Infoblox เปิดตัว DNS Firewall และ Advanced DNS Protection ป้องกันระบบ DNS ภัยคุกคามที่หลายคนมองข้าม

4 January 2016

ปัจจุบันนี้ การที่อุปกรณ์และเครื่องใช้ไฟฟ้าสามารถเชื่อมต่ออินเทอร์เน็ตไม่ใช่เรื่องไกลตัวเราอีกต่อไป ไม่ว่าจะเป็น Smart TV ตู้เย็น ระบบไฟ LED กาต้มน้ำ หรือแม้แต่ช้อนส้อม แปรงสีฟัน ต่างสามารถเชื่อมต่อกับสมาร์ทโฟนเพื่อควบคุมและบริหารจัดการได้ทั้งนั้น กล่าวได้ว่าเรากำลังเข้าสู่ยุค Internet of Things อย่างแท้จริง

 

อุปกรณ์ IoT (Internet of Things) และผู้ใช้อินเทอร์เน็ตเพิ่มจำนวนขึ้นในทุกวัน

จากการสำรวจพบว่า ในปัจจุบันนี้มีผู้คนเชื่อมต่อใช้งานอินเทอร์เน็ตกว่า 3.6 พันล้านคน อุปกรณ์ IoT มีจำนวนมากถึง 4,900 ล้านชิ้น และคาดว่าจะเพิ่มขึ้นเป็น 6,400 ล้านชิ้นในปี 2016 นี้ การบริหารจัดการการเชื่อมต่อได้กลายเป็นสิ่งท้าทายของแต่ละองค์กร คำถามสำคัญที่ผู้ดูแลระบบหลายคนต้องเจอ คือ ทำอย่างไรจึงจะทำให้อุปกรณ์ทุกเครื่องเชื่อมต่อกันได้อย่างรวดเร็ว, หมายเลข IP ไม่ชนกัน, ไม่ขึ้น Limited Access และที่สำคัญคือ ต้องปลอดภัยจากภัยคุกคามต่างๆที่นับวันยิ่งทวีความแปลกใหม่ขึ้นทุกวัน

 

DrDoS Attack เป็นการโจมตีที่อาศัยหลักการขยาย (Amplify) และสะท้อน (Reflection) ทราฟฟิคกลับไปยังเป้าหมาย เริ่มต้นแฮ็คเกอร์จะแพร่กระจายมัลแวร์เข้าไปยังอุปกรณ์ IoT ที่มีความปลอดภัยต่า เพื่อควบคุมให้อุปกรณ์เหล่านั้นกลายเป็น Botnet คอยรับคำสั่งให้ทาตามสิ่งที่แฮ็คเกอร์ต้องการ จากนั้นแฮ็คเกอร์จะใช้อุปกรณ์เหล่านี้ส่ง Request ไปยัง DNS หรือ NTP Server โดยปลอมหมายเลข IP ต้นทางของตนเองไปเป็น IP ของเป้าหมาย Request เหล่านี้ไม่ได้ส่งไปเพื่อขอ Solve Name หรือ Sync Time ตามปกติ แต่เป็น Request ที่ก่อให้เกิด Response ขนาดใหญ่ เรียกว่ามีกาลังขยาย (Amplification Factor) จาก Request หลายเท่าตัว ซึ่ง Response เหล่านี้จะถูกส่งกลับไปยังเป้าหมายตามหมายเลข IP ที่ถูกปลอมไว้แต่แรก ส่งผลให้แบนวิธด์ของเป้าหมายเต็มจนไม่สามารถให้บริการได้ 

 

จากรายงานของ Arbor Networks ระบุว่า การโจมตีแบบ DrDoS ที่รุนแรงที่สุดที่เคยเจอมีขนาดใหญ่ถึง 334 Gbps ซึ่งมีเป้าหมายเป็น ISP แห่งหนึ่งในแถมภูมิภาคเอเชีย และประเทศไทยก็ติดอันดับ 3 ประเทศที่เป็นแหล่งกาเนิดทราฟฟิค DDoS โดยเป็นรองเพียงสหรัฐอเมิริกา และประเทศจีนเท่านั้น 

 

DNS ระบบสาคัญสาหรับแอพพลิเคชันที่หลายคนมองไม่เห็น 

เมื่อถามว่า “สิ่งจาเป็นสาหรับการใช้ระบบแอพพลิเคชันในปัจจุบันคืออะไร ?” หลายคนอาจตอบว่า อุปกรณ์ที่มีสเป็คเหมาะสม การเชื่อมต่อที่รวดเร็ว หรือปัจจัยการใช้งานอื่นๆ แต่สิ่งที่ทุกคนต่างไม่คาดคานึงถึงเพราะคิดว่าเป็นเรื่องไกลตัว คือ ระบบ DNS ระบบโครงสร้างพื้นฐานสาคัญของแอพพิลเคชัน 

คาถามคือ จะเกิดอะไรขึ้นเมื่อระบบ DNS มีปัญหาหรือไม่สามารถให้บริการได้ … คาตอบคือระบบแอพพลิเคชันล่มตามทันที เนื่องจากผู้ใช้บริการไม่สามารถเข้าถึงแอพพลิเคชันได้ หรือเลวร้ายที่สุดคือ ผู้ใช้บริการถูกเปลี่ยนเส้นทางจากการเข้าถึงแอพพลิเคชัน ไปเข้าถึงไซต์ปลอมของแฮ็คเกอร์แทน ส่งผลให้ผู้ใช้อาจถูกหลอกขโมยข้อมูลสาคัญ หรือถูกแอบแฝงมัลแวร์กลับเข้ามาเจาระบบภายในองค์กรได้ ผลกระทบต่อธุรกิจที่เกิดขึ้นอย่างเห็นได้ชัด คือ การสูญเสียความน่าเชื่อถือและภาพลักษณ์ขององค์กร 

จะเห็นว่า DNS Server นอกจากมีความเสี่ยงที่จะถูกใช้โจมตี DDoS โดยแฮ็คเกอร์แล้ว ยังเป็นองค์ประกอบหลักสาคัญของระบบแอพพิลเคชันที่ไม่สามารถล่มหรือทางานผิดพลาดได้ มิเช่นนั้นอาจส่งผลกระทบอย่างใหญ่หลวงต่อองค์กรได้ทันที Gartner และ Forester สองบริษัทวิจัยและให้คาปรึกษาชื่อดังของสหรัฐฯ ให้ความเห็นตรงกันว่า DNS เป็นระบบโครงสร้างพื้นฐานที่สาคัญ แต่ละองค์กรควรลงทุนเพื่อป้องกันระบบ DNS จากอาชญากรบนโลกไซเบอร์ 

 

DNS รูโหว่สาคัญสาหรับ DoS Attack และการจารกรรมข้อมูล 

การโจมตีผ่าน DNS มีมากมายหลาย 10 วิธี ไม่ว่าจะเป็น Cache Poisoning, NXDOMAIN, DNS Tunnelling และอื่นๆ แต่การโจมตียอดนิยมหลักๆสามารถแบ่งออกได้เป็น 3 ประเภท คือ 

1. Site Hijacking – แฮ็คเกอร์เปลี่ยนข้อมูลการ Solve Name บน DNS Server ให้ชี้ไปยังหมายเลข IP ของแฮ็คเกอร์แทน ซึ่งแฮ็คเกอร์อาจทา Phishing Site รอให้เหยื่อหลงเข้าเพื่อหลอกขโมยข้อมูลสาหรับ เช่น ชื่อผู้ใช้และรหัสผ่านได้ ตัวอย่างการโจมตีรูปแบบนี้ คือ Cache Poisoning และ Man-in-the-Middle Attack 

2. DDoS Attack – เช่นการทา DNS Flood หรือ DrDoS Attack ตามที่กล่าวไป จากการสารวจพบว่า Recursive DNS Server จานวน 28 จาก 33 ล้านเครื่องมีความเสี่ยงที่จะถูกใช้เป็นเครื่องมือในการขยายทราฟฟิค DDoS เพื่อโจมตีเป้าหมายของแฮ็คเกอร์ 

3. Data Exfiltration – การจารกรรมข้อมูลผ่านทางมัลแวร์ที่ติดตั้งอยู่บนเครื่องของเหยื่อ โดยมัลแวร์จะทาการสร้าง DNS Query ซึ่ง Encode ข้อมูลสาคัญ เช่น ชื่อนามสกุล, เลขบัตรประชาชน, เลขบัตรเครดิต, CCV number และอื่นๆ ไปใน DNS record แล้วทาการส่งไปยัง DNS Server ภายในองค์กร เนื่องจากการร้องขอ DNS นั้น เป็น DNS ที่อยู่บนระบบอินเทอร์เน็ต DNS Server จึงทาการส่งการร้องขอ DNS Query ไปยังเจ้าของโดเมนนั้นต่อ (Authoritative DNS server) ซึ่งก็คือ DNS Server หรือ C&C Server ของแฮ็คเกอร์นั่นเอง เมื่อแฮ็คเกอร์นาชิ้นส่วนข้อมูลของหลายๆ DNS Query ที่ได้มาประกอบกัน ก็จะได้ข้อมูลสมบูรณ์พร้อมนาไปใช้ประโยชน์ต่อ เช่น เรียกค่าไถ่ หรือขายให้บริษัทคู่แข่ง เป็นต้น 

จากรายงานของ Cloud mark ระบุว่า DNS ถือว่าเป็นช่องทางสาคัญอันดับหนึ่ง ที่แฮ็คเกอร์ใช้โจมตี DoS และขโมยข้อมูลสาคัญจากองค์กร ที่สาคัญคือ Firewall และ IPS ทั่วไป ไม่สามารถป้องกันภัยคุกคามผ่าน DNS ได้ 

 

Infoblox DNS Firewall ปกป้องผู้ใช้อินเทอร์เน็ตจากจุดเริ่มต้น 

เพื่อปกป้องผู้ใช้จากการถูกหลอกให้เข้าถึงไซต์อันตรายต่างๆ และป้องกันระบบ DNS ที่สาคัญขององค์กรจากภัยคุกคามทั้งปวง Infoblox ผู้ให้บริการระบบ DDI (DNS, DHCP และ IPAM) และผู้เชี่ยวชาญด้านความปลอดภัยบน DNS ชั้นนาของโลก จึงได้นาเสนอ 2 โซลูชันสาคัญ คือ DNS Firewall และ Advanced DNS Protection 

แนวคิดของ Infoblox DNS Firewall นั้นเข้าใจง่ายแต่ได้ผลเป็นอย่างดี กล่าวคือ DNS Firewall จะทาการบล็อคการเข้าถึงโดเมนหรือไซต์อันตรายตั้งแต่ขั้นตอนขอ Solve Name มาที่ DNS Server ซึ่งภายใน DNS Firewall จะมีฐานข้อมูลแบล็คลิสต์เว็บไซต์ที่มีมัลแวร์แฝงตัวอยู่ เว็บไซต์ที่เป็น Phishing และ C&C Server ของแฮ็คเกอร์ ซึ่งรวมแล้วมากกว่า 15,000 รายการ อัพเดททุก 2 ชั่วโมง 

ผลลัพธ์ที่ได้ คือ Infoblox Firewall สามารถป้องกันผู้ใช้งานไม่ให้เข้าถึงไซต์อันตรายต่างๆตั้งแต่ก่อนเริ่มเชื่อมต่อกับไซต์เหล่านั้น รวมทั้งสามารถสกัดกั้นอุปกรณ์ที่ติดมัลแวร์ในการรับส่งข้อมูลกับ C&C Server ของแฮ็คเกอร์ได้ตั้งแต่เริ่มแรก ไม่เฉพาะการเชื่อมต่อกับเว็บไซต์ (HTTP) เพียงอย่างเดียวเท่านั้น แต่รวมไปถึงทุกแอพพิลเคชันที่ใช้ DNS ในการติดต่อสื่อสาร นอกจากนี้ยังสามารถป้องกันการรั่วไหลของข้อมูลออกสู่ภายนอกผ่านทาง DNS Query ได้อีกด้วย จึงมั่นใจได้ว่าผู้ใช้และอุปกรณ์ทุกเครื่องภายในองค์กรจะไม่มีโอกาสออกไปสัมผัสไซต์หรือโดเมนที่เป็นภัยคุกคามภายนอกอย่างแน่นอน 

 

ป้องกันภัยคุกคามเชิงรุก 

Infoblox DNS Firewall มีจุดเด่น 3 ประการ คือ 

1. Proactive – ป้องกันภัยคุกคามเชิงรุก โดยสามารถหยุดยั้งผู้ใช้และอุปกรณ์ต่างๆจากการเข้าถึงไซต์อันตรายตั้งแต่ก่อนทาการเชื่อมต่อกับไซต์เหล่านั้น และสามารถระบุตาแหน่งของอุปกรณ์ที่ติดมัลแวร์หรือมีพฤติกรรมที่ผิดปกติเพื่อทาการวิเคราะห์และกาจัดได้ทันที 

2. Timely – ให้ข้อมูลภัยคุกคามที่ละเอียด ครอบคลุม และเป็นข้อมูลล่าสุด ณ เวลานั้นๆ ซึ่งช่วยให้ผู้ดูแลระบบสามารถตรวจสอบและวิเคราะห์ภัยคุกคามได้อย่างรวดเร็วและแม่นยา 

3. Tunable – สามารถปรับแต่งนโยบายรักษาความปลอดภัยให้เหมาะสมกับสภาพแวดล้อมต่างๆตามความต้องการได้ เพื่อให้มั่นใจได้ว่า ภัยคุกคามและมัลแวร์ทั้งหลายจะไม่สามารถรุกล้าเข้ามาในระบบเครือข่ายได้ 

 

รายละเอียดเพิ่มเติม: https://www.infoblox.com/products/secure-dns/dns-firewall 

 

Infoblox Advanced DNS Protection ป้องกันระบบ DNS จากภัยคุกคามภายนอก 

Infoblox Advanced DNS Protection เป็นโซลูชันที่ถูกออกแบบมาเพื่อป้องกันระบบ DNS จากภัยคุกคามรูปแบบต่างๆโดยเฉพาะ ไม่ว่าจะเป็น TCP/UDP Floods, Cache Poisoning, DNS-based Exploit, Phantom Domain หรือแม้กระทั่งป้องกัน DNS Server จากการตกเป็นเครื่องมือของการโจมตี DrDoS ได้ 

โซลูชัน Advanced DNS Protection ประกอบด้วย 2 องค์ประกอบหลัก คือ Infoblox Advanced Appliance และ Infoblox Advanced DNS Protection Service 

1. Infoblox Advanced Appliance 

Advanced Appliance คือ DNS Server แบบเสริมความแข็งแกร่ง ที่มาพร้อมกับระบบรักษาความปลอดภัยภายในตัว สามารถให้บริการ DNS แก่อุปกรณ์ภายในและภายนอกได้ ต้องขอบคุณหน่วยประมวล ASIC สมรรถะสูง ทีช่วยให้ Advanced Appliance สามารถรับมือกับ DNS Query ที่มีปริมาณมากถึง 200,000 ครั้งต่อวินาที พร้อมกับป้องกันตัวเองจากภัยคุกคามภายนอกโดยที่ไม่ส่งผลกระทบต่อประสิทธิภาพการให้บริการ 

2. Infoblox Advanced DNS Protection Service 

ระบบรักษาความปลอดภัยของ Advanced Appliance ที่คอยตรวจจับและป้องกันระบบ DNS จากภัยคุกคามต่างๆ ไม่ว่าจะเป็นการโจมตีแบบ DDoS, DNS-based Exploit หรือ Protocal Anomalies เป็นต้น ซึ่งจะมีการอัพเดทฐานข้อมูลความปลอดภัยให้ทันสมัย ทัดเทียมกับภัยคุกคามรูปแบบใหม่ที่เพิ่งถูกค้นพบตลอดเวลา นอกจากนี้ยังสามารถปรับแต่งนโยบายรักษาความปลอดภัยและพารามิเตอร์ต่างๆ ให้เหมาะสมต่อสภาพแวดล้อมการใช้งานที่แตกต่างกันได้อีกด้วย 

Advanced DNS Protection Service มีระบบมอนิเตอร์และหน้า Dashboard ที่แสดงผลในรูปกราฟิกสวยงามและเข้าใจได้ง่าย รวมทั้งสามารถจัดทารายงานที่ให้รายละเอียดเชิงลึก ซึ่งช่วยให้ผู้ดูแลระบบสามารถตรวจสอบและวิเคราะห์เหตุการณ์ที่ผ่านมา เพื่อหาทางรับมือกับแนวโน้มภัยคุกคามที่อาจเกิดขึ้นในอนาคตได้อย่างมีประสิทธิภาพ 

 

ติดต่อขอรับบริการ DNS Health Check และสาธิตได้ฟรี 

Infoblox ทั้ง 2 โซลูชันพร้อมให้บริการในประเทศไทยแล้ว ผู้ที่สนใจสามารถสอบถามรายละเอียดเพิ่มเติม รวมทั้งขอรับบริการ DNS Health Check และบริการสาธิตโซลูชัน (POC) ได้ฟรี ที่ 

 ฝ่ายขาย Transition-Infoblox ประเทศไทย โทร 0-940-096-225 หรืออีเมลล์ panicha@transition-asia.com 

 

ชื่อไฟล์ ประเภทไฟล์ ขนาดไฟล์ วันที่แก้ไข
เข้าสู่ระบบ
อีเมล์
รหัสผ่าน
ลืมรหัสผ่าน
อีเมล์