脅威対策:DNSクエリを保護するためのポリシーベースのワークフロー

DNSレイヤーで攻撃をブロックし、脅威がビジネスに到達する前に阻止します

BlueCat Threat Protection datasheet header describing policy-based DNS security workflow and solution overview
主なポイントこの重要なポイントは、LLMがページをクロールし、その内容の概要をまとめたことで導き出されました。

この記事は、DNSクエリを保護するポリシーベースのワークフローとしてのBlueCat Threat Protectionを紹介し、DNSデータを活用して脅威の検出とブロックを行う方法を説明します。現実世界の問題として、モバイル端末やIoTデバイスから発生する悪意あるDNSアクセスを早期に阻止し、ネットワーク内での拡散やフィッシング、DGA、トンネリング攻撃を防ぐ運用面の重要性を示しています。CrowdStrikeなどの脅威フィード統合、DoHブロックによる可視性維持、IPAMとの連携による一元管理などにより、セキュリティ態勢を強化し継続的に更新されるインテリジェンスで防御を実現します。

BlueCat Threat ProtectionはどのようにしてDNSを使った攻撃から企業を守るのですか?

BlueCat Threat Protectionは、DNSクエリの可視化とポリシーベースの自動応答を組み合わせて攻撃を阻止します。CrowdStrikeなどの脅威フィードやカスタムのブロックリストをDNSサーバーに登録することで、悪意のあるドメインが検知され次第リアルタイムでリダイレクト、ブロック、応答拒否、ログ記録といったアクションを実行します。また、既知のパブリックDoHリゾルバーへのルックアップをブロックするDoHブロッキングにより、DNSトラフィックの可視性を維持して隠蔽された通信経路を封じます。IPAMとの統合により、脅威対応を一元管理して感染システムの特定や対応を容易にします。

どのような脅威インテリジェンスと機能がThreat Protectionに含まれますか?

Threat Protectionは、CrowdStrikeが提供する業界で活発に更新される脅威フィードをはじめとする複数のサードパーティ脅威フィードを統合できます。これにより100以上のマルウェアファミリーや30以上の脅威タイプに関連する数百万のドメインに関するリアルタイムのインテリジェンスを活用可能です。機能面では、脅威分類(深刻度・頻度・信頼度による優先順位付け)、カスタマイズ可能なアクション(リダイレクトやブロックリスト登録など)、レポート集約、ロギングと可視化、地域別リストの管理、レスポンスポリシーゾーンなどが提供され、継続的な更新と専門家による検証によって精度が維持されます。

既存のセキュリティ投資や運用とどのように連携できますか?

Threat Protectionは既存のセキュリティ投資と連携して多層防御を強化する設計です。BlueCatのIPAM、DNS、DHCPソリューションと統合することでBlueCat Address Managerを介して脅威対策を一元管理・調整できます。さらに、市場をリードするSIEMとの統合によりDNSログや脅威データを他のデータソースと関連付けて詳細な調査や相関分析が可能になります。組織はカスタムの地域別リストやレスポンスポリシーゾーンを用いることで運用要件に合わせた柔軟なポリシー適用と監査可能なログ記録を実現できます。

DNSを活用してビジネスを保護する

DNSデータは、ネットワーク内でのトラフィックの流れや、DNSクライアントが内部および外部のリソースをどのように利用しているかに関する、実用的な情報を提供します。セキュリティチームはこのデータを活用して脅威のハンティングや調査を行い、豊富なDNSクエリデータによって既存のセキュリティデータを補完することができます。 さらに、脅威フィード、セキュリティ定義のブロックリスト、または柔軟なポリシーシステムに基づいて悪意のあるDNSクエリを特定・ブロックすることで、追加の防御層を構築し、セキュリティ態勢を強化できます。

ソリューション:BlueCat Threat Protection

スマートフォン、POS(販売時点情報管理)システム、デスクトップPC、セキュリティカメラはすべて、ネットワークや外部サイトへの接続にDNSを利用しています。デバイスが固定された場所に設置されている場合でも、モバイル端末として企業の境界の外にある場合でも、BlueCat Threat Protectionは、デバイスが悪意のあるコンテンツにアクセスしたり、脅威がネットワーク内にさらに拡散したりするのを防ぎます。

相互に補完し合う複数のセキュリティ対策を連携して活用することは、企業の多層防御戦略において極めて重要です。Threat Protectionは、有線および無線ネットワーク、仮想環境、モバイルエンドポイントにまたがる重要なコンテキストネットワークデータを提供し、業界標準のセキュリティ層を強化します。

業界で最も活発に更新される脅威インテリジェンスのリポジトリであるCrowdStrikeの脅威フィードを活用して、攻撃から防御しましょう。DNSサーバーをセキュリティフィードに登録すると、DNSを通じて自動的に配信され、脅威が発生した時点で即座にブロックできるよう継続的に更新されます。

悪意のある活動から保護するためには、ネットワークおよびサイバーセキュリティチームは、DNSトラフィックに対する可視性を維持する必要があります。Threat Protectionは、既知のパブリックDoHリゾルバーへのルックアップを防止することで、DNSクエリに対する可視性を維持するためのDoHブロッキング機能を提供します。

Flow of DNS request through BlueCat threat protection, network policy enforcement, and safe site redirection

図1. DNSを利用したフィッシング、DGA、およびトンネリング攻撃をブロックして企業を保護する

メリット

包括的な脅威対策

100以上の固有のマルウェアファミリーおよび30以上の固有の脅威タイプに関連する数百万のドメインに関するリアルタイムの脅威インテリジェンスを活用し、攻撃から防御します。

脅威分類機能の強化

深刻度、頻度、信頼度に基づいて脅威活動を優先順位付けします。

継続的な更新と専門知識

脅威アナリストやセキュリティ研究者からなる精鋭チームによって検証された、1日300億件以上のイベントから得られるインサイトを活用し、DNSデータを充実させましょう。

セキュリティの死角を排除

既存のセキュリティ投資や市場をリードするSIEMと統合することで、詳細な情報を他のデータソースと関連付けることができます。

機能

カスタマイズ可能なアクション

各セキュリティフィードには、リダイレクト、ブロックリスト登録、応答拒否、ログ記録など、独自のアクションを設定できるため、管理者はニーズに合わせて対応をカスタマイズできます。

レポート

クエリおよびレスポンスデータの集約により、脅威のカテゴリ、脅威の発生源、および標的に関するレスポンスポリシーのアクティビティを包括的に把握できます。

IPAMとの統合

BlueCatのIPAM、DNS、DHCPソリューションとの統合により、BlueCat Address Managerを通じて脅威対策を一元的に管理・調整することが可能になります。

レスポンスポリシーゾーン

組織に対し、インターセプトして適切に処理できるホストおよびゾーンのセットを維持する選択肢を提供します。

icon used for an eye

ロギングと可視化

一致した結果をログに記録することで、既知の悪意のあるコンテンツへのアクセスを試みたデバイスを特定し、感染したシステムを識別することができます。

地域別リスト

組織は、独自のローカルリストを拡張・維持することで、追加のサイトをブロックリストに登録したり、許可リストに追加したりすることができます。

対応している脅威フィード

脅威対策機能により、BlueCat DOHブロックリスト、CrowdStrike、その他のサードパーティ製脅威フィードを含むセキュリティインテリジェンスをシームレスに統合できます。

DOHブロック

既知のパブリック DOH リゾルバーへのルックアップをブロックすることで、DNS クエリの可視性を維持します。

次のステップ

BlueCatの担当者にお問い合わせいただき、将来を見据えたネットワーク構築を実現しましょう

BlueCatのインテリジェント・ネットワーク・オペレーション(NetOps)

BlueCatのインテリジェントNetOpsソリューションは、ビジネス目標の達成に向けてネットワークを有効化し、最適化し、保護するために必要な分析機能とインテリジェンスを提供します。インテリジェントNetOpsスイートを活用することで、組織はビジネス要件に応じて、より容易にネットワークの変更や近代化を行うことができます。

Isometric blue UI tiles showing gear, shield, chip, and magnifying glass icons on a grid background

📣  Now live: Explore BlueCat Horizon, our SaaS-first Intelligent NetOps platform.