Infoblox เปิดตัว DNS Firewall และ Advanced DNS Protection ป้องกันระบบ DNS ภัยคุกคามที่หลายคนมองข้าม

** ผู้ที่สนใจขอรับบริการ DNS Health Check ได้ฟรี โดยกรอกแบบฟอร์มลงทะเบียนด้านล่าง **

ปัจจุบันนี้ การที่อุปกรณ์และเครื่องใช้ไฟฟ้าสามารถเชื่อมต่ออินเทอร์เน็ตไม่ใช่เรื่องไกลตัวเราอีกต่อไป ไม่ว่าจะเป็น Smart TV ตู้เย็น ระบบไฟ LED กาต้มน้ำ หรือแม้แต่ช้อนส้อม แปรงสีฟัน ต่างสามารถเชื่อมต่อกับสมาร์ทโฟนเพื่อควบคุมและบริหารจัดการได้ทั้งนั้น กล่าวได้ว่าเรากำลังเข้าสู่ยุค Internet of Things อย่างแท้จริง

อุปกรณ์ IoT และผู้ใช้อินเทอร์เน็ตเพิ่มจำนวนขึ้นในทุกวัน

จากการสำรวจพบว่า ในปัจจุบันนี้มีผู้คนเชื่อมต่อใช้งานอินเทอร์เน็ตกว่า 3.6 พันล้านคน อุปกรณ์ IoT มีจำนวนมากถึง 4,900 ล้านชิ้น และคาดว่าจะเพิ่มขึ้นเป็น 6,400 ล้านชิ้นในปี 2016 นี้ การบริหารจัดการการเชื่อมต่อได้กลายเป็นสิ่งท้าทายของแต่ละองค์กร คำถามสำคัญที่ผู้ดูแลระบบหลายคนต้องเจอ คือ ทำอย่างไรจึงจะทำให้อุปกรณ์ทุกเครื่องเชื่อมต่อกันได้อย่างรวดเร็ว, หมายเลข IP ไม่ชนกัน, ไม่ขึ้น Limited Access และที่สำคัญคือ ต้องปลอดภัยจากภัยคุกคามต่างๆที่นับวันยิ่งทวีความแปลกใหม่ขึ้นทุกวัน

DrDoS Attack รูปแบบใหม่ของ DDoS ที่มีความรุนแรงกว่า 300+ Gbps

เมื่ออุปกรณ์ที่สามารถเชื่อมต่ออินเทอร์เน็ตมีจำนวนมากขึ้น ผู้คนมีปฏิสัมพันธ์กับอุปกรณ์ต่างๆมากขึ้น นั่นหมายความว่า แฮ็คเกอร์ก็มีช่องทางให้เลือกโจมตีและหลอกลวงผู้ใช้งานมากขึ้นเช่นกัน หนึ่งในภัยคุกคามผ่านอุปกรณ์ IoT ที่เด่นชัดที่สุด คือ DDoS Attack ซึ่งในปัจจุบันนี้ได้พัฒนาความรุนแรงยิ่งขึ้นกลายเป็น DrDoS Attack หรืแ Distributed Reflection DoS Attack

DrDoS Attack เป็นการโจมตีที่อาศัยหลักการขยาย (Amplify) และสะท้อน (Reflection) ทราฟฟิคกลับไปยังเป้าหมาย เริ่มต้นแฮ็คเกอร์จะแพร่กระจายมัลแวร์เข้าไปยังอุปกรณ์ IoT ที่มีความปลอดภัยต่ำ เพื่อควบคุมให้อุปกรณ์เหล่านั้นกลายเป็น Botnet คอยรับคำสั่งให้ทำตามสิ่งที่แฮ็คเกอร์ต้องการ จากนั้นแฮ็คเกอร์จะใช้อุปกรณ์เหล่านี้ส่ง Request ไปยัง DNS หรือ NTP Server โดยปลอมหมายเลข IP ต้นทางของตนเองไปเป็น IP ของเป้าหมาย Request เหล่านี้ไม่ได้ส่งไปเพื่อขอ Solve Name หรือ Sync Time ตามปกติ แต่เป็น Request ที่ก่อให้เกิด Response ขนาดใหญ่ เรียกว่ามีกำลังขยาย (Amplification Factor) จาก Request หลายเท่าตัว ซึ่ง Response เหล่านี้จะถูกส่งกลับไปยังเป้าหมายตามหมายเลข IP ที่ถูกปลอมไว้แต่แรก ส่งผลให้แบนวิธด์ของเป้าหมายเต็มจนไม่สามารถให้บริการได้

จากรายงานของ Arbor Networks ระบุว่า การโจมตีแบบ DrDoS ที่รุนแรงที่สุดที่เคยเจอมีขนาดใหญ่ถึง 334 Gbps ซึ่งมีเป้าหมายเป็น ISP แห่งหนึ่งในแถมภูมิภาคเอเชีย และประเทศไทยก็ติดอันดับ 3 ประเทศที่เป็นแหล่งกำเนิดทราฟฟิค DDoS โดยเป็นรองเพียงสหรัฐอเมิริกา และประเทศจีนเท่านั้น

DNS ระบบสำคัญสำหรับแอพพลิเคชันที่หลายคนมองไม่เห็น

เมื่อถามว่า “สิ่งจำเป็นสำหรับการใช้ระบบแอพพลิเคชันในปัจจุบันคืออะไร ?” หลายคนอาจตอบว่า อุปกรณ์ที่มีสเป็คเหมาะสม การเชื่อมต่อที่รวดเร็ว หรือปัจจัยการใช้งานอื่นๆ แต่สิ่งที่ทุกคนต่างไม่คาดคำนึงถึงเพราะคิดว่าเป็นเรื่องไกลตัว คือ ระบบ DNS ระบบโครงสร้างพื้นฐานสำคัญของแอพพิลเคชัน

คำถามคือ จะเกิดอะไรขึ้นเมื่อระบบ DNS มีปัญหาหรือไม่สามารถให้บริการได้ … คำตอบคือระบบแอพพลิเคชันล่มตามทันที เนื่องจากผู้ใช้บริการไม่สามารถเข้าถึงแอพพลิเคชันได้ หรือเลวร้ายที่สุดคือ ผู้ใช้บริการถูกเปลี่ยนเส้นทางจากการเข้าถึงแอพพลิเคชัน ไปเข้าถึงไซต์ปลอมของแฮ็คเกอร์แทน ส่งผลให้ผู้ใช้อาจถูกหลอกขโมยข้อมูลสำคัญ หรือถูกแอบแฝงมัลแวร์กลับเข้ามาเจาระบบภายในองค์กรได้ ผลกระทบต่อธุรกิจที่เกิดขึ้นอย่างเห็นได้ชัด คือ การสูญเสียความน่าเชื่อถือและภาพลักษณ์ขององค์กร

จะเห็นว่า DNS Server นอกจากมีความเสี่ยงที่จะถูกใช้โจมตี DDoS โดยแฮ็คเกอร์แล้ว ยังเป็นองค์ประกอบหลักสำคัญของระบบแอพพิลเคชันที่ไม่สามารถล่มหรือทำงานผิดพลาดได้ มิเช่นนั้นอาจส่งผลกระทบอย่างใหญ่หลวงต่อองค์กรได้ทันที Gartner และ Forrestor สองบริษัทวิจัยและให้คำปรึกษาชื่อดังของสหรัฐฯ ให้ความเห็นตรงกันว่า DNS เป็นระบบโครงสร้างพื้นฐานที่สำคัญ แต่ละองค์กรควรลงทุนเพื่อป้องกันระบบ DNS จากอาชกรบนโลกไซเบอร์

DNS รูโหว่สำคัญสำหรับ DoS Attack และการจารกรรมข้อมูล

การโจมตีผ่าน DNS มีมากมายหลาย 10 วิธี ไม่ว่าจะเป็น Cache Poisoning, NXDOMAIN, DNS Tunnelling และอื่นๆ แต่การโจมตียอดนิยมหลักๆสามารถแบ่งออกได้เป็น 3 ประเภท คือ

1. Site Hijacking – แฮ็คเกอร์เปลี่ยนข้อมูลการ Solve Name บน DNS Server ให้ชี้ไปยังหมายเลข IP ของแฮ็คเกอร์แทน ซึ่งแฮ็คเกอร์อาจทำ Phishing Site รอให้เหยื่อหลงเข้าเพื่อหลอกขโมยข้อมูลสำหรับ เช่น ชื่อผู้ใช้และรหัสผ่านได้ ตัวอย่างการโจมตีรูปแบบนี้ คือ Cache Poisoning และ Man-in-the-Middle Attack
2. DDoS Attack – เช่นการทำ DNS Flood หรือ DrDoS Attack ตามที่กล่าวไป จากการสำรวจพบว่า Recursive DNS Server จำนวน 28 จาก 33 ล้านเครื่องมีความเสี่ยงที่จะถูกใช้เป็นเครื่องมือในการขยายทราฟฟิค DDoS เพื่อโจมตีเป้าหมายของแฮ็คเกอร์
3. Data Exfiltration – การจารกรรมข้อมูลผ่านทางมัลแวร์ที่ติดตั้งอยู่บนเครื่องของเหยื่อ โดยมัลแวร์จะทำการสร้าง DNS Query ซึ่ง Encode ข้อมูลสำคัญ เช่น ชื่อนามสกุล, เลขบัตรประชาชน, เลขบัตรเครดิต, CCV number และอื่นๆ ไปใน DNS record แล้วทำการส่งไปยัง DNS Server ภายในองค์กร เนื่องจากการร้องขอ DNS นั้น เป็น DNS ที่อยู่บนระบบอินเทอร์เน็ต DNS Server จึงทำการส่งการร้องขอ DNS Query ไปยังเจ้าของโดเมนนั้นต่อ (Authoritative DNS server) ซึ่งก็คือ DNS Server หรือ C&C Server ของแฮ็คเกอร์นั่นเอง เมื่อแฮ็คเกอร์นำชิ้นส่วนข้อมูลของหลายๆ DNS Query ที่ได้มาประกอบกัน ก็จะได้ข้อมูลสมบูรณ์พร้อมนำไปใช้ประโยชน์ต่อ เช่น เรียกค่าไถ่ หรือขายให้บริษัทคู่แข่ง เป็นต้น

จากรายงานของ Cloudmark ระบุว่า DNS ถือว่าเป็นช่องทางสำคัญอันดับหนึ่ง ที่แฮ็คเกอร์ใช้โจมตี DoS และขโมยข้อมูลสำคัญจากองค์กร ที่สำคัญคือ Firewall และ IPS ทั่วไป ไม่สามารถป้องกันภัยคุกคามผ่าน DNS ได้

Infoblox DNS Firewall ปกป้องผู้ใช้อินเทอร์เน็ตจากจุดเริ่มต้น

เพื่อปกป้องผู้ใช้จากการถูกหลอกให้เข้าถึงไซต์อันตรายต่างๆ และป้องกันระบบ DNS ที่สำคัญขององค์กรจากภัยคุกคามทั้งปวง Infoblox ผู้ให้บริการระบบ DDI (DNS, DHCP และ IPAM) และผู้เชี่ยวชาญด้านความปลอดภัยบน DNS ชั้นนำของโลก จึงได้นำเสนอ 2 โซลูชันสำคัญ คือ DNS Firewall และ Advanced DNS Protection

แนวคิดของ Infoblox DNS Firewall นั้นเข้าใจง่ายแต่ได้ผลเป็นอย่างดี กล่าวคือ DNS Firewall จะทำการบล็อคการเข้าถึงโดเมนหรือไซต์อันตรายตั้งแต่ขั้นตอนขอ Solve Name มาที่ DNS Server ซึ่งภายใน DNS Firewall จะมีฐานข้อมูลแบล็คลิสต์เว็บไซต์ที่มีมัลแวร์แฝงตัวอยู่ เว็บไซต์ที่เป็น Phishing และ C&C Server ของแฮ็คเกอร์ ซึ่งรวมแล้วมากกว่า 15,000 รายการ อัพเดททุก 2 ชั่วโมง

ผลลัพธ์ที่ได้ คือ Infoblox Firewall สามารถป้องกันผู้ใช้งานไม่ให้เข้าถึงไซต์อันตรายต่างๆตั้งแต่ก่อนเริ่มเชื่อมต่อกับไซต์เหล่านั้น รวมทั้งสามารถสกัดกั้นอุปกรณ์ที่ติดมัลแวร์ในการรับส่งข้อมูลกับ C&C Server ของแฮ็คเกอร์ได้ตั้งแต่เริ่มแรก ไม่เฉพาะการเชื่อมต่อกับเว็บไซต์ (HTTP) เพียงอย่างเดียวเท่านั้น แต่รวมไปถึงทุกแอพพิลเคชันที่ใช้ DNS ในการติดต่อสื่อสาร นอกจากนี้ยังสามารถป้องกันการรั่วไหลของข้อมูลออกสู่ภายนอกผ่านทาง DNS Query ได้อีกด้วย จึงมั่นใจได้ว่าผู้ใช้และอุปกรณ์ทุกเครื่องภายในองค์กรจะไม่มีโอกาสออกไปสัมผัสไซต์หรือโดเมนที่เป็นภัยคุกคามภายนอกอย่างแน่นอน

ป้องกันภัยคุกคามเชิงรุก

Infoblox DNS Firewall มีจุดเด่น 3 ประการ คือ

1. Proactive – ป้องกันภัยคุกคามเชิงรุก โดยสามารถหยุดยั้งผู้ใช้และอุปกรณ์ต่างๆจากการเข้าถึงไซต์อันตรายตั้งแต่ก่อนทำการเชื่อมต่อกับไซต์เหล่านั้น และสามารถระบุตำแหน่งของอุปกรณ์ที่ติดมัลแวร์หรือมีพฤติกรรมที่ผิดปกติเพื่อทำการวิเคราะห์และกำจัดได้ทันที
2. Timely – ให้ข้อมูลภัยคุกคามที่ละเอียด ครอบคลุม และเป็นข้อมูลล่าสุด ณ เวลานั้นๆ ซึ่งช่วยให้ผู้ดูแลระบบสามารถตรวจสอบและวิเคราะห์ภัยคุกคามได้อย่างรวดเร็วและแม่นยำ
3. Tunable – สามารถปรับแต่งนโยบายรักษาความปลอดภัยให้เหมาะสมกับสภาพแวดล้อมต่างๆตามความต้องการได้ เพื่อให้มั่นใจได้ว่า ภัยคุกคามและมัลแวร์ทั้งหลายจะไม่สามารถรุกล้ำเข้ามาในระบบเครือข่ายได้

รายละเอียดเพิ่มเติม: https://www.infoblox.com/products/secure-dns/dns-firewall

Infoblox Advanced DNS Protection ป้องกันระบบ DNS จากภัยคุกคามภายนอก

Infoblox Advanced DNS Protection เป็นโซลูชันที่ถูกออกแบบมาเพื่อป้องกันระบบ DNS จากภัยคุกคามรูปแบบต่างๆโดยเฉพาะ ไม่ว่าจะเป็น TCP/UDP Floods, Cache Poisoning, DNS-based Exploit, Phantom Domain หรือแม้กระทั่งป้องกัน DNS Server จากการตกเป็นเครื่องมือของการโจมตี DrDoS ได้

โซลูชัน Advanced DNS Protection ประกอบด้วย 2 องค์ประกอบหลัก คือ Infoblox Advanced Appliance และ Infoblox Advanced DNS Protection Service

1. Infoblox Advanced Appliance

Advanced Appliance คือ DNS Server แบบเสริมความแข็งแกร่ง ที่มาพร้อมกับระบบรักษาความปลอดภัยภายในตัว สามารถให้บริการ DNS แก่อุปกรณ์ภายในและภายนอกได้ ต้องขอบคุณหน่วยประมวล ASIC สมรรถะสูง ที่ช่วยให้ Advanced Appliance สามารถรับมือกับ DNS Query ที่มีปริมาณมากถึง 200,000 ครั้งต่อวินาที พร้อมกับป้องกันตัวเองจากภัยคุกคามภายนอกโดยที่ไม่ส่งผลกระทบต่อประสิทธิภาพการให้บริการ

2. Infoblox Advanced DNS Protection Service

ระบบรักษาความปลอดภัยของ Advanced Appliance ที่คอยตรวจจับและป้องกันระบบ DNS จากภัยคุกคามต่างๆ ไม่ว่าจะเป็นการโจมตีแบบ DDoS, DNS-based Exploit หรือ Protocal Anomalies เป็นต้น ซึ่งจะมีการอัพเดทฐานข้อมูลความปลอดภัยให้ทันสมัย ทัดเทียมกับภัยคุกคามรูปแบบใหม่ที่เพิ่งถูกค้นพบตลอดเวลา นอกจากนี้ยังสามารถปรับแต่งนโยบายรักษาความปลอดภัยและพารามิเตอร์ต่างๆ ให้เหมาะสมต่อสภาพแวดล้อมการใช้งานที่แตกต่างกันได้อีกด้วย

Advanced DNS Protection Service มีระบบมอนิเตอร์และหน้า Dashboard ที่แสดงผลในรูปกราฟิกสวยงามและเข้าใจได้ง่าย รวมทั้งสามารถจัดทำรายงานที่ให้รายละเอียดเชิงลึก ซึ่งช่วยให้ผู้ดูแลระบบสามารถตรวจสอบและวิเคราะห์เหตุการณ์ที่ผ่านมา เพื่อหาทางรับมือกับแนวโน้มภัยคุกคามที่อาจเกิดขึ้นในอนาคตได้อย่างมีประสิทธิภาพ

ตารางด้านล่างแสดงประเภทการโจมตีที่โซลูชัน Infoblox Advanced DNS Protection สามารถป้องกันได้

รายละเอียดเพิ่มเติม: https://www.infoblox.com/products/secure-dns/external-dns-security

ติดต่อขอรับบริการ DNS Health Check และสาธิตได้ฟรี

Infoblox ทั้ง 2 โซลูชันพร้อมให้บริการในประเทศไทยแล้ว ผู้ที่สนใจสามารถสอบถามรายละเอียดเพิ่มเติม รวมทั้งขอรับบริการ DNS Health Check และบริการสาธิตโซลูชัน (POC) ได้ฟรี ที่

• ฝ่ายขาย Infoblox ประเทศไทย โทร 0-2118-0385 หรืออีเมลล์ sales-thailand@infoblox.com
• คุณธิติรัตน์ ทองถาวร โทร 089-891-1241 หรืออีเมลล์ thitirat@infoblox.com