US-Logistikunternehmen verbessert DNS-Sicherheit und Transparenz mit BlueCat

Erfahren Sie, wie ein großes US-amerikanisches Logistikunternehmen mithilfe der BlueCat Integrity- und Edge-Lösungen die DNS-Sicherheit, Transparenz und Bedrohungsabwehr verbessert hat.

US Logistics Company case study docks image
Key takeawaysThis key takeaway was generated through LLMs crawling the page and coming up with an overview of the content.

Der Artikel beschreibt, wie ein großes US-Logistikunternehmen mit fast 32.000 Standorten seine zentralisierte DNS-Architektur mit BlueCat DNS Edge erweiterte, um Cybersicherheitslücken zu schließen und Betriebstransparenz zu schaffen. DNS Edge liefert umfassende clientseitige DNS-Protokolle, ermöglicht Echtzeit-Sicherheitsrichtlinien, integriert DNS-Daten in Splunk und reduziert forensische Untersuchungszeiten deutlich, was die Erkennung von Bedrohungen wie Cryptojacking, bösartigen IoT-Aktivitäten und DNS-Tunneling zur Datenexfiltration verbessert. Die Implementierung führte zu konkreten Ergebnissen: Millionen interner Abfragen pro Tag werden überwacht, hunderte Blockierungen pro Stunde erfolgen automatisiert und die Reaktionszeit auf forensische Fälle wurde von durchschnittlich acht Tagen auf etwa sechs Stunden reduziert.

Warum war die zentralisierte DNS-Architektur für die Sicherheitsstrategie des Logistikunternehmens wichtig?

Die Zentralisierung der DNS-Funktionen mit BlueCat Integrity schuf die Grundlage, DNS als konsistente Kontroll- und Überwachungsstelle im gesamten Netzwerk zu nutzen. Sie erhöhte die Netzwerkstabilität und erlaubte die Durchsetzung einheitlicher Sicherheitsrichtlinien entsprechend NIST 800-53. Auf dieser Basis konnte DNS Edge clientseitige Transparenz und Protokollierung liefern, wodurch interne („Ost-West“) wie externe („Nord-Süd“) DNS-Aktivitäten sichtbar wurden und automatisierte Maßnahmen gegen bösartige Aktivitäten möglich wurden.

Welche konkreten Bedrohungen identifizierte DNS Edge und wie konnten sie adressiert werden?

DNS Edge deckte drei Hauptbedrohungen auf: Cryptojacking, bösartige oder verdächtige IoT-Kommunikation und DNS-Tunneling zur Datenexfiltration. Beim Cryptojacking ermöglichte DNS Edge die Zuordnung von Anfragen zu infizierten Geräten und blockierte die Kommunikation mit Remote-Servern. Bei IoT-Geräten lieferte DNS Edge Quell-IP, Abfragetyp und Antwortkontext, sodass IT-Personal Beaconing untersuchen und Maßnahmen ergreifen konnte. Beim DNS-Tunneling ermöglichte die Sichtbarkeit von Quelle, Ziel und Antworten die Unterscheidung von legitimer und bösartiger Nutzung sowie das Erstellen detaillierter Richtlinien zur Überwachung, Blockierung oder Umleitung.

Wie verbesserte DNS Edge forensische Untersuchungen und SIEM-Analysen im Unternehmen?

DNS Edge erzeugt durchsuchbare Protokolle aller DNS-Abfragen und -Antworten, was die Korrelation von Aktivitäten über Domänen und Geräte hinweg erleichtert. Dadurch sank die durchschnittliche Reaktionszeit bei forensischen Ermittlungen von etwa acht Tagen auf rund sechs Stunden. Zusätzlich integrierte DNS Edge relevante DNS-Daten in Splunk, sodass Sicherheitsanalysten Anomalien unternehmensweit erkennen und in Splunk analysieren konnten, mit direkter Rückkopplung zur Echtzeit-Minderung über die Edge-Benutzeroberfläche.

Der Kunde

Das US-amerikanische Logistikunternehmen erzielt einen Jahresumsatz von fast 69 Milliarden US-Dollar. Wäre es ein Privatunternehmen, würde es auf Platz 43 der „Fortune 500“-Liste 2015 und auf Platz 137 der „Global Fortune 500“-Liste 2015 rangieren. Um seine riesige operative Präsenz mit fast 32.000 Standorten und über einer halben Million Mitarbeitern zu unterstützen, verfügt das Logistikunternehmen über eines der weltweit größten Computernetzwerke.

Technologie steht im Mittelpunkt der Geschäftsstrategie des Unternehmens. Es nutzt die weltweit fortschrittlichsten Tracking- und Informationssysteme, um den Fluss von Postsendungen und Paketen in seinem gesamten Netzwerk zu beschleunigen, wodurch täglich buchstäblich Milliarden von Datenpunkten (und DNS-Abfragen) entstehen. Das Unternehmen setzt fortschrittliche Datenanalysen ein, um Mitarbeiter und Kunden zu unterstützen und neue Produkte und Dienstleistungen zu entwickeln, die das Wachstum vorantreiben.

Das Logistikunternehmen hat den Wert von DNS für seinen zentralen Netzwerkbetrieb schon seit Langem erkannt. Im Jahr 2008 setzte das Unternehmen das Produkt „Integrity“ von BlueCat ein, um zentrale DNS-Funktionen zu zentralisieren und zu automatisieren. Dies optimierte die DNS-Architektur, erhöhte die Stabilität des Netzwerks erheblich und schuf die Grundlage für weitergehende Initiativen wie Self-Service-Bereitstellung und Automatisierung. Durch die Umstellung auf eine zentralisierte DNS-Architektur konnte das Unternehmen zudem problemlos die DNS-bezogenen Kontrollmaßnahmen umsetzen, die gemäß NIST 800-53 erforderlich sind – einer Richtlinie, an der sich das Unternehmen orientiert.

Die Herausforderung

Mit einer zentralisierten Architektur begann das Logistikunternehmen, nach Möglichkeiten zu suchen, wie DNS eine Reihe seit langem bestehender Herausforderungen im Bereich der Cybersicherheit lösen könnte.

Einblick in den internen Netzwerkverkehr

Die Netzwerkmitarbeiter setzten eine Reihe ausgefeilter Filter und Firewalls an den Netzwerkgrenzen ein, um den ausgehenden Netzwerkverkehr zu kontrollieren. Doch hinter dieser Grenze gab es im internen Netzwerkbetrieb weniger Kontrollen, wodurch das Unternehmen fortgeschrittenen, hartnäckigen Bedrohungen und den Machenschaften böswilliger Insider schutzlos ausgeliefert war.

Datenexfiltration

Das Unternehmen verfügte über keinen Mechanismus, um sich vor Datenexfiltration durch DNS-Tunneling zu schützen – einem häufig von Malware genutzten Einfallstor.

Transparenz im Gastnetzwerk

Das Unternehmen betreibt ein separates, abgeschottetes Netzwerk für externe Auftragnehmer vor Ort, verfügte jedoch über keinen Mechanismus zur Überwachung oder Blockierung böswilliger Aktivitäten in diesem Netzwerk.

Forensische Untersuchungen

Das Netzwerkteam wurde häufig damit beauftragt, das Cybersicherheitsteam oder das Büro des Generalinspektors bei forensischen Untersuchungen zu unterstützen. Das Durchforsten von Datenprotokollen und das Abgleichen von Aktivitäten über mehrere Domänen hinweg beeinträchtigte die Produktivität erheblich und verzögerte die Bearbeitung der umfangreichen Falllast des Generalinspektors.

SIEM-Daten

Das Cybersicherheitsteam nutzt Splunk als zentrale Übersicht, um potenzielle Sicherheitslücken zu überwachen und darauf zu reagieren. Die Mitarbeiter der Cybersicherheit wollten DNS-Daten als Bedrohungsindikator in Splunk hinzufügen.

Die Lösung

BlueCat wandte sich an IT-Manager mit dem Vorschlag, seine zentral verwaltete DNS-Architektur zu nutzen, um neue Einblicke in Muster der Netzwerkaktivität zu gewinnen.

BlueCat schlug eine Pilotimplementierung von DNSEdge vor, einem clientseitigen DNS-Sicherheitssystem. Mit DNS Edge würden Netzwerkadministratoren vollständige Transparenz sowohl über den internen („Ost-West“-) als auch über den externen („Nord-Süd“-) DNS-Datenverkehr erhalten. Mithilfe dieser aussagekräftigen Informationen würde DNS Edge die Möglichkeit bieten, Sicherheitsrichtlinien zu implementieren, die DNS-Abfragen blockieren, überwachen oder umleiten. Die von DNS Edge erstellten umfassenden Protokolle mit DNS-Informationen würden zudem forensische Untersuchungen und die Echtzeitüberwachung des Netzwerkbetriebs vereinfachen.

Im Jahr 2018 nahm BlueCat die erste Implementierungsphase von DNS Edge im Netzwerk des Logistikunternehmens in Betrieb. BlueCat implementierte DNS Edge zudem mit einer Splunk-Integration, wodurch Sicherheitsverantwortliche erstmals unternehmensweit anomale DNS-Daten erfassen und analysieren konnten. BlueCat führte Schulungen für die Netzwerk- und Sicherheitsteams durch und zertifizierte diese im Betrieb von DNS Edge, in der Anwendung von Sicherheitsrichtlinien sowie in Techniken zur Überwachung böswilliger Netzwerkaktivitäten.

Die Auswirkungen

DNS Edge führte bei allen gezielten Initiativen des Logistikunternehmens zu sofortigen Ergebnissen.

Before DNS Edge After DNS Edge
No visibility into internal network traffic DNS Edge monitors ~3.2m internal queries per day; security policies automatically block malicious/anomalous behavior
No mechanism to identify or block data exfiltration through DNS DNS Edge blocks tunneling, domain generating algorithms and other data exfiltration signatures; ~720 blocks per hour
Forensic investigation response time averages eight days due to data correlation challenges Searchable log of all DNS data (queries and responses), allows for correlation of relevant data in an average of six hours
No visibility into activity on the guest network; no ability to enact security policies on the guest network DNS Edge monitors and applies security policies to all devices on the guest network
DNS data not available in Splunk Edge providing relevant DNS data for analysis in Splunk with connection back to real-time mitigation in the Edge UI

Ergebnisse zur DNS-Edge-Sicherheit

Nach einer ersten Datenerfassungsphase führten BlueCat und das Sicherheitsteam eine gemeinsame Überprüfung der von DNS Edge identifizierten Anomalien und potenziellen Problembereiche durch. Diese Überprüfung deckte eine Reihe schwerwiegender Bedrohungen auf, die sofortige Abhilfemaßnahmen erforderten.

Bedrohung Nr. 1: Kryptowährungs-Mining

Die Auswertung der DNS-Edge-Daten ergab Abfragen an bekannte Websites für das Schürfen von Kryptowährungen. Dies war ein Hinweis darauf, dass Malware die Rechenressourcen des Unternehmens nutzte, um Kryptowährungen zu generieren, und die Ergebnisse an entfernte Server exportierte. Die Mining-Aktivitäten waren hochgradig koordiniert und zielgerichtet und fanden größtenteils zu Tageszeiten statt, zu denen die Auslastung der Rechenressourcen gering war und die Aktivitäten weniger leicht entdeckt werden konnten.

Die bestehenden Firewall-Einstellungen des Unternehmens konnten zwar die Symptome des Cryptojacking bekämpfen, das zugrunde liegende Problem jedoch nicht beseitigen. Die Firewall blockierte effektiv die Übertragung der durch das Cryptomining gewonnenen Daten an den Remote-Server, indem sie Blacklists auf die Nutzdaten anwandte.

Dennoch gelang es der Firewall nicht, DNS-basierte Befehls- und Kontrollfunktionen zu blockieren, und sie war nicht in der Lage, die Quell-IP-Adresse infizierter Geräte zu identifizieren. Die Clients waren weiterhin infiziert und beanspruchten wertvolle Rechenressourcen, auch wenn die Ergebnisse dieser Rechenvorgänge nicht ins öffentliche Internet gelangten.

Mithilfe der umfassenden, clientseitigen Protokolle, die von DNS Edge erstellt wurden, konnte das Cybersicherheitsteam Cryptojacking-Aktivitäten schnell einzelnen Geräten zuordnen und seine Abhilfemaßnahmen entsprechend ausrichten. Mit den Sicherheitsrichtlinienfunktionen von DNS Edge gelang es dem Unternehmen, die gesamte Kommunikation zwischen der Cryptojacking-Software
und den Remote-Servern unterbinden.

Bedrohung Nr. 2: IoT-Geräte

Das Logistikunternehmen setzt im Rahmen seines täglichen Betriebs eine beträchtliche Anzahl vernetzter Geräte und Sensoren ein. Dazu kann alles gehören, von Postsortierern über Sicherheitskameras bis hin zu Mobiltelefonen. Diese Geräte steigern zwar die Produktivität und liefern dem Unternehmen eine Fülle nützlicher Daten, stellen jedoch gleichzeitig ein Cybersicherheitsrisiko dar.

Während der Bereitstellung von DNS Edge entdeckte das Unternehmen potenziell böswillige Aktivitäten, die von IoT-Geräten ausgingen. Mehrere Geräte in ihrem Netzwerk sendeten ständig Signale an fremde Server. Diese Aktivität könnte sich letztendlich als harmlos erweisen (die Software könnte nach routinemäßigen Updates suchen), oder weitere Untersuchungen könnten eine Command-and-Control-Beziehung aufdecken.

Der Kontext ist entscheidend, um festzustellen, ob Beaconing-Aktivitäten böswillig sind oder nicht. DNS Edge stellte den Netzwerk- und Cybersicherheitsmitarbeitern des Unternehmens die Informationen zur Verfügung, die sie benötigten, um zu entscheiden, wie sie mit diesen Aktivitäten umgehen sollten:

  • DNS Edge lieferte die Quell-IP-Adresse, sodass das IT-Personal feststellen konnte, welches Gerät Signale an ausländische Server sendete
  • DNS Edge lieferte den Abfragetyp und gab damit an, nach welcher Art von Informationen das Gerät suchte
  • DNS Edge lieferte die Antwortinformationen, aus denen hervorgeht, wie der Remote-Server das IoT-Gerät weitergeleitet hat

Mithilfe dieser Kontextdaten ist das Logistikunternehmen nun in der Lage, die erforderlichen Untersuchungen zügig durchzuführen und potenzielle Risiken für das Netzwerk zu mindern.

Bedrohung Nr. 3: DNS-Tunneling und Datenexfiltration

DNS-Tunneling ist eine Methode der Datenübertragung, bei der wesentliche Informationen in ansonsten normale DNS-Abfragen eingebettet werden. Nicht jede Nutzung von DNS-Tunneling ist böswillig – tatsächlich nutzen viele Antiviren-Softwaresysteme DNS-Tunneling für Updates. Dennoch wird DNS-Tunneling häufig von Malware zur Datenexfiltration genutzt und ist oft schwer zu erkennen. Es ist daher entscheidend, Einblick in das Ausmaß des DNS-Tunnelings und den damit verbundenen Kontext zu gewinnen.

Mithilfe von DNS Edge konnten Netzwerkadministratoren erstmals das Ausmaß der DNS-Tunneling-Aktivitäten in ihrem Netzwerk ermitteln. Dank eines umfassenden Überblicks über die Quell-IP, das Ziel und die Antwort dieser Aktivitäten sind Administratoren in der Lage, böswilliges DNS-Tunneling von legitimer Nutzung zu unterscheiden.

Da sich im Laufe der Zeit ein Bild des „normalen“ DNS-Tunnelings herauskristallisiert, können Netzwerkadministratoren detaillierte Sicherheitsrichtlinien erstellen, die verdächtige DNS-Tunneling-Aktivitäten überwachen, blockieren oder umleiten. Diese Sicherheitsrichtlinien schließen eine erhebliche Sicherheitslücke im Netzwerk, die Datenabfluss ermöglicht.

📣  Now live: Explore BlueCat Horizon, our SaaS-first Intelligent NetOps platform.