Сегодня мы рады сообщить, что Cloudflare и Accenture Federal Services (AFS) были выбраны Министерством внутренней безопасности (DHS) для разработки совместного решения, которое поможет федеральному правительству защитить себя от кибератак. Решение состоит из защитного преобразователя DNS Cloudflare, который будет фильтровать запросы DNS из офисов и других мест федерального правительства и передавать события непосредственно на аналитическую платформу Accenture.
Агентство по кибербезопасности и безопасности инфраструктуры (CISA), расположенное в DHS, действует как «национальный советник по рискам».1 CISA работает с партнерами в государственном и частном секторе над повышением безопасности и надежности критически важной инфраструктуры; миссия, которая охватывает федеральное правительство, государственные, местные, племенные и территориальные партнерства, а также частный сектор, чтобы найти решения для возникающих и постоянно меняющихся угроз.
За последние несколько лет CISA неоднократно отмечала киберриск, связанный с злонамеренными именами хостов, фишинговыми сообщениями электронной почты с вредоносными ссылками и ненадежными преобразователями системы доменных имен (DNS).2 Злоумышленники могут взломать устройства или учетные записи и, в конечном итоге, данные, обманом заставив пользователя или систему отправить DNS-запрос для определенного имени хоста. После выполнения этого запроса эти устройства устанавливают соединения, которые могут привести к загрузке вредоносных программ, фишинговым веб-сайтам или кражи данных.
В мае 2021 года CISA и Агентство национальной безопасности (NSA) предложили командам развернуть защитные преобразователи DNS, чтобы эти атаки не превратились в инциденты. В отличие от стандартных преобразователей DNS, защитные преобразователи DNS проверяют разрешаемое имя хоста, чтобы определить, является ли пункт назначения вредоносным. В этом случае или даже если место назначения просто подозрительно, преобразователь может перестать отвечать на запрос DNS и заблокировать соединение.
Ранее в этом году CISA объявила, что не только рекомендует защитный преобразователь DNS, но и запустила программу, чтобы предложить решение своим партнерам. После тщательного рассмотрения CISA объявила, что они выбрали Cloudflare и AFS для предоставления совместного решения, которое может использоваться департаментами и агентствами любого размера в рамках федеральной гражданской исполнительной власти.
Помогая правительствам оставаться в безопасности
Атаки на критически важную инфраструктуру в США продолжают расти. Cloudflare Radar, где мы публикуем аналитические данные из нашей глобальной сети, неизменно рассматривает США как одну из наиболее целевых стран для DDoS-атак. Атаки, такие как фишинговые кампании, приводят к компрометации учетных данных в чувствительных системах. Программа-вымогатель обходит традиционные периметры сети и отключает целевые системы.
Изощренность этих атак также продолжает расти. Компрометация SolarWinds Orion в прошлом году представляет собой новый тип атаки на цепочку поставок, когда надежное программное обеспечение становится лазейкой для утечки данных. Анализ Cloudflare инцидента SolarWinds выявил паттерны компрометации, которые были активны в течение восьми месяцев, в течение которых используемые пункты назначения выросли до почти 5000 уникальных поддоменов.
Увеличение объема и сложности привело к спросу на информацию и инструменты для защиты от этих типов угроз на всех уровнях правительства США. В прошлом году CISA проконсультировала более 6000 государственных и местных чиновников, а также федеральных партнеров по механизмам защиты их критически важной инфраструктуры.
В Cloudflare мы наблюдали похожую картину. В 2017 году Cloudflare запустила Афинский проект, чтобы обеспечить органы власти штата, округа или муниципалитета безопасность для веб-сайтов, которые проводят выборы или сообщают о результатах. В 2020 году 229 государственных и местных органов власти в 28 штатах доверяли Cloudflare в защите своих избирательных сайтов. Количество веб-сайтов государственных и местных органов власти, обслуживаемых Афинским проектом Cloudflare, в прошлом году увеличилось на 48%.
По мере того, как эти атаки продолжают развиваться, у многих есть одна общая черта — использование DNS-запроса к злонамеренному имени хоста. От SolarWinds до целевой атаки на Агентство международного развития США в прошлом месяце, злоумышленники продолжают полагаться на одну из самых основных технологий, используемых при подключении к Интернету.
Доставка защитного DNS-резолвера
Действия пользователей в Интернете обычно начинаются с запроса DNS к преобразователю DNS. Когда пользователи посещают веб-сайт в своем браузере, открывают ссылку в электронном письме или используют мобильное приложение, их устройство сначала отправляет DNS-запрос для преобразования доменного имени веб-сайта или сервера в IP-адрес хоста. обслуживает этот сайт. Как только их устройство получит IP-адрес, они смогут установить соединение.

Атаки в Интернете также могут начинаться таким же образом. Устройства, которые загружают вредоносное ПО, начинают делать DNS-запросы для установления соединений и утечки информации. Пользователи, которые посещают сайт-самозванец, вводят свои учетные данные и становятся участниками фишинг-атаки.
Эти атаки успешны, потому что преобразователи DNS по умолчанию доверяют всем адресатам. Если пользователь отправляет DNS-запрос для любого имени хоста, преобразователь возвращает IP-адрес, не определяя, является ли этот пункт назначения подозрительным.
Некоторые имена хостов известны исследователям безопасности, в том числе имена хостов, использованные в предыдущих атаках, или те, в которых используются опечатки в популярных именах хостов. Другие атаки начинаются с неизвестных или новых угроз. Для их обнаружения требуется мониторинг поведения DNS-запросов, обнаружение шаблонов для новых имен хостов или полная блокировка недавно обнаруженных и зарегистрированных доменов.
Защитные преобразователи DNS применяют модель нулевого доверия к запросам DNS. Вместо того, чтобы доверять любому адресату, защитные преобразователи проверяют имя хоста каждого запроса и IP-адрес каждого ответа по списку известных вредоносных адресатов. Если имя хоста или IP-адрес находятся в этом списке, преобразователь не вернет результат пользователю, и соединение не будет установлено.
Создание решения с помощью Accenture Federal Services
Решение Cloudflare Gateway, поставляемое в CISA, основано на сети Cloudflare и обеспечивает защитный преобразователь DNS, не снижающий производительность. Он начинается с отправки всех DNS-запросов от зарегистрированных устройств и офисов в сеть Cloudflare. Хотя большая часть Интернета по протоколу HTTP продолжает шифроваться, протокол по умолчанию для отправки DNS-запросов на большинстве устройств по-прежнему не зашифрован. Защитный DNS-преобразователь Cloudflare Gateway поддерживает зашифрованные параметры, такие как DNS через HTTPS (DoH) и DNS через TLS (DoT).
Далее, блокировка DNS-запросов к вредоносным именам хостов начинается с определения потенциально вредоносных имен хостов. Сеть Cloudflare предоставляет нашему защитному DNS-преобразователю уникальную видимость угроз в Интернете. Ежедневно сеть Cloudflare обрабатывает более 800 миллиардов DNS-запросов. Наша инфраструктура отвечает на 25 миллионов HTTP-запросов в секунду. Мы развертываем эту сеть в более чем 200 городах в более чем 100 странах по всему миру, что дает нашей команде возможность видеть схемы атак по всему миру.
Мы преобразуем эти данные в идеи, которые используются в наших продуктах безопасности. Например, мы анализируем миллиарды обрабатываемых нами DNS-запросов, чтобы обнаружить аномальное поведение, которое может указывать на то, что имя хоста используется для утечки данных посредством атаки с туннелированием DNS. Для решения CISA наборы данных Cloudflare дополнительно обогащаются за счет применения дополнительных исследований в области кибербезопасности вместе с каналом Accenture Cyber Threat Intelligence (ACTI) для предоставления сигналов для обнаружения новых и меняющихся угроз в Интернете. Этот набор данных дополнительно анализируется специалистами по данным с использованием передовых инструментов бизнес-аналитики, основанных на искусственном интеллекте и машинном обучении.
Работа над будущим FedRAMP
Наша команда в государственном секторе сосредоточена на партнерстве с федеральными, государственными и местными органами власти, чтобы обеспечить безопасный и надежный цифровой опыт. Мы рады помочь CISA предоставить инновационное, современное и экономичное решение для всего гражданского федерального правительства.
Мы продолжим этот путь после нашего недавнего объявления о том, что в настоящее время мы находимся «в процессе» на рынке Федеральной программы управления рисками и авторизацией (FedRAMP). Проведенная правительством тщательная оценка безопасности позволит другим федеральным агентствам принять решения Cloudflare Zero Trust Security в будущем.
Что дальше?
Мы с нетерпением ждем начала сотрудничества с Accenture Federal Services, чтобы предоставить CISA это защитное решение DNS-преобразователя. Этот контракт демонстрирует уверенность CISA в важности наличия защитных возможностей DNS как части многоуровневой защиты. Мы благодарим CISA за этот шаг и за возможность сотрудничать с правительством США для предоставления этого решения.
Как и CISA, мы считаем, что большие и малые команды должны иметь инструменты, необходимые для защиты своих критически важных систем. Ваша команда также может начать использовать Cloudflare для защиты вашей организации уже сегодня. Cloudflare Gateway, часть Cloudflare for Teams, доступен организациям любого размера.
—
1https://www.cisa.gov/about-cisa
2См., Например, https://www.cisa.gov/sites/default/files/publications/Addressing_DNS_Resolution_on_Federal_Networks_Memo.pdf; https://media.defense.gov/2021/Mar/03/2002593055/-1/-1/0/CSI_Selecting-Protective-DNS_UOO11765221.PDF