この記事は、DNSクエリを保護するポリシーベースのワークフローとしてのBlueCat Threat Protectionを紹介し、DNSデータを活用して脅威の検出とブロックを行う方法を説明します。現実世界の問題として、モバイル端末やIoTデバイスから発生する悪意あるDNSアクセスを早期に阻止し、ネットワーク内での拡散やフィッシング、DGA、トンネリング攻撃を防ぐ運用面の重要性を示しています。CrowdStrikeなどの脅威フィード統合、DoHブロックによる可視性維持、IPAMとの連携による一元管理などにより、セキュリティ態勢を強化し継続的に更新されるインテリジェンスで防御を実現します。
BlueCat Threat ProtectionはどのようにしてDNSを使った攻撃から企業を守るのですか?
BlueCat Threat Protectionは、DNSクエリの可視化とポリシーベースの自動応答を組み合わせて攻撃を阻止します。CrowdStrikeなどの脅威フィードやカスタムのブロックリストをDNSサーバーに登録することで、悪意のあるドメインが検知され次第リアルタイムでリダイレクト、ブロック、応答拒否、ログ記録といったアクションを実行します。また、既知のパブリックDoHリゾルバーへのルックアップをブロックするDoHブロッキングにより、DNSトラフィックの可視性を維持して隠蔽された通信経路を封じます。IPAMとの統合により、脅威対応を一元管理して感染システムの特定や対応を容易にします。
どのような脅威インテリジェンスと機能がThreat Protectionに含まれますか?
Threat Protectionは、CrowdStrikeが提供する業界で活発に更新される脅威フィードをはじめとする複数のサードパーティ脅威フィードを統合できます。これにより100以上のマルウェアファミリーや30以上の脅威タイプに関連する数百万のドメインに関するリアルタイムのインテリジェンスを活用可能です。機能面では、脅威分類(深刻度・頻度・信頼度による優先順位付け)、カスタマイズ可能なアクション(リダイレクトやブロックリスト登録など)、レポート集約、ロギングと可視化、地域別リストの管理、レスポンスポリシーゾーンなどが提供され、継続的な更新と専門家による検証によって精度が維持されます。
既存のセキュリティ投資や運用とどのように連携できますか?
Threat Protectionは既存のセキュリティ投資と連携して多層防御を強化する設計です。BlueCatのIPAM、DNS、DHCPソリューションと統合することでBlueCat Address Managerを介して脅威対策を一元管理・調整できます。さらに、市場をリードするSIEMとの統合によりDNSログや脅威データを他のデータソースと関連付けて詳細な調査や相関分析が可能になります。組織はカスタムの地域別リストやレスポンスポリシーゾーンを用いることで運用要件に合わせた柔軟なポリシー適用と監査可能なログ記録を実現できます。
ソリューション:BlueCat Threat Protection
スマートフォン、POS(販売時点情報管理)システム、デスクトップPC、セキュリティカメラはすべて、ネットワークや外部サイトへの接続にDNSを利用しています。デバイスが固定された場所に設置されている場合でも、モバイル端末として企業の境界の外にある場合でも、BlueCat Threat Protectionは、デバイスが悪意のあるコンテンツにアクセスしたり、脅威がネットワーク内にさらに拡散したりするのを防ぎます。
相互に補完し合う複数のセキュリティ対策を連携して活用することは、企業の多層防御戦略において極めて重要です。Threat Protectionは、有線および無線ネットワーク、仮想環境、モバイルエンドポイントにまたがる重要なコンテキストネットワークデータを提供し、業界標準のセキュリティ層を強化します。
業界で最も活発に更新される脅威インテリジェンスのリポジトリであるCrowdStrikeの脅威フィードを活用して、攻撃から防御しましょう。DNSサーバーをセキュリティフィードに登録すると、DNSを通じて自動的に配信され、脅威が発生した時点で即座にブロックできるよう継続的に更新されます。
悪意のある活動から保護するためには、ネットワークおよびサイバーセキュリティチームは、DNSトラフィックに対する可視性を維持する必要があります。Threat Protectionは、既知のパブリックDoHリゾルバーへのルックアップを防止することで、DNSクエリに対する可視性を維持するためのDoHブロッキング機能を提供します。
図1. DNSを利用したフィッシング、DGA、およびトンネリング攻撃をブロックして企業を保護する
機能
カスタマイズ可能なアクション
各セキュリティフィードには、リダイレクト、ブロックリスト登録、応答拒否、ログ記録など、独自のアクションを設定できるため、管理者はニーズに合わせて対応をカスタマイズできます。
レポート
クエリおよびレスポンスデータの集約により、脅威のカテゴリ、脅威の発生源、および標的に関するレスポンスポリシーのアクティビティを包括的に把握できます。
IPAMとの統合
BlueCatのIPAM、DNS、DHCPソリューションとの統合により、BlueCat Address Managerを通じて脅威対策を一元的に管理・調整することが可能になります。
レスポンスポリシーゾーン
組織に対し、インターセプトして適切に処理できるホストおよびゾーンのセットを維持する選択肢を提供します。
ロギングと可視化
一致した結果をログに記録することで、既知の悪意のあるコンテンツへのアクセスを試みたデバイスを特定し、感染したシステムを識別することができます。
地域別リスト
組織は、独自のローカルリストを拡張・維持することで、追加のサイトをブロックリストに登録したり、許可リストに追加したりすることができます。
対応している脅威フィード
脅威対策機能により、BlueCat DOHブロックリスト、CrowdStrike、その他のサードパーティ製脅威フィードを含むセキュリティインテリジェンスをシームレスに統合できます。
DOHブロック
既知のパブリック DOH リゾルバーへのルックアップをブロックすることで、DNS クエリの可視性を維持します。