Le vol d’informations propriétaires à travers les DNS, qui est de plus en plus fréquent, inquiète les entreprises et les fournisseurs de services :

• Près de la moitié (46%) des grandes entreprises ont déjà fait l’expérience d’une exfiltration de données par DNS et 45% ont fait l’expérience d’un tunnel DNS au cours de l’année précédente, selon une étude datant de décembre 2014.1

• Selon un rapport datant de 2015, le coût total moyen d’une fuite de données pour une entreprise s’élève à 3,8 millions de dollars, en incluant les coûts judiciaires, la résolution du problème et les conséquences de la défection des clients.

• Une fuite de données survenue chez une société d’assurance santé américaine majeure plus tôt dans l’année pourrait en fin de compte lui coûter plus de 100 millions de dollars.3
Infoblox DNS Threat Analytics permet aux entreprises et fournisseurs de services de mieux protéger leur infrastructure DNS et de tirer avantage des DNS comme point de contrôle pour lutter contre la cyber criminalité. Infoblox est la première entreprise à proposer un serveur DNS avec analytique comportementale intégrée pour faire face aux menaces basées sur les DNS.

Les requêtes DNS sont généralement de petits paquets de données émettant une requête simple : traduire un nom de domaine comme www.infoblox.com en une adresse IP (protocole internet) comme 54.235.223.101, que les ordinateurs et postes de travail comprennent. Cependant, les cybercriminels ont appris à exploiter les DNS pour sortir clandestinement les données d’une organisation - notamment les informations hautement sensibles comme les secrets commerciaux ou les numéros de cartes de crédit de clients.

Infoblox DNS Threat Analytics examine en temps réel le trafic DNS sortant à la recherche de caractéristiques associées aux attaques visant à exfiltrer des données. Ces caractéristiques incluent :

• La taille : la requête est plus volumineuse qu’en temps normal, ou contient plus d’informations qu’en temps normal.
• Le cryptage : la requête contient des données cryptées.
• Le délai : la requête est répétée à des intervalles précis, à la différence des requêtes DNS intermittentes initiées par des humains.

Déjà intégrée dans les appliances de sécurité DNS Infoblox, la sécurité traditionnelle, qui est basée sur la réputation et les signatures, permet de bloquer les menaces connues identifiées par les chercheurs spécialisés dans le renseignement sur les menaces. Infoblox DNS Threat Analytics va encore plus loin avec la possibilité de bloquer automatiquement les menaces dites zero-day - les attaques qui n’ont pas encore été découvertes - après analyse des requêtes DNS et détection des comportements suspects. Aucun besoin d’installer des logiciels ou appareils utilisateurs finaux supplémentaires ou de déployer d’autres appareils dans le datacenter. Infoblox DNS Threat Analytics peut s’adapter pour gérer tout le réseau et offrir une visibilité des appareils infectés ou employés malveillants qui tentent de voler des données. Infoblox peut également notifier les autres systèmes de sécurité lorsque des menaces sont détectées, accélérant la résolution du problème.

La capacité d’analyse et détection en temps réel unique d’Infoblox DNS Threat Analytics fonctionne en même temps que les requêtes sont traitées. Ceci est essentiel afin de permettre une identification rapide des indicateurs de compromission (IOC). Les autres approches hors-ligne comme le rassemblement de larges volumes de données journal et l’analyse de ces fichiers après apparition du problème peuvent prendre des semaines, voire des mois - ce qui est inacceptable pour les environnements de sécurité aux enjeux essentiels d’aujourd’hui.

– Prix et disponibilité
Prévu pour une sortie en janvier 2016, Infoblox DNS Threat Analytics est une mise à niveau payante pour les produits Infoblox Internal DNS Security et Infoblox DNS Firewall fonctionnant sous le logiciel NIOS version 7.3 ou plus récente. Les détails concernant la tarification et les gammes d’appliances requis sont disponibles auprès des représentants commerciaux et partenaires de distribution d’Infoblox.