Menu

Polska

GRANDMETRIC Sp. z o.o.
ul. Metalowa 5, 60-118 Poznań, Poland
NIP 7792433527
+48 61 271 04 43
info@grandmetric.com

Szwecja

Drottninggatan 86
111 36 Sztokholm
+46 762 041 514
info@grandmetric.com

UK

Grandmetric LTD
Office 584b
182-184 High Street North
London
E6 2JA
+44 20 3321 5276
info@grandmetric.com

US Region

Grandmetric LLC
Lewes DE 19958
16192 Coastal Hwy USA
EIN: 98-1615498
+1 302 691 94 10
info@grandmetric.com

  • en
  • pl
  • se
  • Ochrona DNS

    Jak się zabezpieczyć przed phishingiem dzięki Cisco Umbrella?

    Jak się chronić przed phishingiem, malware i podejrzanymi domenami?

    Date: 09.06.2021



    Co to jest phishing?

    Phishing to technika cyberataków, której celem jest wyłudzenie poufnych informacji, takich jak hasła, dane logowania lub dane finansowe, poprzez podszywanie się pod zaufane źródło lub instytucję.

    Typowe przykłady phishingu to fałszywe e-maile, które wyglądają jak wiadomości od banków, firm lub usługodawców, które proszą o potwierdzenie danych lub wykonanie płatności. Mogą również zawierać linki do fałszywych stron internetowych, które wyglądają tak samo jak prawdziwe strony, ale służą do kradzieży danych użytkowników.

    Phishing jest niebezpieczny dla firm i biznesów, ponieważ może prowadzić do wycieku poufnych informacji, a tym samym do utraty reputacji i zaufania klientów. Może także prowadzić do utraty pieniędzy, jeśli cyberprzestępcy uzyskają dostęp do kont bankowych lub innych źródeł finansowania firmy.

    Firmy powinny zwracać uwagę na przestrzeganie dobrych praktyk bezpieczeństwa, takich jak szkolenie pracowników w zakresie rozpoznawania phishingu, stosowanie silnych haseł, wielopoziomowych autoryzacji i solidnych zpór (firewalli). Ponieważ łatwiej jest zapobiegać niż leczyć, firmy powinny korzystać z rozwiązań, które blokują niebezpieczne strony i nie pozwalają hakerom wysłać fałszywych wiadomości, a tym samym narazić firmę na utratę danych.

    Ochrona DNS, co to jest?

    DNS, czyli Domain Name System to system, którego zadaniem jest tłumaczenie adresów URL stron internetowych na język zrozumiały dla komputerów. Kiedy chronimy DNS, nie pozwalamy niepożądanym domenom na przekazywanie informacji do naszych użytkowników. W ten sposób możemy chronić ich przed atakami typu phishing lub ransomware. Gdy dodamy do tego coraz większy poziom cyfryzacji przedsiębiorstw, okaże się, że DNS jest kolejną cegiełką cyber-muru, który tworzą między innymi firewall w data center lub na styku z Internetem czy rozwiązania antywirus i anty-malware instalowane na urządzeniach końcowych. 

    Wspomniane już firewalle czy antywirusy, choć stanowią solidny fundament bezpieczeństwa, nie obejmują wszystkich potencjalnych zagrożeń. Jednym z nich jest np. złośliwe oprogramowanie wgrane na pendrive, który podłączamy do firmowego komputera.

    Aby atak został przeprowadzony, takie oprogramowanie musi połączyć się ze swoimi serwerami, do czego zazwyczaj używa zapytań DNS.

    Dashboard z kategoriami zapytań DNS
    Kategorie zapytań DNS

    Czy DNS uchroni nas przed phishingiem?

    Ochrona DNS świetnie się sprawdza też w odniesieniu do phishingu (fałszywych linków).Tu warto wspomnieć, że atakujący coraz lepiej potrafią podszywać się pod strony, do których chcą uzyskać dostęp. Wystarczy, że wyślą fałszywy mail do zmęczonej po całym dniu pracy osoby i zachęcą do logowania na stronę banku czy do mediów społecznościowych. 

    System DNS security weryfikuje, czy link przychodzący w wiadomości email kieruje do zaufanej, czy podejrzanej strony www. W tym drugim przypadku, blokuje zapytanie DNS do takiego linku.

    Ale DNS ma swoje zastosowanie i w pracy, i w codziennym korzystaniu z Internetu, kiedy nawet możemy nie zdawać sobie sprawy z zagrożenia dla naszych danych.

    quote Grandmetric

    Gdy dodamy do tego coraz większy poziom cyfryzacji przedsiębiorstw, okaże się, że DNS jest kolejną cegiełką cyber-muru, który tworzą między innymi firewall w data center lub na styku z Internetem czy rozwiązania antywirus i anty-malware instalowane na urządzeniach końcowych. 

    Jan Ćwierk, Security Engineer, Ingram Micro

    Czy zabezpieczenia DNS sprawdzą się w pracy zdalnej?

    Mimo, że służbowe laptopy, a razem z nimi dane firmowe, nie są zgrupowane w jednym miejscu, a coraz częściej znajdują się w środowisku rozproszonym, nadal możemy je chronić. Jak to się dzieje w przypadku Cisco Umbrella?

    Możemy realizować ochronę DNS na dwa sposoby:

    1. Poprzez spięcie z sesją VPN. W takim przypadku ochrona DNS (np. Cisco Umbrella) jest już skonfigurowana wewnątrz naszej sieci i działa automatycznie.
    2. Możemy też zainstalować endpoint na naszym komputerze – Roaming Client, który wymusza ruch DNS przez serwery Umbrelli, a nasze dane są cały czas chronione.

    W drugim scenariuszu użytkownik nie musi się już łączyć z VPN i kierować ruchu przez infrastrukturę organizacji.

    Czy jest możliwe grupowanie użytkowników w Cisco Umbrella? 

    Tak, jest to możliwe. Najlepszym sposobem jest integracja z Active Directory, co wymaga zainstalowania dodatkowego wirtualnego modułu on-premise i integracji Active Directory z tym modułem.

    Wymagania techniczne spełnia każdy ze smartfonów, których używamy na co dzień. 

    Dodatkowo możemy połączyć Roaming Client z Active Directory, a dzięki temu widzieć informacje o urządzeniu, które wysyła żądania DNS od zalogowanego użytkownika oraz informację nt. wewnętrznego ID. Jest to pokaźny zestaw informacji o użytkowniku i jego ruchach.

    Czy mamy dostęp do innych funkcji?

    Umbrella to prężnie rozwijający się produkt, regularnie uzupełniany o nowe funkcjonalności, Jedną z ciekawszych nowości jest Cloud Access Security Broker (CASB), który chroni użytkowników przy połączeniach z aplikacjami chmurowymi.

    CASB i Secure Internet Gateway są dostępne w najwyższej możliwej opcji licencyjnej Umbrelli, co również pozwala na uzyskanie proxy. Możemy przekierowywać ruch przez serwery Umbrelli, zaimplementować rozszywanie SSL i zaglądać w ruch szyfrowany, a także korzystać z funkcjonalności cloudowego firewalla.

    A co w sytuacji, gdy możemy potrzebować centralnego ISG?

    Jest to idealna opcja dla klienta, który ma wiele lokalizacji, czyli jego środowisko pracy jest rozproszone. Dzięki ISG klient nie musi kupować osobnego firewalla do każdej lokalizacji. Zyskuje dzięki temu ogromna wygodę i bezpieczeństwo. Jest to gotowy produkt, który bardzo łatwo skalować i którym bardzo łatwo można zarządzać.

    Jak się zabrać do wdrożenia? W jaki sposób skaluje się Cisco Umbrella?

    Trzeba wziąć pod uwagę kwestie licencyjne – ilu pracowników potrzebuje tego oprogramowania? (ilu użytkowników będzie go używać?) – to decyduje o ilości licencji, które trzeba kupić. Umbrella jest licencjonowana na użytkownika, a nie firmę (prócz wyjątków licencjonowania na router czy Access Point).

    Czego tak naprawdę potrzebujemy? Jaką funkcjonalność? Umbrella oferuje trzy plany subskrypcyjne:

    1. DNS Security Essentials.
    2. Advanced.
    3. Secure Internet Gateway.


    Plany różnią się niektórymi funkcjonalnościami i stopniem ochrony. 
    Podstawowa opcja to też podstawowa ochrona przed zagrożeniami wynikającymi z domen, która umożliwia tworzenie polityki bezpieczeństwa, integrację z Active Directory i daje możliwość korzystania z Roaming Client.

    Wyższy poziom ochrony, czyli licencja Advanced, to dodatkowa możliwość selective proxy – czyli proxy wykorzystywanego połowicznie. W tym rozwiązaniu ruch, którego Umbrella jeszcze nie zna przechodzi przez selective proxy, po czym Umbrella analizuje go i daje odpowiedź. Przykład? Jeśli mamy nową nieoznaczona domenę, Umbrella przepuści ruch na tę domenę przez proxy, przeanalizuje go i odpowie nam, czy wpuszcza użytkownika czy nie.

    Dodatkową opcją w Advanced jest Umbrella Investigate, czyli dodatkowy panel, w którym możemy śledzić i analizować domenę pod kątem zagrożeń i jej historii oraz Risk Score, czyli liczby punktów bezpieczeństwa przydzielonych domenie.

    Najwyższa opcja ochrony to licencja Secure Internet Gateway. Tu w pakiecie dostajemy proxy, Gatsby czy firewall internetowy as a Service – czyli pełen pakiet ochrony, który chroni już całościowo pod każdym kątem.

    Czy system ma jakieś ograniczenia?

    Rozwiązanie jest uniwersalne i nie ma przeciwwskazań do wdrożeń Umbrelli w organizacji dowolnego typu i rozmiaru. Również istniejące polityki bezpieczeństwa nie stanowią przeciwwskazania do używania Umbrelli, ponieważ jedyny ruch, który wysyłamy przez Umbrellę to zapytania DNS, które i tak byśmy z naszych komputerów wysłali. Program więc nie kłóci się z lokalnymi rozwiązaniami systemu.

    Jak można przetestować Umbrellę?

    Najlepiej przeprowadzić testy na własnej infrastrukturze, żeby sprawdzić jak produkt działa i czy spełnia nasze oczekiwania. Wdrożenie jest bardzo intuicyjne i, co ważne, nie koliduje z obecną infrastrukturą. Tutaj bardzo dobrze sprawdza się to na własnym systemie.

    quote Grandmetric

    Standardowy czas trwania testu to 14 dni. Dostajemy wtedy dostęp do dashboardu, w którym możemy obserwować, co Umbrella wykrywa i reagować na to. 

    Jan Ćwierk, Security Engineer, Ingram Micro

    Samo wdrożenie Cisco Umbrella przebiega łatwo i szybko. Wystarczy się zarejestrować, odpowiednio ustawić adresy DNS i… to wszystko. Jedyne czego potrzebujemy to połączenie z Internetem.

    Pracownicy mogą się w ogóle nie zorientować, że nowe zabezpieczenie zostało wprowadzone, bo w ich systemach nic się nie zmieni. Dodatkowo możemy decydować, przed czym chcemy się chronić. Najczęściej bronimy się przed niepożądanymi stronami, phishingiem itp.

    Bądź na bieżąco w tematach, z którymi pracujesz na co dzień

    Zapisz się do Grandmetric Tech Newsletter. Otrzymaj dostęp do materiałów premium: ebooków, checklist, webinarów i innych.

      Zapisując się na newsletter wyrażam zgodę na przetwarzanie udostępnionych danych osobowych na potrzeby prowadzonego newslettera, w ramach którego Grandmetric sp. z o.o. jako administrator danych przesyłać będzie informacje marketingowe, promocyjne, handlowe i informacyjne w obszarze prowadzonej działalności gospodarczej. Zapoznałam/em się z treścią Regulaminu oraz Polityki prywatności i akceptuję ich treść. Regulamin Polityka prywatności


      Artykuł został napisany na podstawie podcastu Próba Połączenia. O DNS security rozmawiali Marcin Biały z Grandmetic i Jan Ćwierk, który pracuje w Ingram Micro, a specjalizuje się we wdrożeniach i licencjonowaniu środowiska Cisco Umbrella. W swojej pracy wspiera partnerów w doborze rozwiązań i uaktualnia technologie pod kątem funkcjonalności u klientów.

      Autor

      Joanna Sajkowska

      Z wykształcenia inżynier telekomunikacji. Od ponad 10 lat pracuje po biznesowej stronie mocy, zawsze w organizacjach technicznych (związanych z telekomunikacją lub wytwarzaniem oprogramowania). Skupia się na tłumaczeniu technologii i rozpoznawaniu wartości tam, gdzie inni widzą specyfikację. W Grandmetric kieruje marketingiem i komunikacją marki, w tym kampaniami edukacyjnymi z zakresu cyberbezpieczeństwa.

      Dodaj komentarz

      Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *


      Grandmetric: Network & Security