уже многие годы. Почему он остается эффективным решением для безопасности? Разве не стоит сосредоточиться на более новых технологиях?
Вячеслав Новоселов: DNS можно сравнить с иммунной системой человека: он защищает корпоративную сеть от угроз еще до того, как проблема становится видимой. Наше ядро категоризации ресурсов обрабатывает запросы без дополнительной задержки и обеспечивает первую линию обороны периметра.
Ядро наполняется данными из многотысячных источников и рекатегоризируется каждый день. Точность категорий проверяется сторонними лабораториями и демонстрирует эффективность на уровне 98,5% по всем 66 категориям. Дополнительно SkyDNS распознает и блокирует аномалии в реальном времени: DGA, DNS-туннелирование, инъекции в запросы и их параметры.
Cnews: Обеспечивает ли SkyDNS защиту устройств за пределами корпоративных сетей?
Вячеслав Новоселов: Да, для нас это особенно важно. VPN часто недоступен, поэтому мы добавили агенты на устройства, которые позволяют фильтровать трафик в любой сети. SkyDNS поддерживает платформы Windows (Active Directory), Linux (Astra, RedOS, Alter, Ubuntu), macOS и iOS (через MDM), а также Android.
Конечно, можно настроить защиту и через сеть, так как это протокол DNS.
Cnews: В чем основные конкурентные преимущества вашего продукта на российском рынке?
Вячеслав Новоселов: Опыт. Мы на рынке с 2012 года и уже девять лет развиваем направления машинного обучения. На сегодняшний день 99% видимой части интернета у нас разложено на 66 категорий контента, включая семь категорий по информационной безопасности для раннего обнаружения атак. По данным аналитического портала VirusTotal, SkyDNS выявляет вредоносный ресурс на 21 день раньше фактической атаки, произведенной с этого ресурса.
SkyDNS — лидер на рынке DNS-защиты и контентной фильтрации в России. Полноценный аналог таких решений, как Cisco Umbrella, Zscaler, CloudFlare DNS Security, Fortinet Web Filtering и Palo Alto DNS Security.
«Мы разрабатываем SkyDNS с философией «установил и забыл», чтобы пользователю было удобно и просто»
Cnews: Какую роль в развитии SkyDNS играют технологии искусственного интеллекта?
Вячеслав Новоселов: В SkyDNS ИИ используется для создания высокоточных моделей анализа и классификации DNS-трафика, что позволяет оперативно выявлять и блокировать угрозы.
Во-первых, искусственный интеллект обрабатывает потоки данных в реальном времени. То есть мы используем машинное обучение для непрерывной обработки огромных объемов DNS-запросов. Алгоритмы анализируют параметры запросов, например, частоту обращений к доменам, географическое распределение и временные аномалии. Это помогает идентифицировать подозрительные паттерны, которые могут указывать на DGA-домены, вредоносные боты и C2C-коммуникации.
Во-вторых, нейросети позволяют классифицировать контент. Наша модель обучена на десятках категорий контента, включая фишинг, мошенничество и ресурсы с малварью. Используя алгоритмы NLP и кластеризацию, мы анализируем метаданные и поведенческую информацию для точной идентификации типа ресурса. Таким образом, даже недавно созданные домены получают быструю категоризацию, а вредоносные сайты блокируются до попадания в сеть клиента.
Также мы собираем данные из Passive DNS и других источников Threat Intelligence, что позволяет моделям машинного обучения выявлять подозрительные домены на основе глобальных паттернов угроз. Например, если один и тот же IP начинает обслуживать разные домены с коротким TTL (временным значением жизни), система распознает это как признак Fast-Flux-сетей.
Наконец, модель SkyDNS анализирует DGA-активности. Система способна детектировать домены, сгенерированные алгоритмами DGA, на основе анализа характера их структуры и шаблонов частоты обращений. Это особенно важно для блокировки ботнетов, которые часто используют домены DGA для связи с командными центрами.
Таким образом, технологии ИИ помогают SkyDNS не просто выявлять, но и прогнозировать угрозы. Это позволяет нам на уровне DNS-слоя блокировать потенциальные векторы атак до их активации.
Cnews: Новые функции и развитие продукта сделали его более сложным для пользователя?
Вячеслав Новоселов: Мы разрабатываем SkyDNS с философией «установил и забыл», чтобы пользователю было удобно и просто. Установка занимает всего 15 минут даже для крупных сетей из 10 тысяч устройств. Важно, чтобы безопасность была доступной и не перегружала специалистов.
Решение минимизирует количество уведомлений, отправляя только критические инциденты с указанием конкретного пользователя и устройства, на котором они произошли.
SkyDNS фиксирует важные события, автоматически принимает меры для предотвращения утечек и ведет детализированный лог. Благодаря этому ИБ-специалисты видят ключевые моменты: защищен ли периметр, какие инциденты произошли и какие профилактические меры стоит принять.
Cnews: Каковы планы SkyDNS по развитию в ближайшие годы?
Вячеслав Новоселов: Мы планируем совершенствовать технологии обнаружения угроз, расширяя возможности клиентов для обеспечения комплексной DNS-защиты. Одно из направлений — улучшение моделей машинного обучения для раннего выявления аномалий и угроз. Таким образом наши клиенты смогут быстрее реагировать на потенциальные атаки.
Мы также внимательно прислушиваемся к потребностям клиентов, развивая продукт в соответствии с их запросами и задачами. Поэтому, мы совершенствуем не только «техническую часть», но и стремимся сделать пользовательский опыт более удобным, что отражается в дизайне нашего личного кабинета.
■ erid:LjN8KHqwzРекламодатель: ООО «СкайДНС»ИНН/ОГРН: 6670326961/1116670002448Сайт: www.skydns.ruПоделиться
Короткая ссылка
