Una empresa de logística estadounidense mejora la seguridad y la visibilidad del DNS con BlueCat

Descubre cómo una importante empresa de logística estadounidense mejoró la seguridad, la visibilidad y la mitigación de amenazas del DNS utilizando las soluciones BlueCat Integrity y Edge.

US Logistics Company case study docks image
Key takeawaysThis key takeaway was generated through LLMs crawling the page and coming up with an overview of the content.

Este caso describe cómo una gran empresa de logística centralizó su DNS con Integrity y luego implementó DNSEdge de BlueCat para afrontar problemas de ciberseguridad en una red enorme con ~32 000 instalaciones y más de medio millón de empleados. El reto incluía falta de visibilidad del tráfico interno, fuga de datos por túneles DNS, supervisión limitada de la red de invitados y dificultades en investigaciones forenses y en incorporar datos DNS a Splunk; DNSEdge proporcionó visibilidad este-oeste y norte-sur, registros exhaustivos y políticas de seguridad aplicables a redes internas y de invitados. Los resultados incluyeron monitoreo de ~3,2M consultas internas diarias, ~720 bloqueos por hora contra exfiltración, reducción del tiempo de investigación forense de ocho días a seis horas en promedio y la integración de datos DNS en Splunk para respuesta en tiempo real.

¿Cómo mejoró DNSEdge la visibilidad y el control del tráfico DNS interno en la empresa de logística?

DNSEdge ofreció visibilidad completa del tráfico DNS interno («este-oeste») y externo («norte-sur») mediante el registro exhaustivo de consultas y respuestas DNS a nivel de cliente. Esto permitió a los administradores monitorizar aproximadamente 3,2 millones de consultas internas diarias y aplicar políticas de seguridad que bloquean, supervisan o redirigen consultas maliciosas o anómalas. Como resultado, se identificaron dispositivos infectados (por ejemplo, en casos de criptojacking), se localizó la IP de origen de actividad sospechosa y se ejecutaron mitigaciones automatizadas que interrumpieron la comunicación entre malware y servidores remotos.

¿Qué capacidades aportó DNSEdge para detectar y bloquear la exfiltración de datos mediante túneles DNS?

DNSEdge proporcionó registros orientados al cliente y análisis contextual de consultas y respuestas DNS que permitieron identificar el alcance y la naturaleza de los túneles DNS en la red. Con información sobre la IP de origen, destino y el contenido de las respuestas, los administradores pudieron distinguir entre uso legítimo (por ejemplo, actualizaciones de antivirus) y túneles maliciosos usados para exfiltrar datos. DNSEdge habilitó políticas de seguridad específicas para supervisar, bloquear o redirigir actividad sospechosa, lo que resultó en aproximadamente 720 bloqueos por hora contra firmas de exfiltración y algoritmos generadores de dominios.

¿De qué manera se integró DNSEdge con las operaciones forenses y la plataforma SIEM existente (Splunk)?

BlueCat integró DNSEdge con Splunk, permitiendo que los datos DNS anómalos fuesen enviados al SIEM para su análisis y correlación con otras fuentes de telemetría. Los registros exhaustivos de DNSEdge con consultas y respuestas han transformado investigaciones forenses que antes requerían hasta ocho días en tareas de correlación; ahora el equipo puede localizar y correlacionar datos relevantes en un promedio de seis horas. Además, la integración mantiene la conexión con las capacidades de mitigación en tiempo real en la interfaz de DNSEdge, facilitando la respuesta operativa desde el panel de seguridad.

El cliente

La empresa de logística estadounidense tiene una facturación anual de casi 69 000 millones de dólares. Si fuera una empresa privada, ocuparía el puesto 43 en la lista Fortune 500 de 2015 y el 137 en la lista Global Fortune 500 de 2015. Para dar soporte a su enorme presencia operativa, con cerca de 32 000 instalaciones y más de medio millón de empleados, la empresa de logística cuenta con una de las redes informáticas más grandes del mundo.

La tecnología ocupa un lugar central en la estrategia empresarial de la compañía. Esta utiliza los sistemas de seguimiento e información más avanzados del mundo para agilizar el flujo de correo y paquetes a lo largo de su red, lo que genera, literalmente, miles de millones de puntos de datos (y consultas DNS) cada día. La empresa aprovecha el análisis avanzado de datos para capacitar a sus empleados y clientes, creando nuevos productos y servicios que impulsen el crecimiento.

La empresa de logística lleva mucho tiempo reconociendo el valor del DNS para sus operaciones de red fundamentales. En 2008, la empresa utilizó el producto Integrity de BlueCat para centralizar y automatizar las funciones básicas del DNS. Esto optimizó su arquitectura de DNS, aumentó drásticamente la estabilidad de su red y sentó las bases para iniciativas de mayor nivel, como el aprovisionamiento de autoservicio y la automatización. El paso a una arquitectura DNS centralizada también permitió a la empresa implementar fácilmente los controles relacionados con el DNS exigidos por la norma NIST 800-53, que la empresa utiliza como guía.

El reto

Una vez implantada una arquitectura centralizada, la empresa de logística comenzó a estudiar formas en las que el DNS pudiera resolver una serie de retos de ciberseguridad que venían de lejos.

Visibilidad del tráfico de la red interna

El personal de redes implementó un sofisticado conjunto de filtros y cortafuegos en el perímetro para controlar el tráfico de red saliente. Sin embargo, más allá de ese perímetro, el funcionamiento interno de la red contaba con menos controles, lo que dejaba a la empresa expuesta a amenazas persistentes avanzadas y a las acciones de empleados malintencionados.

Fuga de datos

La empresa no disponía de ningún mecanismo para protegerse de la filtración de datos a través de los túneles DNS, una vía habitual utilizada por el malware.

Visibilidad de la red de invitados

La empresa cuenta con una red independiente y aislada para los contratistas que trabajan in situ, pero no disponía de ningún mecanismo para supervisar o bloquear actividades maliciosas en dicha red.

Investigaciones forenses

El equipo de red solía recibir el encargo de colaborar en investigaciones forenses por parte del personal de ciberseguridad o de la oficina del Inspector General. Revisar minuciosamente los registros de datos y correlacionar la actividad en múltiples dominios suponía una grave merma de la productividad y retrasaba la actuación sobre el importante volumen de casos del Inspector General.

Datos de SIEM

El equipo de ciberseguridad utiliza Splunk como su «panel único» para supervisar y actuar ante posibles vulnerabilidades de seguridad. El personal de ciberseguridad quería añadir los datos de DNS como indicador de amenazas en Splunk.

La solución

BlueCat se dirigió a los responsables de TI con una propuesta para aprovechar su arquitectura DNS gestionada de forma centralizada con el fin de obtener una nueva visibilidad de los patrones de actividad de la red.

BlueCat propuso una implementación piloto de DNSEdge, un sistema de seguridad DNS orientado al cliente. Con DNS Edge en funcionamiento, los administradores de red obtendrían una visibilidad completa tanto del tráfico DNS interno («este-oeste») como del externo («norte-sur»). Gracias a esa sólida fuente de información, DNS Edge permitiría implementar políticas de seguridad que bloquean, supervisan o redirigen las consultas DNS. Los registros exhaustivos de información DNS generados por DNS Edge también facilitarían las investigaciones forenses y la supervisión en tiempo real de las operaciones de la red.

En 2018, BlueCat puso en marcha la primera fase de implementación de DNS Edge en la red de la empresa de logística. BlueCat también implementó DNS Edge con una integración con Splunk, lo que permitió a los usuarios de seguridad recopilar y analizar, por primera vez, datos DNS anómalos en toda la empresa. BlueCat impartió formación a los equipos de red y de seguridad, certificándolos en el funcionamiento de DNS Edge, el uso de políticas de seguridad y las técnicas para supervisar la actividad maliciosa en la red.

El impacto

DNS Edge produjo resultados inmediatos en todas las iniciativas específicas de la empresa de logística.

Before DNS Edge After DNS Edge
No visibility into internal network traffic DNS Edge monitors ~3.2m internal queries per day; security policies automatically block malicious/anomalous behavior
No mechanism to identify or block data exfiltration through DNS DNS Edge blocks tunneling, domain generating algorithms and other data exfiltration signatures; ~720 blocks per hour
Forensic investigation response time averages eight days due to data correlation challenges Searchable log of all DNS data (queries and responses), allows for correlation of relevant data in an average of six hours
No visibility into activity on the guest network; no ability to enact security policies on the guest network DNS Edge monitors and applies security policies to all devices on the guest network
DNS data not available in Splunk Edge providing relevant DNS data for analysis in Splunk with connection back to real-time mitigation in the Edge UI

Conclusiones sobre la seguridad perimetral del DNS

Tras un periodo inicial de recopilación de datos, BlueCat y el equipo de seguridad llevaron a cabo una revisión conjunta de las anomalías y las posibles áreas problemáticas identificadas por DNS Edge. Esta revisión puso de manifiesto una serie de amenazas graves que requerían una mitigación inmediata.

Amenaza n.º 1: Minería de criptomonedas

El análisis de los datos de DNS Edge reveló consultas a sitios conocidos de minería de criptomonedas. Esto indicaba que el malware estaba utilizando los recursos informáticos de la empresa para generar criptomonedas, exportando los resultados a servidores remotos. Las operaciones de minería estaban muy bien coordinadas y eran muy específicas, y se llevaban a cabo principalmente en momentos del día en los que el uso de los recursos informáticos era bajo y era menos probable que la actividad fuera descubierta.

La configuración del cortafuegos existente de la empresa permitía tratar los síntomas del criptojacking, pero no eliminar el problema subyacente. El cortafuegos bloqueaba eficazmente el envío de los resultados de la minería de criptomonedas al servidor remoto basándose en listas negras aplicadas a los datos de la carga útil.

Sin embargo, el cortafuegos no logró bloquear las funciones de comando y control basadas en DNS, y fue incapaz de identificar la dirección IP de origen de los dispositivos infectados. Los clientes seguían infectados y consumían valiosos recursos informáticos, aunque los resultados de ese procesamiento no llegaran a la red de Internet exterior.

Gracias a los registros exhaustivos orientados al cliente generados por DNS Edge, el equipo de ciberseguridad pudo asociar rápidamente la actividad de criptojacking con dispositivos concretos y dirigir sus medidas correctivas en consecuencia. Con las funciones de políticas de seguridad de DNS Edge, la empresa logró interrumpir toda la comunicación entre el software de criptojacking
y los servidores remotos.

Amenaza n.º 2: dispositivos IoT

La empresa de logística utiliza un número considerable de dispositivos y sensores conectados como parte de sus operaciones diarias. Estos pueden incluir desde clasificadoras de correo hasta cámaras de seguridad y teléfonos móviles. Si bien estos dispositivos aumentan la productividad y proporcionan una gran cantidad de datos útiles a la empresa, también representan un riesgo para la ciberseguridad.

Durante la implementación de DNS Edge, la empresa descubrió una actividad potencialmente maliciosa procedente de dispositivos IoT. Varios dispositivos de su red enviaban constantemente señales a servidores externos. Esta actividad podría resultar en última instancia inofensiva (el software podría estar buscando actualizaciones rutinarias) o una investigación adicional podría demostrar la existencia de una relación de comando y control.

El contexto es fundamental para determinar si la actividad de «beaconing» es maliciosa o no. DNS Edge proporcionó al personal de redes y ciberseguridad de la empresa la información que necesitaban para decidir cómo iban a abordar esta actividad:

  • DNS Edge proporcionó la dirección IP de origen, lo que permitió al personal de TI localizar qué dispositivo estaba enviando señales a servidores extranjeros
  • DNS Edge proporcionó el tipo de consulta, indicando qué tipo de información buscaba el dispositivo
  • DNS Edge proporcionó la información de respuesta, que muestra cómo el servidor remoto dirigió el dispositivo IoT

Gracias a estos datos contextuales, la empresa de logística está ahora en condiciones de llevar a cabo rápidamente la investigación necesaria y mitigar cualquier riesgo potencial para la red.

Amenaza n.º 3: Túneles DNS y fuga de datos

El túnel DNS es un método de transferencia de datos que incrusta información relevante en consultas DNS que, por lo demás, son normales. No todos los usos del túnel DNS son maliciosos; de hecho, muchos sistemas de software antivirus utilizan el túnel DNS para realizar actualizaciones. Sin embargo, el túnel DNS suele ser utilizado por el malware para la exfiltración de datos y puede resultar difícil de identificar. Es fundamental obtener visibilidad sobre el alcance del túnel DNS y el contexto que lo rodea.

Gracias a DNS Edge, los administradores de red pudieron identificar por primera vez el alcance de la actividad de túneles DNS en su red. Con una visión global de la IP de origen, el destino y la respuesta de esta actividad, los administradores podrán distinguir los túneles DNS maliciosos del uso legítimo.

A medida que se vaya definiendo con el tiempo el perfil de los túneles DNS «normales», los administradores de red podrán elaborar políticas de seguridad detalladas que supervisen, bloqueen o redirijan la actividad sospechosa relacionada con los túneles DNS. Estas políticas de seguridad cierran una importante brecha de seguridad en la red que permite la filtración de datos.

📣  Now live: Explore BlueCat Horizon, our SaaS-first Intelligent NetOps platform.