Jonathan Zhang, API WhoisXML: “Các trường hợp lạm dụng DNS là một trong những mối đe dọa hàng đầu mà chúng tôi thấy khi theo dõi miền và hoạt động DNS”

Theo các nhà nghiên cứu, cùng với số lượng tên miền ngày càng gia tăng, việc lạm dụng DNS ngày càng nhiều.

Trong khi thế giới đang phải đối mặt với những cuộc khủng hoảng lớn của thế kỷ, tội phạm mạng đang lợi dụng tình hình và nhanh chóng đặt bẫy kỹ thuật số theo nhiều cách sáng tạo. Các cuộc tấn công mạng không chỉ ảnh hưởng đến các cá nhân mà còn cả các tổ chức và chính phủ, cầu xin các công cụ hàng đầu để giúp chống lại các mối đe dọa.

Nhóm Cybernews đã mời Jonathan Zhang, Giám đốc điều hành của WhoisXML API, một công ty tổng hợp dữ liệu Internet và bảo mật, để thảo luận về tầm quan trọng của dữ liệu và tình hình hiện tại trong lĩnh vực an ninh mạng.

Hành trình của API WhoisXML như thế nào?

WhoisXML API được thành lập dựa trên nhu cầu thị trường mà tôi đã xác định được sau nhiều năm làm việc với các tổ chức như NASA JPL và L-3 Communications. Tôi là một kỹ sư phần mềm vào khoảng năm 2010 và cần quyền truy cập vào dữ liệu WHOIS thô có cấu trúc và hợp nhất cho một dự án an ninh mạng.

Thách thức là các bản ghi WHOIS được phân tách rất rõ ràng và đến từ nhiều cơ quan đăng ký và tổ chức đăng ký tên miền, mỗi tổ chức có một định dạng khác nhau. Mặc dù về mặt lý thuyết, có thể hợp nhất mọi thứ, nhưng công việc này sẽ đòi hỏi hàng trăm, nếu không muốn nói là hàng nghìn giờ làm việc. Cũng có những hạn chế khác như hạn chế tra cứu, và mặc dù tôi có thể nghĩ về một vài nhà cung cấp dữ liệu hợp nhất vào thời điểm đó, nhưng chúng khá đắt. Điểm mấu chốt – không có ý nghĩa gì đối với tôi vào thời điểm đó.

Vì vậy, vấn đề vẫn còn. Ý tôi là, làm thế nào người ta có thể đạt được an ninh mạng tối ưu mà không có dữ liệu cần thiết?

Giải pháp là thành lập một công ty có thể giúp Internet trở thành một nơi an toàn hơn cho tất cả các tổ chức. Và còn cách nào tốt hơn để hướng tới mục tiêu đó ngoài việc cung cấp một khối xây dựng cho các hệ thống bảo mật, đó là dữ liệu.

Hành trình thành lập công ty và xây dựng kho dữ liệu rất thú vị mặc dù nó không phải lúc nào cũng suôn sẻ. Ban đầu, có một số băng đỏ và việc thiết lập các thỏa thuận với các công ty tổng hợp dữ liệu khác nhau là chìa khóa. Ngoài ra, công ty đang bận rộn xây dựng công nghệ cần thiết để tự động phân tích cú pháp và hợp nhất dữ liệu để sau đó cung cấp các bản ghi miền nhất quán và có thể xoay vòng cao trên các mô hình tiêu dùng.

Bạn có thể giới thiệu cho chúng tôi những gì bạn làm được không? Bạn sử dụng phương pháp nào để thu thập và phân tích lượng lớn dữ liệu như vậy?

Về cốt lõi, WhoisXML API là một trình tổng hợp dữ liệu Internet và bảo mật. Chúng tôi cung cấp dữ liệu đầy đủ, theo thời gian thực và có thể hành động bằng cách sử dụng mô hình dữ liệu dưới dạng dịch vụ.

Thông qua quan hệ đối tác pháp lý, chúng tôi thu thập dữ liệu WHOIS, IP và miền từ các công ty tổng hợp khác nhau như ISP, tổ chức đăng ký tên miền và tổ chức đăng ký tên miền. Sau đó, chúng tôi phân tích cú pháp, phân tích và chuẩn hóa một lượng lớn dữ liệu bằng cách sử dụng công nghệ cảm biến dữ liệu tiên tiến và các thuật toán học máy.

Chúng tôi cho phép các trường hợp sử dụng khác nhau, đặc biệt là để khuếch đại các thực tiễn quan trọng về an ninh mạng và đóng góp vào các nền tảng bảo mật được thiết kế để giảm thiểu các cuộc tấn công mạng và bảo vệ các tổ chức. Ví dụ: dữ liệu của chúng tôi có thể giúp mở rộng phạm vi các bề mặt tấn công, mang lại cho các tổ chức khả năng hiển thị rõ ràng hơn và rộng hơn. Đồng thời, chúng tôi có những khách hàng sử dụng dữ liệu của chúng tôi để đánh giá và quản lý rủi ro của bên thứ ba.

Các nhà điều tra đe dọa và cơ quan thực thi pháp luật sử dụng dữ liệu của chúng tôi để tìm manh mối khi điều tra tội phạm mạng. Bạn có thể có địa chỉ IP, tên người, tên tổ chức, trang web, địa chỉ email, máy chủ định danh hoặc bất kỳ điểm dữ liệu liên quan nào. Từ đó, dữ liệu của chúng tôi có thể giúp bạn vạch ra dấu vết kỹ thuật số của diễn viên.

Trí thông minh miền và IP của chúng tôi cũng hỗ trợ ngăn chặn lừa đảo và bảo vệ thương hiệu. Chúng tôi thực hiện điều đó bằng cách chủ yếu cung cấp thông tin theo thời gian thực về các miền mới được đăng ký và các miền đánh máy hoặc đánh máy qua mạng.

Tất cả các trường hợp sử dụng này đều phù hợp với mục tiêu ban đầu của công ty là làm cho Internet trở thành một nơi an toàn hơn.

Trong tất cả các ngành mà bạn làm việc, loại mối đe dọa nào phổ biến nhất hiện nay?

Các trường hợp lạm dụng DNS là một trong những mối đe dọa hàng đầu mà chúng tôi thấy khi giám sát miền và hoạt động DNS. Những mối đe dọa này bao gồm lừa đảo, tấn công phần mềm độc hại, gửi thư rác và tấn công mạng botnet.

Một yếu tố góp phần là số lượng miền ngày càng tăng trên các TLD khác nhau. Khi chúng tăng lên, khả năng lạm dụng DNS cũng tăng lên. Chỉ riêng trong tháng 3 năm 2022, ICANN đã phân loại hơn 609.000 tên miền trên 360 TLD là các mối đe dọa bảo mật.

Với chế độ xem vệ tinh về miền và hoạt động DNS, chúng tôi tiếp tục gặp phải hàng nghìn miền đánh máy hoặc miền mạo danh các thương hiệu hợp pháp. Một số nhóm miền mạo danh nhà sản xuất ô tô, công ty hàng không, thương hiệu cao cấp, nền tảng NFT, CEO và nhiều nhóm khác.

Một số miền trong số các miền đánh máy thường đã bị gắn cờ là độc hại, có nghĩa là chúng đã bị lạm dụng để hiển thị nội dung lừa đảo hoặc spam. Những người khác có thể đã được sử dụng để phân phối phần mềm độc hại hoặc làm URL máy chủ C&C.

Việc lạm dụng DNS càng được khuếch đại bởi tính chất nhạy cảm với thời gian của nó. Những kẻ tấn công làm việc suốt ngày đêm. Nếu khả năng phòng thủ của một công ty suy giảm dù chỉ một phút, đó có thể là đủ thời gian để các tác nhân đe dọa xâm nhập vào mạng công ty. Một miền lừa đảo không bị phát hiện quản lý để vượt qua các bộ lọc bảo mật có thể đủ để khởi động một cuộc tấn công ransomware.

Bạn nghĩ các sự kiện toàn cầu hiện tại sẽ ảnh hưởng như thế nào đến toàn cảnh mối đe dọa?

Chúng tôi chắc chắn đã thấy các tác nhân đe dọa xây dựng chiến dịch của họ xung quanh các sự kiện toàn cầu. Họ có xu hướng tận dụng sự quan tâm của mọi người vào các vấn đề thời vụ và chính trị, các vụ bê bối hoặc các sự kiện toàn cầu. Miễn là nó làm cho tin tức, bất kỳ sự kiện là trò chơi công bằng.

Hãy để tôi cung cấp cho bạn một số ví dụ. Khi COVID-19 được tuyên bố là một đại dịch, chúng tôi đã chứng kiến ​​sự gia tăng đột biến trong đăng ký miền theo chủ đề coronavirus. Từ chỉ hơn một chục vào tháng 12 năm 2019, đã tăng lên hơn 50.000 vào tháng 3 năm 2020.

Nhiều tài sản trong số đó có thể gắn liền với lừa đảo theo chủ đề coronavirus, các chiến dịch thông tin sai lệch về vắc xin và thậm chí là các hoạt động nhắm mục tiêu vào các cá nhân hy vọng nhận được hỗ trợ tài chính từ chính phủ. Các sự kiện theo mùa như Ngày lễ tình nhân, Thứ Sáu Đen và mùa thuế cũng thúc đẩy nhiều đăng ký miền ám chỉ việc lạm dụng DNS. Các miền độc hại này thường dẫn đến tội phạm, chẳng hạn như gian lận và trộm cắp thông tin xác thực.

Vì vậy, để trả lời câu hỏi, bối cảnh mối đe dọa đã và sẽ tiếp tục phản ánh đáng kể các sự kiện hiện tại.

Theo bạn, các doanh nghiệp nhỏ và các công ty lớn có nên tiếp cận vấn đề an ninh mạng khác nhau không?

Những kẻ đe dọa sẽ truy lùng tất cả mọi người, bất kể công ty của bạn lớn hay nhỏ.

Các doanh nghiệp lớn là mục tiêu vì họ là nạn nhân béo bở. Khi nói đến ransomware, nhu cầu trung bình năm ngoái đạt khoảng 2,2 triệu đô la Mỹ. Các khoản thanh toán thực tế ước tính vào khoảng 42,5% số tiền đó.

Mặt khác, các công ty nhỏ hơn được nhắm mục tiêu đơn giản bởi vì, với ít nguồn lực hơn, họ dễ bị tổn thương hơn.

Hiện nay, các doanh nghiệp nhỏ và doanh nghiệp lớn có xu hướng tiếp cận vấn đề an ninh mạng khác nhau, thường là do họ không có đủ nguồn lực như nhau. Ví dụ: các doanh nghiệp nhỏ có khả năng thuê các chuyên gia và MSP thuê ngoài bảo mật mạng.

Trong khi đó, các doanh nghiệp lớn có nhiều nguồn lực hơn và có đủ khả năng chi trả cho các SOC của riêng họ. Họ cũng sử dụng một số công nghệ bảo mật mới nhất, chẳng hạn như SIEM, SOAR, XDR và ​​các nền tảng khác.

Tuy nhiên, dữ liệu rất quan trọng đối với cả hai cách tiếp cận. Bất kể quy mô nào, các doanh nghiệp cần thu thập thông tin theo ngữ cảnh ở dạng miền, miền phụ, DNS và IP thông minh. Vì lý do này, WhoisXML API cung cấp kho lưu trữ của nó cho các MSP, các giải pháp nền tảng bảo mật được sử dụng bởi các doanh nghiệp lớn và các công ty lớn có SOC nội bộ.

Những chi tiết bảo mật doanh nghiệp nào thường bị bỏ qua nhưng có thể gây ra mối đe dọa đáng kể cho công ty của một người?

Dữ liệu của chúng tôi giúp các doanh nghiệp kích hoạt các hoạt động bảo mật suốt ngày đêm, tăng cường bảo vệ rủi ro kỹ thuật số, có được khả năng hiển thị bề mặt tấn công liên tục và xác minh danh tính sâu hơn, trong số các quy trình khác.

Với vị trí thuận lợi này, chúng tôi tận mắt thấy các công ty cần phải chú ý nhiều hơn đến bề mặt tấn công và tư thế thương hiệu trên Internet cũng như mở rộng tầm nhìn của họ.

Ví dụ như các miền đánh máy. Những điều này có thể ảnh hưởng đến danh tiếng trên Internet của công ty, đặc biệt khi các tác nhân đe dọa sử dụng chúng để nhắm mục tiêu vào nhân viên, người dùng, khách hàng, đối tác và nhà cung cấp bên thứ ba của thương hiệu mạo danh. Chúng tôi đã chứng kiến ​​một số tập đoàn lớn đã phải mất nhiều thời gian để hạ gục hoặc kiểm soát các miền như vậy. Mặc dù đây không phải là chiến thuật khả thi hoặc thực tế nhất, nhưng hành động của họ cho chúng ta biết rằng một phần của việc bảo vệ thương hiệu là đảm bảo rằng tên thương hiệu của một người không bị lạm dụng trong tên miền.

Chúng tôi cũng nhận thấy hàng nghìn, nếu không phải hàng triệu, các bản ghi DNS treo lơ lửng, chẳng hạn như những bản ghi trỏ đến miền phụ. Đây không phải là lý tưởng để bảo mật. Các công ty cần phải chú ý đến các tên miền phụ và các bản ghi DNS lơ lửng vì các tác nhân đe dọa có thể dễ dàng khai thác các lỗ hổng này.

Ngoài ra, chúng tôi đã thấy rất nhiều tên miền phụ và bản ghi DNS mô tả quá mức có thể khiến kẻ tấn công dễ dàng thực hiện các cuộc tấn công có chủ đích. Thông qua các lần quét đa dạng, kẻ xấu có thể tìm hiểu hệ thống mà tổ chức sử dụng nếu chúng được hiển thị trong tên miền phụ và bản ghi DNS.

Và cuối cùng, tương lai sẽ ra sao đối với API WhoisXML?

Sứ mệnh của chúng tôi được thiết lập để giữ nguyên — giúp tạo ra một mạng Internet minh bạch và an toàn hơn cho tất cả các doanh nghiệp. Chúng tôi mong muốn có thể thực hiện điều đó bằng cách liên tục cung cấp miền, IP, DNS và thông tin tình báo về mối đe dọa mạng toàn diện nhất.

Chúng tôi sẽ tiếp tục mở rộng phạm vi dữ liệu của mình và cải thiện phạm vi của chúng tôi thông qua nhiều quan hệ đối tác và hợp tác hơn như một phần của nỗ lực này. Ngoài việc cung cấp nhiều dữ liệu hơn, chúng tôi cũng sẽ làm như vậy khi các công ty cần dữ liệu nhất — trong thời gian thực.

Thời gian là một yếu tố quan trọng. Nhiều điều có thể xảy ra trong 24 giờ — hàng nghìn miền được đăng ký và vũ khí hóa ngay lập tức, tất cả các hình thức lạm dụng DNS đều có thể xảy ra và các tác nhân đe dọa có thể xâm nhập vào mạng.

Chúng tôi mong muốn giảm khoảng cách giữa đăng ký tên miền và lạm dụng để các công ty có thể có được nhiều thông tin về tên miền và IP nhanh nhất có thể. Hiện tại, chúng tôi có thể tự động đẩy dữ liệu chuỗi chứng chỉ SSL và đăng ký miền cho khách hàng trong vòng một giờ hoặc ít hơn.

Thế giới bản tin | Vina Aspire News

Nguồn : https://cybernews.com/security/jonathan-zhang-whoisxml-api-dns-abuse-instances-are-among-the-top-threats-we-see-when-monitoring-domain-and-dns-activity/

Vina Aspire là nhà cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.

Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:

Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com

Vina Aspire – Vững bảo mật, trọn niềm tin

Để lại một câu trả lời

Địa chỉ email của bạn sẽ không được công bố.

may lam kem nguyen lieu lam kem - nguyen lieu lam yogurt bột lm kem may ao thun may ba lo theo yeu cau san xuat moc khoa gia re may o thun quảng co dịch vụ bốc xếp Sản xuất đồ bộ