3 modele wdrożenia Cisco Umbrella

O tym, że phishing to jedna z najczęściej wykorzystywanych metod ataków na przedsiębiorstwa, już nikogo nie trzeba przekonywać. W raporcie Data Breach Investigation Report z 2022r Verizon wskazuje na phishing jako drugie największe (po wyłudzeniu danych logowania) zagrożenie dla firm.  

Warto więc zadać sobie pytanie czy istnieje jakiś mechanizm, który wyprzedzi atak z wykorzystaniem phishingu, np. pobieranie zainfekowanego pliku, a tym samym zablokuje połączenie Command & Control? Odpowiedź brzmi: tak. Etapem odpowiednim do zablokowania takiego zdarzenia może być DNS. 

DNS jest mechanizmem, na którym oparta jest komunikacja w sieci Internet. To dzięki niemu możliwe jest przetłumaczenie zapytania o adres domeny, zrozumiały dla człowieka (np. Google.com) na konkretny adres maszyny (adres IP dla google.com to 142.251.39.46.). Jest to pierwsza i naturalna linia, która może posłużyć do weryfikacji domeny zainfekowanej, podejrzanej czy biorącej udział w atakach. Na podstawie klasyfikacji tej domeny, DNS może zwrócić nam informację czy domena, z którą próbujemy się połączyć jest zablokowana, czy możliwa do osiągnięcia.  

DNS Security z Umbrella 

Mechanizm weryfikacji adresów i zapytań DNS to fundament działania Cisco Umbrella. Skonfigurowana jako serwer DNS dla naszej firmy, Umbrella widzi wszystkie zapytania DNS o rozwiązania nazwy na adres IP, które pochodzą z naszej organizacji. Umbrella blokuje ataki przed ich wystąpieniem dzięki temu, że działa w pierwszej fazie każdego połączenia. 

Cisco pomyślało też o przypadku, w którym użytkownik wychodzi poza sieć i łączy się z różnymi domenami poza chronioną siecią firmową. Bezpieczeństwo w tym przypadku zapewni tzw. Umbrella Roaming Client, lekka aplikacja zainstalowana na komputerze, która kontroluje wszystkie zapytania DNS. Taki model wdrożenia nazywa się off-net, a jego zaletą jest brak konieczności połączenia za pomocą VPN. 

Sama Umbrella jest kontynuacją projektu OpenDNS, przez co jest chyba najbardziej powszechnym rozwiązaniem na świecie w obszarze DNS Security. Dane, które codziennie przechodzą przez Umbrella osiągają wolumen na poziomie 200 miliardów zapytań od 100 milionów użytkowników. Z Umbrelli korzysta ponad 18 tysięcy firm z sektora Enterprise, a zapytania DNS pochodzą z ponad 190 krajów świata. 

 
Sam system serwerów DNS Umbrella to serwery rozlokowane w 32 centrach przetwarzania danych na świecie. Istnieją praktycznie na każdym kontynencie co powoduje, że dostępność tych usług i opóźnienia w rozwiązywaniu nazw między użytkownikami a serwerami nazw są zminimalizowane.  

 
Dodatkowo w zasadzie nieprzerwane działanie systemu Umbrella od 2006 roku (100% business uptime) spowodowane jest między innymi implementacją routingu typu Anycast. To oznacza, że wszystkie serwery DNS Umbrella widoczne są pod tym samym adresem IP, a routing Anycast zapewnia kierowanie pakietów z zapytaniami DNS do najbliższej lokalizacji serwera DNS od użytkownika. 

Za całą klasyfikacją domen w bazie Cisco Umbrella  kryją się metody statystyczne, które pozwalają na skuteczną analizę przypadków i klasyfikacji domen zagrożonych. Dzięki temu Umbrella jest w stanie blokować odpowiedzi DNS, które normalnie kierowałyby użytkowników do groźnych domen.  

 
Jedną z metod statystycznych jest tzw. współwystępowanie, czyli korelacja zdarzeń występujących w krótkim interwale czasowym i powiązanych z zainfekowaną domeną główną. To powoduje, że niektóre domeny nawet jeszcze przed klasyfikacją przez silniki anti-malware, czy antivirus mogą być wykryte przez Cisco Umbrella, a ataki mogą zostać udaremnione już na poziomie DNS. 

Jak wdrożyć Umbrella? 3 modele 

Szybkie wdrożenie – model łatwy 

Analizując modele wdrożeniowe Umbrella możemy sprowadzić je do trzech punktów: 

1. zarejestrowanie organizacji w panelu Umbrelli,  

2. wskazanie adresu IP lub puli adresacji zewnętrznej publicznej naszej firmy,  

3. przekierowanie zapytań DNS do DNS Cisco Umbrella. 

 
W taki sposób jesteśmy w stanie wdrożyć Cisco Umbrella na potrzeby testów czy produkcyjnie nawet w ciągu kilkudziesięciu minut.   

Oczywiście pełne wdrożenie wymaga ścisłego dopasowania pewnych parametrów. W modelu najłatwiejszym ta zmiana sprowadza się do zmiany adresu serwera DNS w puli DHCP. Dzięki temu użytkownik od razu odpytuje serwer DNS Umbrella, a my widzimy wszystkie połączenia w dashboardzie. 

Model dający więcej 

Alternatywnym modelem, dającym jeszcze więcej informacji pochodzących z zapytań DNS jest wdrożenie z wykorzystaniem Umbrella Virtual Appliance. Jest to urządzenie wirtualne dostarczane przez producenta, kompatybilne z popularnymi wirtualizatorami takimi jak ESX, KVM czy Hyper-V. Umbrella VA przyjmuje rolę DNS proxy między użytkownikami a serwerem DNS wewnątrz firmy, a także serwerami Umbrella.  

W momencie, kiedy zapytanie DNS dochodzi do urządzenia Virtual Appliance, to przekazuje dalej zapytania do Cisco Umbrella. Dzięki Virtual Appliance Umbrella jesteśmy w stanie zintegrować nasz DNS z serwerami AD przez AD Connector. To pozwala nam budować polityki bezpieczeństwa i raporty na poziomie DNS oparte na grupach domenowych lub nazwach użytkowników. Raporty pozwalają bardzo szybko dojść do tego, którzy użytkownicy pytają o zainfekowane strony. Mając te wiedzę możemy zweryfikować, czy sami nie są już zainfekowani. 

Model “On the Go”, czyli pracownicy poza firmą 

Trzeci model to wspomniany off-network z wykorzystaniem Umbrella Roaming Client. Jest to lekki klient, który zabezpiecza użytkowników końcowych przyjmując rolę DNS proxy do serwerów DNS Cisco Umbrella bez konieczności bycia wewnątrz firmy, a także bez konieczności zestawiania tuneli VPN typu Remote Access. Alternatywnie istnieje możliwość integracji Umbrella Roaming Client z klientem sieci VPN Remote Access Cisco AnyConnect. Jest to tzw. Roaming Security Module, który wykorzystywany jest w ramach AnyConnect i pełni identyczną rolę do Umbrella Roaming Client. 

Raporty, czyli co widać w Cisco Umbrella 

Dashboard Cisco Umbrella już na pierwszy rzut oka pokazuje dane z ostatnich 24 godzin. Widzimy w szczególności wykres Security Blocks, który pokazuje wolumen zablokowanych zapytań DNS w ciągu ostatnich 24 godzin, wychodzących od naszych użytkowników.  

Według jakich kryteriów Umbrella grupuje zablokowane zapytania? 

• by destination, czyli według lokalizacji i sieci/podsieci 
• by identity, czyli zapytania należące do konkretnych użytkowników 
• by type, czyli według kategorii zagrożeń.  

Jak wygląda dashboard Cisco Umbrella?

Dodatkowo w dashboardzie Overview widzimy wolumen zablokowanych zapytań  DNSowych o strony przenoszące malware w ciągu ostatnich 24 godzin, a także udaremnione próby zestawienia komunikacji z nośnikami zagrożeń typu Command and Control. 

 
Raporty Umbrella pokazują też trendy związane z aktywnością zagrożeń i z zablokowanymi zapytaniami w rozbiciu na docelowe domeny: 

• widzimy, jaka akcja została podjęta, 
• skąd pochodziło zapytanie, 
• z jakim adresem zewnętrznym wychodził użytkownik pytając o taką domenę, 
• jaki był rezultat zapytania,  
• kiedy dokładnie takie zapytanie nastąpiło, 
• możemy też podejrzeć, co konkretnie zostało zablokowane. 

Ponadto, korzystając z portalu Virus Total możemy zweryfikować też daną domenę wskazaną przez Umbrella jako nośnik malware i sprawdzić, które silniki anti-malware również zweryfikowały tę witrynę jako malware. 
Możemy też filtrować lub sortować raporty m.in. po Top Destinations, czyli domenach z największą liczbą zablokowanych zapytań. To może wskazywać, że powinniśmy znalezioną domenę blokować gdzieś indziej w sieci. 

Bezpłatne testy Cisco Umbrella 

Z naszych doświadczeń wynika, że już w czasie większości testów Cisco Umbrella Klienci decydują się na wdrożenie tego rozwiązania nawet nie czekając do końca testów. To oznacza, że raporty, które Cisco Umbrella przedstawia Klientom na dashboardzie są wartościowe i już po kilku godzinach działania przekonują ich do wdrożenia tego rozwiązania w sieci jako dodatkowego elementu zabezpieczenia, de facto podstawowego na pierwszej linii.