DNS - lettbent forsvar
Plutselig havnet DNS på sikkerhets-agenden – igjen. Der hører den hjemme. Permanent. What took us so long?
DNS - navnetjenesten i Internettet - er ekstremt effektiv som forsvarsvåpen i cyberkrigen. Uten DNS er Internettet like nyttig som en elbil med flatt batteri. Triller i unnabakke, ellers full stopp. Med DNS fungerer det meste. Med selektiv DNS kan brukerne beskyttes mot seg selv – og vi kan bli usynlige for the bad guys.
For noen av oss har DNS som våpen i kampen for bedre sikkerhet vært en kjepphest i årevis. Sammenhengen er innlysende - nettadresser vi ikke finner kommer vi ikke frem til. Og 'besøkende' som ikke finner oss, kommer heller ikke frem – med mindre de kan de underliggende adressene, hvilket sjelden er tilfelle. Hvis vi kan regulere hvem /hva som er synlig for brukerne – og hvem vi er synlige for, har vi eliminert en vesentlig del av de daglige angrepene.
Selskapet OpenDNS demonstrerte slik defensiv bruk for over 10 år siden. 5 år senere var trafikk-filtrering via DNS vanlig i sikkerhetsbevisste kretser, men ikke i markedet generelt. Cisco overtok OpenDNS og promoterte tjenesten. Andre aktører leverte tilsvarende - gratis eller for en billig penge – for eksempel CloudFlare, som har vært vårt favoritteksempel i mange sammenhenger. Og som vi har brukt selv i en årrekke.
At ikke mindre enn 3 lokale leverandører av cybersikkerhet den siste måneden har 'oppdaget' denne defensive mekanismen, er oppløftende. At det tok alt for lenge, er historie. Dessuten - og like viktig: Det er ikke innlysende at en hvilken som helst leverandør av DNS as a Service, leverer god DNS-sikkerhet eller bruker DNS til aktivt forsvar. Og sist, men ikke minst: Å samle cloudtjenester på én hånd er aldri en god idé. En påminnelse mange miljøer har fått det siste året – som kunder hos (for eksempel) Microsoft Azure.
Vårt budskap er todelt: Å slå enda et slag for bruk av DNS for å redusere eksponeringsflaten mot Internettet – for eksempel via tjenester som Cisco Umbrella og CloudFlare DNS. Og for det andre å se etter spesialister når vi trenger spesielle tjenester. DNS-basert forsvar er en spesiell tjeneste. Store og generelle aktører som Microsoft, Oracle og IBM er ikke best i alt. Vi bygger robusthet ved å ha flere partnere og velge genuine spesialister – og gjøre det på en slik måte at vi kan bytte når forholdene tilsier det (se Hvor er EXIT-strategien).
Faren ved monokulturer har aldri vært større, og er fortsatt underfokusert. De er robusthetens største fiende. Alle trenger flere ben for stødighet. Grekerne visste det, romerne visste det, vi vet det … men glemte det i farten. Det koster.
Legg igjen kommentar
Du må være innlogget for å kunne kommentere.