Oktober adalah Bulan Kesadaran Keamanan Siber. Tema tahun ini adalah “Amankan Dunia Kita,” dengan penekanan pada tindakan yang dapat diambil oleh setiap orang untuk meningkatkan keamanan dalam aktivitas online dan data yang kita bagikan. Anda akan mendengar berbagai rekomendasi, mulai dari pengingat bagi individu untuk tidak menggunakan ulang kata sandi hingga praktik terbaik yang sudah teruji untuk perusahaan. Seringkali, di tengah informasi berharga ini, kekuatan, kesederhanaan, dan keberadaan Sistem Nama Domain (DNS) terabaikan. DNS tidak hanya bisa menjadi alat yang berharga untuk menghentikan serangan, tetapi juga dapat digunakan untuk mencegah serangan terjadi sejak awal. Karena DNS digunakan oleh individu, organisasi multinasional, dan semua di antara keduanya, alat ini dapat meningkatkan keamanan bagi semua orang. DNS sangat penting sehingga pemerintah di seluruh dunia sedang menjajaki opsi untuk menyediakan DNS yang dilindungi bagi warganya.
Apa yang Begitu Penting Tentang DNS?
Kebanyakan orang menggambarkan DNS sebagai buku telepon internet (atau bahkan sebagai Buku Kuning internet jika mereka cukup tua). Namun, DNS jauh lebih dari itu. Setiap kali nama domain baru terdaftar, informasi tersebut disimpan dalam DNS. Ketika domain tersebut disiapkan untuk meng-host situs web baru atau mengirim email, informasi tersebut juga dikonfigurasi dalam DNS. Seiring waktu, ketika informasi ini berubah, perubahan tersebut juga tercermin dalam DNS. Semua ini terjadi di latar belakang, dan kebanyakan pengguna tidak pernah menyadari bahwa itu terjadi. Pelaku jahat berusaha untuk tetap tersembunyi, tetapi tindakan mereka meninggalkan jejak di DNS. Seberapa pun mereka berusaha bersembunyi, mereka harus menggunakan DNS agar serangan mereka berhasil. Faktanya, lima dari tujuh langkah dalam Cyber Kill Chain menggunakan DNS dengan cara tertentu. Jejak DNS ini dapat terlihat jika Anda tahu apa yang harus dicari.
Infoblox Threat Intel mencari jejak-jejak ini di miliaran peristiwa DNS setiap hari. Kami menemukan domain tiruan yang menyamar sebagai bank Anda, domain phishing dengan nama acak, dan domain aktif yang tampaknya tidak aktif untuk menyembunyikan diri di depan umum. Kami menemukan domain yang terdaftar satu per satu serta kelompok domain yang terdaftar sekaligus, semua melalui DNS. Yang menarik, kami telah mengidentifikasi dan melacak banyak Sistem Distribusi Lalu Lintas (TDS) yang beroperasi sebagian besar tanpa terdeteksi selama bertahun-tahun. Pelaku jahat seperti Vextrio Viper, Savvy Seahorse, dan Vigorish Viper menggunakan jaringan hingga seratus ribu domain untuk menyerang korban dengan serangan yang dipersonalisasi, mulai dari penipuan cryptocurrency hingga malware. Menggunakan sistem pengalihan yang kompleks, identifikasi pengguna, dan sedikit acak, TDS dirancang untuk membingungkan korban dan peneliti. Metode konvensional untuk menyelidiki serangan ini menghadapi tantangan yang signifikan, tetapi dengan menggunakan DNS, kami dapat melihat di balik semua trik ini untuk memahami apa yang sebenarnya terjadi.
Figure 1 – Most tools attempt to identify and defend against active attacks. DNS provides the opportunity to identify and block attacks while bad actors are still making preparations, before the attack.
Pertahanan Berlapis dengan DNS
Jika Anda telah menghabiskan waktu untuk membaca tentang keamanan siber, Anda mungkin sudah familiar dengan banyak alat yang memiliki akronim dalam bidang ini. Alat-alat seperti NGFW, XDR, EDR, dan SASE digunakan untuk mengamankan organisasi dan data mereka. Alat-alat ini memainkan peran penting dalam keamanan, tetapi semuanya bergantung pada mendeteksi dan menghentikan serangan setelah serangan tersebut dimulai. Selain itu, banyak dari alat ini terutama fokus pada malware, yang harus diidentifikasi dan dianalisis untuk mengembangkan pertahanan yang efektif. Karena lanskap malware selalu berubah, alat-alat ini akan selalu satu langkah di belakang. Sementara DNS melengkapi alat-alat ini, DNS unik karena memberikan kesempatan untuk menghentikan serangan sebelum serangan itu mulai terjadi.
Secara mendasar, DNS dapat digunakan untuk mencegah nama domain situs web jahat yang terpecahkan menjadi alamat IP. Jika komputer pengguna tidak dapat mendapatkan alamat IP, maka tidak dapat mengirimkan pesan yang berisi informasi kartu kredit mereka kepada penjahat dan pasti tidak bisa mengunduh malware. Meskipun ini mungkin adalah semua yang dilihat atau bahkan dianggap penting oleh pengguna, DNS jauh lebih penting dan lebih kuat daripada sekadar memblokir domain jahat. DNS dapat digunakan secara proaktif untuk menemukan domain mencurigakan sebelum mereka aktif dan sebelum mereka terlihat dalam jaringan selama serangan.
Ketika pelaku jahat mendaftarkan nama domain baru, hal itu terlihat di DNS. Jika Anda tahu apa yang dicari, Anda dapat menemukan pendaftaran domain yang mencurigakan. Mungkin informasi kontaknya sama dengan domain lain yang Anda ketahui jahat atau nama domain itu sendiri tidak normal. Ketika pelaku jahat mengubah alamat IP suatu domain, kita dapat memeriksa apakah alamat IP tersebut memiliki riwayat yang berbahaya. Mungkin tidak ada satu pun dari peristiwa ini yang mencurigakan secara terpisah, tetapi dalam kombinasi, mungkin ada pola yang pernah kita lihat sebelumnya di domain jahat lainnya. Berbeda dengan alat dan pendekatan lain, tidak ada dari ini yang memerlukan analisis malware atau melihat domain dalam serangan. Ini dapat dilakukan saat pelaku jahat mempersiapkan domain sebelum mereka meluncurkan serangan.
Namun, penyelidikan yang didukung DNS ini tidak hanya menemukan domain individu di sana-sini. Mereka dapat digunakan untuk menemukan kluster domain sekaligus. Setelah Anda mulai menarik benang dari sesuatu yang mencurigakan, pola dan tren yang terdiri dari ribuan domain dapat muncul. Alat dan layanan yang sama yang memungkinkan perusahaan beroperasi dalam skala besar juga memungkinkan pelaku jahat beroperasi dalam skala besar. Faktanya, seluruh industri penyedia rantai pasokan kejahatan siber telah muncul agar pelaku jahat dapat mengalihdayakan operasi mereka dan fokus pada serangan mereka. Vextrio Viper dan Vigorish Viper adalah contoh yang sempurna. Kedua pelaku tersebut menawarkan afiliasi penggunaan TDS mereka dengan biaya. Menggunakan DNS, kami mengidentifikasi, melacak, dan memblokir kedua TDS tersebut. Ini secara efektif memblokir tidak hanya kampanye Vextrio dan Vigorish, tetapi juga semua kampanye dari setiap afiliasi mereka.
DNS Penting untuk Semua Orang
Sementara pelaku jahat selalu mencoba taktik baru, ada beberapa taktik yang selalu berhasil. Karena mereka selalu berhasil, mereka menggunakannya terhadap semua orang. Orang-orang yang menggunakan laptop untuk mengakses web di kedai kopi lokal adalah korban dari serangan dan jebakan yang sama yang digunakan terhadap karyawan di perusahaan multinasional. Untungnya, DNS berperan dalam serangan ini, dan dapat digunakan untuk menghentikannya. Baik itu layanan DNS pelindung sederhana untuk laptop Anda atau solusi DNS tingkat perusahaan, semua orang dapat menggunakan DNS untuk mengamankan bagian dari dunia mereka.
Ingin tahu lebih banyak mengenai Infoblox, silahkan hubungi infoblox@ilogoindonesia.id