NDR massaal verdacht
Elke dat worden er wereldwijd duizenden nieuwe domeinnamen geregistreerd. Hosters in Nederland kennen die markt. Al jaren pakken ze daar met succes een graantje van mee. Zij zullen dan ook aanvankelijk verbaasd opkijken bij de claim van Palo Alto Networks dat meer dan 70% van de nieuwe domeinnamen “malicious”. “suspicious” of “not safe for work” zijn.
Onderzoek
Vervolgens zoomt men dieper in op het type misbruik en de een paar veel voorkomende vormen van domeinnamen. Voor Phishing zijn typosquat namen onmisbaar. Bij Command & Control Servers is Domain generation algorithm (DGA) de methode om tot domeinnamen te komen.
Advies van Unit 42
Daarna komt de belangrijkste bevinding van Unit 42 en het daarop gebaseerde advies. Het ziet dat de meeste foute namen binnen een periode van 32 dagen wordt herkend door de bekende fabrikanten van afweerproducten (dat is het brede scala van AV software, rules voor de firewall, zwarte lijsten en dergelijke). Daarom adviseert elke NDR minimaal 32 dagen te blokkeren op netwerk niveau.
Dat is een brute ingreep en een die ook legitieme domeinnamen en e-mail adressen om zeep helpt. Dat erkent Unit 42 ook. Het noemt als voorbeelden marketing acties met speciale websites die daardoor geschaad worden. Dat nadeel weegt echter niet op tegen het voordeel.
Wat moet je hiermee?
Wat kun je nu met deze informatie. Het lijkt een simpel verhaal. Hosters, registrars, website bouwers, maar ook marketeers moeten een paar dingen weten. Ten eerste is Palo Alto Networks geen kleine speler is. Het is zeer waarschijnlijk in staat deze regels via de eigen HW en SW te implementeren. Dat is niet leuk en onderstreept het belang van het tweede punt. Wacht niet tot 5 voor 12 om een nieuwe domeinnamen te registeren en live te zetten. Ga er van uit dat de naam (inhoud is een ander punt) minimaal een maand oud moet zijn om niet direct als té verdacht te worden bestempeld.
