En poco más de un año la entrada en vigor del Reglamento General de Protección de Datos de la Unión Europea (GDPR) será una realidad. Se trata de un amplio conjunto de normas que se deben cumplir cuando se trabaja con datos sobre ciudadanos europeos. Su cumplimiento no tiene por qué ser complicado, aunque gran parte del GDPR se centra en cómo manejar las violaciones de red y la pérdida de datos. Para evitar multas ruinosas tras una infracción, la forma más sencilla de cumplir con los requisitos es simple: mejorar la seguridad.
Sin embargo, es importante no tomar este consejo a la ligera: las violaciones tienen efectos significativos sobre aquellos cuyos datos son robados; y con el GDPR, además, quedarán registradas las empresas que lo incumplan. El resultado es la posibilidad de sufrir grandes multas, del 2 % al 4 % de los ingresos globales, así como sanciones que pueden forzar a las organizaciones a detener el procesamiento de datos de usuarios.
Existen muchas formas de proteger los datos, pero la que se descuida más a menudo es la exfiltración de datos vía DNS. Un nuevo informe de IDC analiza cómo los ataques basados en DNS se han convertido en un riesgo significativo que debe considerarse como parte de su preparación al GDPR.
Los mecanismos de la exfiltración por DNS
La exfiltración de datos por DNS es parte habitual de un ataque persistente avanzado basado en amenazas. Los atacantes de su red destinan tiempo a buscar los datos más valiosos, que luego deben extraer. Si en la mayoría de los sistemas de seguridad bloquean los mecanismos de transferencia de datos obvios como el FTP, los protocolos comunes de internet como el DNS, frecuentemente quedan desprotegidos. Esto ofrece a los atacantes una laguna en la que las conexiones a servidores arbitrarios no están bloqueadas.
Existen dos formas en que se pueden extraer datos vía DNS. Ambas se basan en el software del atacante, capaz de codificar los datos, y luego utilizar distintas técnicas DNS para transmitirlos a servidores remotos. La primera opción se centra únicamente en la extracción, e incorpora bloques de datos codificados dentro de las peticiones al servidor DNS del atacante. Es una forma lenta de extraer los datos, pero cuando se trata de detalles valiosos como información sobre tarjetas de crédito, es ciertamente eficaz. El segundo enfoque, el DNS tunneling, utiliza el DNS no solo como una forma de extraer datos, sino también para la codificación de datos en nombres alternativos para servidores. De esta forma es capaz de ofrecer a los atacantes un canal de comando y control para sus herramientas. El DNS tunneling es también una forma relativamente rápida de extracción de datos, con un ataque conocido que entrega 18.000 números de tarjeta de crédito por minuto al servidor del atacante.
¿Por qué el DNS es un riesgo?
¿Por qué los atacantes utilizan el DNS? Dos son las razones principales.
La primera, y la más obvia, es que en realidad tenemos muy buenas herramientas para detectar la exfiltración a través de HTTP y FTP, los dos protocolos más comunes. Las herramientas de prevención de pérdida de datos y los firewalls de próxima generación se centran en estas tecnologías, bloqueando las rutas más fáciles de su red. Esto fuerza a los hackers a explorar y experimentar con otros protocolos, y aprovechar los que, como el DNS, no están bloqueados por las herramientas tradicionales de seguridad.
La segunda, y quizás más importante, es que es fácil ocultar datos exfiltrados entre el funcionamiento normal de un servicio DNS. Muchos servicios de internet comunes utilizan DNS, lo que significa que la mayoría de los servidores DNS están constantemente ocupados. Luego está el problema adicional de vivir en un mundo en el que el BYOD y el cliente Wi-Fi son prolíficos, lo que permite el acceso DNS a dispositivos que no conocemos. El gran volumen de tráfico hace que sea difícil ver las solicitudes que se utilizan para la exfiltración de datos por DNS, especialmente cuando se pueden espaciar en el tiempo utilizando técnicas estadísticas que hacen que parezcan tráfico normal.
Prevención de la exfiltración con protección DNS
Entonces, ¿cómo puede proteger su red? Las técnicas tradicionales de monitoreo tienen el riesgo de bloquear el tráfico legítimo. Después de todo, solo porque una petición DNS vaya a un servidor desconocido no significa que sea maliciosa; La arquitectura descentralizada del servicio global de DNS hace imposible conocer todos los servidores en uso.
Para entender lo que está sucediendo en las zonas DNS de su dominio, necesita incorporar herramientas de seguridad en sus servidores DNS, el corazón del DNS. Ahí es donde puede analizar el contenido del paquete para ver lo que está sucediendo en su red. El resultado es una inspección profunda del tráfico DNS, un análisis de la capacidad útil y del tráfico.
Una vez que haya identificado el tráfico DNS malicioso de su red, puede comenzar a aplicar medidas. Una opción es bloquear los dominios maliciosos tan pronto como se identifiquen y utilizar herramientas de reputación DNS para reducir los riesgos de falsos positivos y falsos negativos. También puede examinar el tráfico de dispositivos sospechosos específicos de su red para orientar aún más las actividades sospechosas.
Mantener la seguridad DNS puede ayudar al cumplimiento del GDPR, ya que no es puramente una cuestión de evitar infracciones, sino también de informar oportunamente si se han robado datos. Si comunica las infracciones a los órganos apropiados de protección de datos (por ejemplo, en el Reino Unido, a la Oficina del Comisario de Información) en un plazo de 72 horas, lo estará cumpliendo. Si se han utilizado nuevas técnicas y ataques de día cero para exfiltrar datos, necesitará herramientas para registrar todos los datos de DNS. Una vez registrado, también tendrá que explorar esos registros con regularidad para encontrar amenazas persistentes más avanzadas previamente no descubiertas en su red (con grandes registros de DNS, esto puede ser como encontrar una aguja en un pajar).
El análisis de archivos de registro a esta escala con un servidor DNS tradicional puede ser un problema importante: ya sea tener que trabajar con datos de lote después del evento, permitiendo que los datos sean robados sin saberlo, muestrear estadísticamente o disminuir el tráfico DNS para permitir que las herramientas de búsqueda de archivos de registro funcionen. De cualquier forma, pondría en riesgo los datos de los usuarios, lo que aumenta las probabilidades de incumplir el GDPR.
Alternativamente, puede utilizar un servidor DNS moderno, capaz de identificar ataques rápidamente o en tiempo real, mediante el análisis de transacciones en tiempo real, lo que le da la opción de bloquear la exfiltración de datos tan pronto como sea detectada por las herramientas de análisis del servidor DNS.
¡Una llamada a la acción DNS!
Es posible que una empresa cualquiera despliegue diversas herramientas de seguridad enfocadas a la prevención de pérdida de datos. Sin embargo, la exfiltración DNS está siendo utilizada por los hackers para desplazarse por su perímetro de seguridad, ¿qué se puede hacer entonces para asegurarse de que el DNS no suponga un riego para el cumplimiento del GDPR?
Necesitará herramientas que funcionen dentro de sus servidores DNS, herramientas que analicen su tráfico DNS y detecten valores atípicos, ayudándole a localizar clientes sospechosos que estén extrayendo datos de su red a través del DNS. Una vez identificado el tráfico DNS malicioso, podrá utilizar contramedidas para bloquear la exfiltración y proteger su red de otros ataques que puedan estar aprovechando este protocolo crítico.
Vivimos en un mundo cada vez más peligroso en el que los datos son valiosos para las empresas – y para los atacantes. El GDPR implica una nueva responsabilidad para las empresas: ser lo más seguras posible, con sanciones significativas para las que no lo cumplan. Esto requiere hacer mucho más que proteger sus bases de datos, requiere proteger todas las partes de la red IP.
Hervé Dhelin
Director de Marketing EfficientIP
