Close
  • Français
  • English

Près de 80% des incidents de cybersécurité impliquent une requête DNS

En tant qu’élément central du réseau internet et première porte d’entrée pour les pirates, le système de noms de domaines (DNS) se doit d’être robuste. Or, les cyberattaques sont toujours plus ingénieuses pour le corrompre afin de s’infiltrer dans un réseau d’entreprise. C’est pourquoi Infoblox, leader de la gestion du DNS, a dû se réinventer pour devenir un spécialiste en cybersécurité. Sa plate-forme SaaS BloxOne offre un outil complet pour protéger votre entreprise contre ces attaques et orchestrer l’ensemble de vos solutions de cybersécurité.

 

« C’est toujours le DNS ! » Voilà une phrase qui devrait être familière aux experts de la sécurité des réseaux. Propulsée au rang de mème, cette maxime reflète une réalité peu réjouissante : le système des noms de domaine (DNS) est souvent impliqué dans les cyber-incidents. 79 % des organisations ont subi une cyber-attaque impliquant une requête DNS, selon le 2020 Global DNS Threat Report du cabinet International Data Corporation (IDC).

Et pour cause : le DNS est « au centre du réseau internet », rappelle Philippe Elie, directeur pour l’Europe méridionale chez Infoblox, aujourd’hui l’un des acteurs majeurs de la sécurité DNS. « Le DNS est le premier composant du réseau IP à être contacté dès qu’un équipement se connecte, précise-t-il. Que ce soit un téléphone, un ordinateur, une caméra IP, ou autre terminal, la première chose qu’un appareil fait pour se connecter à internet est d’envoyer une requête au DNS. »

En tant que premier point d’entrée dans un système et « considéré comme fiable », poursuit l’expert, le trafic DNS est donc utilisé comme vecteur pour accéder à l’ensemble du réseau dans de nombreuses cyberattaques. C’est ce qu’on appelle le « DNS tunneling », une méthode d’infiltration commune depuis une vingtaine d’années.

 

Transformation numérique, Covid-19 et « uberisation des attaques »

Mais deux nouveaux facteurs viennent changer la donne : la transformation numérique des entreprises, encore accélérée par la pandémie de Covid-19, et ce que Philippe Elie appelle « l’uberisation des attaques ».

« De plus en plus, les données et les applications des entreprises se retrouvent dans différents clouds, détaille-t-il. Avec le Covid-19, cette transformation numérique s’est accélérée. Pas seulement, comme on l’entend généralement, à cause du télétravail, qui a certes mis une énorme pression aux entreprises pour ouvrir le périmètre réseau, mais aussi parce que les entreprises se sont aperçues que c’était aussi une opportunité d’accélérer des plans de transformation numérique afin d’être davantage prêtes à saisir le rebond économique. » Et avec cet éclatement, les réseaux des entreprises sont plus exposés.

Côté attaques aussi, les choses changent. « On peut maintenant, pour quelques centaines d’euros sur le dark web, s’équiper avec tous les outils nécessaires pour attaquer des entreprises, notamment avec des ransomwares. » Le DNS tunneling n’échappe pas à cette tendance : des tutoriels ou même des boîtes à outils complètes pour déployer cette méthode afin d’infiltrer un réseau sont disponibles sur tous les bons forums de pirates informatiques, rendus publics par des groupes malveillants tel qu’OilRig. Et avec cette démocratisation, les ETI et PME ne sont désormais plus à l’abri des attaques.

 

Sécuriser le DNS, et bien plus encore

C’est la raison pour laquelle Infoblox a dû et a su se réinventer. Quelques temps après sa création en 2000, l’entreprise américaine s’est d’abord imposée comme leader du marché de la gestion du DDI – à savoir le DNS mais aussi le DHCP et l’IPAM, deux autres fonctions qui, combinées, vont créer une empreinte digitale pour identifier exactement où se trouve un utilisateur et les caractéristiques de sa connexion – avec « 53% de parts de marché », indique Philippe Elie. Depuis cinq ans, c’est aussi devenue une entreprise de cybersécurité.

« Tout d’abord, Infoblox maintient à jour des feeds, c’est-à-dire des listes de noms de domaine potentiellement dangereux, commence Philippe Elie. Notre travail est de savoir si ce nom de domaine qui cherche à être contacté par ce trafic est légitime ou non. S’il n’est pas dans cette liste, nous sommes aussi capables d’analyser le comportement du trafic généré avec des mécanismes de machine learning, afin, encore une fois, de savoir si le trafic est légitime ou non. » Voilà pour les fonctions de cybersécurité de base d’Infoblox nouvelle génération. Mais la solution proposée par la société américaine s’est également mutée en une véritable plate-forme d’orchestration, poursuit son directeur Europe méridionale : « Nos interfaces de programmations (API) permettent à notre solution de se connecter et d’interagir avec l’ensemble des autres solutions installées chez le client (pare-feu, outil de gestion d’incident, SIEM…). »

En tant qu’expert du domaine, Infoblox le sait mieux que quiconque : les attaques au DNS ne se limitent plus au seul DNS tunneling mais deviennent de plus en plus complexes, notamment depuis le début de la pandémie. A titre d’exemple, les pirates utilisent de plus en plus de « faux » noms de domaines, générés en masse automatiquement par des algorithmes en quelques secondes et difficiles à détecter par des mesures de filtrage traditionnelles – ce que l’on appelle les newly-observed domains (NOD). Depuis quatre ans déjà, Infoblox a intégré dans BloxOne, la version logicielle de son appliance, vendue sous forme de souscription (Software-as-a-Service, ou SaaS), la solution de Farsight Security, qui « ne nécessite que quelques minutes pour identifier les NOD, là où d’autres solutions sur le marché ont besoin de 34 heures environ, selon nos calculs », se félicite Philippe Elie.

« Historiquement, nos clients privilégiés ont surtout été des grands groupes, dans divers secteurs (finance, industrie manufacturière, services, retail…), admet le directeur. Mais depuis un an et demi, les ETI et grosses PME, de plus en plus attaquées et dont l’infrastructure réseau est de plus en plus dans le cloud, sont aussi très intéressées. Nous avons donc vocation à développer BloxOne pour accompagner les clients qui, par exemple au travers de déploiement de SD-WAN, vont vouloir des plate-formes cloud qu’ils vont mettre à la périphérie de leur réseau. »

 

En partenariat avec

Infoblox Formations - Exclusive Networks - France