10 Fragen, die Sie einem potenziellen DNS-Firewall-Anbieter stellen sollten

Bereitstellungswege

Beginnen wir mit den Grundlagen: Zurzeit gibt es drei unterschiedliche Wege, eine DNS-Firewall bereitzustellen:

1. On-Premise- oder Open Source Software: Threat Intelligence Data Feeds von einem Drittanbieter, auf die Sie über Ihre DNS-Infrastruktur zugreifen.
2. On-Premise-Lösung/Geräte: Diese befindet sich innerhalb Ihres Netzwerks, dient als Managementsystem für Ihre DNS-Sicherheitsinfrastruktur und nutzt Threat Intelligence Data Feeds.
3. Cloud: Ein Service außerhalb Ihres Netzwerks. Ein Drittanbieter verwaltet Ihre DNS-Abfragen.

1. Wie wird die DNS-Firewall eingerichtet und konfiguriert?

Sie sollten diese Implementierung unbedingt ganzheitlich betrachten. Stellen Sie sicher, eine Lösung zu verwenden, die Ihren Bedürfnissen entspricht, auch wenn sie nicht die am schnellsten zu installierende ist. Diese Elemente sollten Sie unbedingt berücksichtigen:

1. Qualität der Threat-Daten
2. Preise
3. Kontrolle
4. Flexibilität
5. Transparenz
6. Support
7. Testphase¹

• On-Premise- oder Open Source Software: Diese Implementierung ist eher technisch, da Sie die Threat Intelligence Data Feeds direkt in Ihr DNS einbinden und dort konfigurieren. Dabei kommt es stark darauf an, inwiefern der Serviceprovider Sie bei der Implementierung unterstützt.
• On-Premise-Geräte: Damit ist in der Regel eine tiefergreifende Implementierung verbunden. Sie müssen direkte Änderungen an Ihrem DNS vornehmen.
• Cloud-Dienst: In der Regel müssen Sie nur minimale Änderungen an Ihren DNS-Einstellungen vornehmen. Dazu müssen Sie einfach Ihren rekursiven Resolver an eine andere IP-Adresse dirigieren, über die Sie Ihre DNS-Auflösung laufen lassen.

2. Wie viel kostet das?

Kosten sind immer ein maßgeblicher Faktor, wenn Sie über den Kauf neuer Dienste oder Hardware nachdenken. Überlegen Sie, ob Sie ein Budget für Investitionen haben (bzw. die Investition beantragen müssen), oder ob Sie eine Lösung wünschen, die Sie als Abonnement in Ihre Betriebskosten aufnehmen können.

• On-Premise- oder Open Source Software: Die Preise in dieser Kategorie sollten am niedrigsten sein, da Sie die Threat-Intelligence-Feeds in Ihren eigenen DNS-Resolver übertragen und keine Hardwarekosten zahlen müssen.
• On-Premise-Geräte: Die Preise pro Nutzer sollten niedriger als die Nutzung eines Cloud-Dienstes sein, da Sie ja etwas in Ihrem eigenen Netzwerk installieren. Finden Sie jedoch heraus, ob zusätzliche Gebühren anfallen, wenn Sie auf diesen Geräten Zusatzleistungen nutzen wollen.
• Cloud-Dienst: Bei einem Cloud-Dienst sind die Kosten pro Nutzer in der Regel höher. Dies liegt an den Infrastrukturkosten des Anbieters, zusätzlich zu den durch die Verteilung der Threat Intelligence in seinem Netzwerk anfallenden Kosten. Die Einrichtung ist relativ einfach (siehe Nr. 1), allerdings handelt es sich um einen Dienst, den Sie mit vielen Nutzern teilen. Daher haben Sie weniger Flexibilität und Kontrolle und zahlen am Ende möglicherweise für Datenfeeds, die Sie gar nicht benötigen.

Denken Sie daran, dass bei manchen On-Premise-Lösungen und direkten DNS-Datenfeeds die Einrichtun g komplizierter ist (siehe Nr. 1). Allerdings werden Sie für Ihre Anstrengungen durch ein großes Maß an Eigenkontrolle belohnt, sowohl im Hinblick auf die verschiedenen genutzten Datenfeeds, als auch auf den direkten Zugriff auf Ihre Informationen für die Umleitung oder Blockierung.

3. Kann ich Ihre Threat Intelligence Data Feeds an meine Anforderungen anpassen?

Unternehmen benötigen die Flexibilität zu bewerten, welchen Grad an Risiko sie eingehen möchten. Fragen Sie nach, ob Sie die Datenfeeds selbst auswählen können (d. h. die Threat Intelligence, die für die Blockierung bzw. Umleitung in Ihrem Netzwerk angewendet wird, um den richtigen Grad an Sicherheit für Ihre Geschäftsanforderungen zu haben.

Manche Branchen wie z. B. die Finanzbranche und das Gesundheitswesen, benötigen ein höheres Sicherheitsniveau und setzen daher einen stärkeren Fokus auf richtlinienbasierten Datenfeeds. Wenn Sie andererseits eine höhere Risikobereitschaft haben, weil Sie z. B. Endnutzer-Netzwerke verwalten, wollen Sie natürlich nicht für Feeds bezahlen, die Sie nicht brauchen.

Außerdem gibt es Unternehmen, die in verschiedenen Bereichen ihres Netzwerks unterschiedliche Sicherheitsgrade benötigen. Beispielsweise brauchen akademische Einrichtungen für ihre Studierenden ein anderes Schutzniveau als für ihre Mitarbeitenden.

4. Wie sieht es mit der Qualität und Bandbreite Ihrer Threat Feeds aus?

Cyberkriminelle setzen vielfältige Techniken ein, um sich Informationen (und letztendlich Geld) von ihren Opfern zu beschaffen. Ihre DNS-Firewall ist nur so gut wie die Threat-Daten, die sie erhält, um Verbindungen zu blockieren. Diese Feeds müssen vielfältig und gut recherchiert sein, um sie vor so vielen bösartigen Domains zu schützen wie nur möglich. Außerdem müssen Ihre Threat-Daten eine niedrige Falsch-positiv-Quote aufweisen, speziell bei den Feeds ohne Richtlinienfokussierung.

Unabhängig davon, ob Sie eigene Geräte wählen oder Ihr eigenes DNS konfigurieren, müssen Sie einen Anbieter für die Datenfeeds wählen. Stellen Sie sicher, dass dieser Jemand eine Erfolgsbilanz in Sachen Threat Intelligence hat und Daten aus vielfältigen unabhängigen Quellen bezieht.

5. Wie gehe ich mit falsch positiven Einträgen um?

Wenn eine geschäftskritische Domain blockiert oder umgeleitet wird, müssen Sie sicher sein, dass Sie die Richtlinienentscheidung Ihrer DNS-Firewall umgehen können, damit Ihr Geschäftsbetrieb ohne Störung weiterlaufen kann.

• On-Premise-Open-Source-Software und Geräte: Besteht die Flexibilität, die Domain zu einer privaten Whitelist hinzuzufügen, um Ihnen den sofortigen Zugriff auf die blockierte Domain zu ermöglichen?
• Cloud-Dienste: Sehen Sie in den Service Level Agreements (SLAs) nach, welche Antwort- und Aktionszeiten für die Aufnahme in Whitelists bzw. die Entfernung blockierter und für Sie geschäftskritischer Domains festgelegt sind. Vergewissern Sie sich, dass diese Ihren Geschäftsanforderungen entsprechen.

6. Wie häufig werden Ihre Daten aktualisiert?

Zeitnahe Threat Intelligence ist bei der Bekämpfung der Aktivitäten von Cyberkriminellen in Ihrem Netzwerk unverzichtbar. Laut einer Umfrage des Ponemon Institute geben 37 Prozent aller Angreifer auf, wenn sie nicht innerhalb von 10 Stunden einen Ertrag generieren können.

Daher müssen die Daten, die Ihrem Schutz dienen sollen, so kontinuierlich wie möglich fließen: Erfolgt eine Aktualisierung nur stündlich, sind Sie möglicherweise vor neu auf den Weg gebrachter Malware zunächst nicht geschützt.

7. Lassen sich infizierte Geräte in meinem Netzwerk leicht aufspüren?

Während Sie das Meiste, was in Ihrem Netzwerk passiert, kontrollieren können, haben Sie keine Kontrolle über das, was in den Umgebungen Ihrer Kunden passiert, oder wenn Ihre Mitarbeitenden Geräte mitnehmen, beispielsweise, um in Kundenbüros oder von zu Hause aus zu arbeiten.

Die „Botnet Command-and-Controller“-Listungen (Botnet C&C) nahmen 2017 um sage und schreibe 32 % zu (lesen Sie den vollständigen Botnet Threat Report – auf Englisch). Angesichts der zunehmenden Bedrohungen aus diesem Bereich, ist es wichtig, dass Sie jegliches infizierte Gerät in Ihrem Netzwerk aufspüren können, um schnell und wirksam Maßnahmen zu treffen.

Fragen Sie Ihren DNS-Firewall-Anbieter, wie versuchte Zugriffe auf bösartige Quellen mittels der DNS-Firewalls in Ihrem Netzwerk erkannt werden. Überprüfen Sie, ob dafür zusätzliche Software installiert werden muss, die mit weiteren Kosten und zusätzlichem Aufwand verbunden wäre.

8. Wie und wann werde ich von Problemen in meinem Netzwerk unterrichtet?

Kontrolle ist für die meisten IT-Sicherheits-Teams von fundamentaler Wichtigkeit. Je schneller eine Bedrohung gekennzeichnet wird, umso schneller kann Abhilfe geschaffen werden, ob für einen Kunden (bei einem ISP oder Hosting-Provider) oder Ihre Mitarbeitenden (bei einem Wirtschaftsunternehmen).

• On-Premise-Open-Source-Software und Geräte: Stellen Sie fest, ob Sie die Möglichkeit haben, Ihre eigenen Protokolle einzurichten, damit Sie sofort Bescheid wissen, wann eine Blockierung oder Umleitung erfolgt, oder eine Benachrichtigung erhalten, dass ein Client in Ihrem Netzwerk infiziert ist. So können Sie unverzüglich Maßnahmen ergreifen.
• Cloud-Dienst: Ermitteln Sie, ob für Ihr Netzwerk spezifische Berichte automatisch und in Echtzeit an Sie übertragen werden. Überlegen Sie, welche Auswirkungen es für Ihr Unternehmen haben könnte, wenn Sie auf Informationen über eine Umleitung oder einen von einem Botnet infizierten Rechner warten müssten.

9. Wie stabil ist Ihr Service?

On-Premise- oder Open Source Software: Stellen Sie sicher, dass jeder in Betracht gezogene Anbieter von Threat Feeds mehrere Zugriffspunkte für seine Daten hat. So ist gewährleistet, dass Sie auch bei einem Problem mit einem oder mehren Servern dieses Anbieters weiterhin von einem alternativen Standort aus bedient werden.

• On-Premise-Geräte: Wenn Sie eigene Geräte verwenden, müssen Sie sicher sein, dass Ihr DNS weiterhin auch ohne die DNS-Firewall funktioniert, falls die Lösung ausfällt.
• Cloud-Dienst: Vergewissern Sie sich, welche Notfallpläne es für Dienstausfälle gibt, da solche Situationen möglicherweise bedeuten können, dass Sie jeglichen Zugriff auf DNS-Verbindungen verlieren und Ihre Geschäftsabläufe damit beeinträchtigt werden. Verschaffen Sie sich ein klares Bild von den SLAs des Anbieters und bringen Sie in Erfahrung, ob er sich bisher daran gehalten hat.

10. Kann ich meine eigenen Umleitungsseiten schreiben?

Warum ist das überhaupt wichtig? Nun, weil es Ihnen die Chance bietet, etwas Negatives (einen Cyberangriff) in etwas Nützliches für den Endnutzer umzuwandeln, etwas aus dem er lernen kann.

Eine allgemein formulierte Nachricht sagt nur aus, dass die Verbindung blockiert bzw. der Nutzer umgeleitet wurde:

Die angeforderte Website wurde blockiert

Eine sorgfältig erstellte Landing Page, die dem Endnutzer erklärt, warum er blockiert wurde und wie er sich zukünftig besser schützen kann, trägt positiv zur laufenden Verbesserung der Sicherheit in Ihrem Netzwerk bei. Weitere Informationen und Beispiele für gut formulierte Landing Pages, aus denen Nutzer etwas lernen können, finden Sie hier.

Viel Erfolg!

Der Markt für DNS-Firewalls ist in den vergangenen Jahren stark gewachsen, sodass Sie unter vielen Möglichkeiten wählen können. Nehmen Sie sich unbedingt die Zeit, Ihre Geschäftsanforderungen zu verstehen und sorgfältig zu recherchieren, welche Option am besten dazu passt.