Palo Alto Networks advies: blokkeer alle nieuwe domeinnamen

      Reacties uitgeschakeld voor Palo Alto Networks advies: blokkeer alle nieuwe domeinnamen

Unit 42, de cybersecurity onderzoeksafdeling van Palo Alto Networks heeft op 20 augustus uitgebreid gecommuniceerd over NDR – Newly Registered Domains. Op basis van onderzoek komt men tot de conclusie dat NDR’s zo vaak malicious zijn, dat het blokken ervan op netwerk niveau de beste oplossing is.

NDR massaal verdacht

Elke dat worden er wereldwijd duizenden nieuwe domeinnamen geregistreerd Hosters in Nederland kennen die markt. Al jaren pakken ze daar met succes een graantje van mee. Zij zullen dan ook aanvankelijk verbaasd opkijken bij de claim dat meer dan 70% van de NDR’s “malicious”. “suspicious” of “not safe for work” zijn.

Onderzoek

Unit 42 komt tot deze stevige uitspraak na langdurig onderzoek. Per dag worden gemiddeld 200.000 NRD’s geïdentificeerd. De twee illustraties laten zien wat daarvan de oogst was over een periode van 3 maanden. Zo wordt ook duidelijk waar die hoge score vandaan komt. Unit 42 volgt de registraties van alle TLD’s. Ook de TLD’s al jaren een discutabele reputatie hebben en die in dit deel van de wereld amper worden gebruikt.

Vervolgens zoomt men dieper in op het type misbruik en de een paar veel voorkomende vormen van domeinnamen. Voor Phishing zijn typosquat namen onmisbaar. Bij Command & Control Servers is Domain generation algorithm (DGA) de methode om tot domeinnamen te komen.

Advies van Unit 42

Daarna komt de belangrijkste bevinding van Unit 42 en het daarop gebaseerde advies. Het ziet dat de meeste foute namen binnen een periode van 32 dagen wordt herkend door de bekende fabrikanten van afweerproducten (dat is het brede scala van AV software, rules voor de firewall, zwarte lijsten en dergelijke). Daarom adviseert elke NDR minimaal 32 dagen te blokkeren op netwerk niveau.

Dat is een brute ingreep en een die ook legitieme domeinnamen en e-mail adressen om zeep helpt. Dat erkent Unit 42 ook. Het noemt als voorbeelden marketing acties met speciale websites die daardoor geschaad worden. Dat nadeel weegt echter niet op tegen het voordeel.

Wat moet je hiermee?

Wat kun je nu met deze informatie. Het lijkt een simpel verhaal. Hosters, registrars, website bouwers, maar ook marketeers moeten ten eerste weten dat Palo Alto Networks, wat geen kleine speler is, HW en SW heeft die zeer waarschijnlijk in staat is deze regels te implementeren. Dat is niet leuk en onderstreept het belang van het tweede punt. Wacht niet tot 5 voor 12 om een nieuwe domeinnaam te registeren en live te zetten. Ga er van uit dat de naam (inhoud is een ander punt) minimaal een maand oud moet zijn om niet direct als té verdacht te worden bestempeld.