10 perguntas que devem ser feitas a um possível provedor de DNS Firewall

Formas de implantação

Vamos começar com o básico: atualmente, existem 3 maneiras de implantar um DNS Firewall:

• Software de código aberto in loco: feeds de dados de inteligência de ameaças de terceiros acessados ​​por meio de sua infraestrutura de DNS.
• Solução/equipamento in loco: fica na sua rede, funcionando como um sistema de gerenciamento para a infraestrutura de segurança do seu DNS, que usa feeds de dados de inteligência de ameaças.
• Nuvem: um serviço externo à sua rede, em que um terceiro gerencia suas solicitações de DNS.

1. Como um DNS Firewall é instalado e configurado?

Lembre-se de analisar a implementação de forma abrangente e considerar o “˜quadro geral”. Escolha uma solução que atenda às suas necessidades, não apenas a que oferece mais rapidez na instalação. Os principais elementos a serem considerados são:

1. Qualidade dos dados de ameaças
2. Preço
3. Controle
4. Flexibilidade
5. Transparência
6. Suporte
7. Período de teste¹

• Software de código aberto in loco: uma implementação mais técnica, porque você configura os feeds de dados de inteligência de ameaças diretamente no seu DNS. Aqui é fundamental compreender o suporte que será dado pelo prestador do serviço durante a implementação.
• Equipamento in loco: costuma envolver uma implementação mais detalhada. Você terá de fazer alterações diretas no seu DNS.
• Serviço em nuvem: normalmente, você só precisará fazer alterações mínimas em sua configuração de DNS. Bastará apontar seu recursive resolver para um endereço IP diferente, por meio do qual você executará sua resolução de DNS.
  

2. Quanto custa?

O custo é sempre um fator importante ao se analisar a aquisição de novos serviços ou hardware. Pondere se você tem (ou precisa fazer um estudo de caso para um) orçamento de capital ou se deseja uma solução que caiba em seu orçamento operacional, por assinatura.

• Software de código aberto in loco: os preços nessa categoria devem estar entre os mais baixos, pois você está transferindo feeds de inteligência de ameaças para seu próprio DNS resolver e não terá nenhum custo de hardware.
• Equipamento in loco: os preços devem ser mais baixos por usuário do que usando um serviço em nuvem, visto que você está instalando algo em sua própria rede. No entanto, defina se alguma taxa adicional precisa ser paga para usar serviços auxiliares nesses equipamentos.
• Serviço em nuvem: geralmente, é mais caro por usuário devido aos custos de infraestrutura do provedor, além do custo de distribuição da inteligência de ameaças por toda a rede dele. A configuração é relativamente fácil (vide pergunta 1). No entanto, como esse é um serviço compartilhado com vários usuários, você perde flexibilidade e controle, e pode acabar pagando por feeds de dados de que não precisa.

Lembre-se de que algumas soluções in loco e feeds de dados de DNS diretos têm uma configuração mais complexa (vide pergunta 1). Dito isso, você será recompensado por seus esforços obtendo um controle abrangente, tanto em termos dos diferentes feeds de dados que utiliza quanto no acesso instantâneo às suas informações de redirecionamento/bloqueio.

3. Posso adaptar seus feeds de dados de inteligência de ameaças às minhas necessidades?

As organizações precisam ter flexibilidade para avaliar a quantidade de risco que desejam assumir. Pergunte se você pode escolher os feeds de dados (ou seja, a inteligência de ameaças usada para bloquear/redirecionar em sua rede) que fornecem o nível certo de segurança para seus requisitos empresariais.

Alguns setores, como os de serviços financeiros e de saúde, exigem níveis adicionais de segurança; por isso, eles podem querer dar mais ênfase a feeds de dados baseados em políticas. Por outro lado, caso precise ser menos avesso a riscos (por exemplo, aqueles que gerenciam redes de usuários finais), você não vai querer pagar por feeds que não usa.

Além disso, algumas organizações exigem vários níveis de segurança em diferentes áreas da rede. Por exemplo, instituições acadêmicas exigem um nível diferente de proteção para os alunos em comparação com o da equipe.

4. Qual é a qualidade e a amplitude de seus feeds de ameaças?

Cibercriminosos usam uma variedade de técnicas para extorquir informações e, por fim, dinheiro de suas vítimas. Seu DNS Firewall é tão bom quanto os dados de ameaças que recebe para bloquear conexões. Esses feeds precisam ser diversificados e bem pesquisados, protegendo você do maior número de domínios maliciosos possível. Além disso, seus dados de ameaças precisam ter uma baixa taxa de falsos positivos, especialmente em feeds que não são voltados para políticas.

Quer escolha um equipamento ou opte por configurar seu próprio DNS, você precisará encontrar um fornecedor para os feeds de dados. Certifique-se de que seja alguém bem estabelecido no fornecimento de inteligência de ameaças e que extraia dados de uma ampla gama de fontes independentes.

5. Como resolvo problemas com falsos positivos?

Se um domínio crucial para os negócios estiver sendo redirecionado/bloqueado, você precisa ter certeza de que pode abrir uma exceção à decisão da política do seu DNS Firewall para que sua empresa possa continuar operando sem interrupções.

• Equipamento e software de código aberto in loco: existe flexibilidade para adicionar o domínio a uma lista de permissões privada para permitir acesso instantâneo ao domínio bloqueado?
• Serviços em nuvem: verifique os acordos de nível de serviço (SLAs) para resposta e tempos de ação em relação à lista de permissões e/ou remoção de domínios bloqueados que são cruciais para você. Assegure-se de que eles sejam aceitáveis ​​para suas necessidades empresariais.

6. Com que frequência seus dados são atualizados?

A inteligência de ameaças oportuna é fundamental para combater atividades de cibercriminosos em sua rede. De acordo com uma pesquisa do Ponemon Institute, 37% dos invasores desistem se não conseguem gerar valor após um período de 10 horas.

Com isso em mente, garanta a entrega mais constante possível dos dados que protegem você: uma atualização que só ocorre a cada hora pode falhar na proteção contra o dano potencial que um malware pode causar em seu lançamento inicial.

7. Os dispositivos infectados podem ser facilmente rastreados em minha rede?

Embora possa controlar a maior parte do que acontece em sua rede, você não pode controlar o que acontece dentro do(s) ambiente(s) do seu cliente ou quando os dispositivos dos funcionários saem da área da empresa, como, por exemplo, em trabalhos realizados no escritório de um cliente ou de casa.

As listagens de comando e controle de botnet (botnet CC) aumentaram em impressionantes 32% em 2017 (leia o Relatório de ameaças de botnet na íntegra). Dado o aumento das ameaças nessa área, é essencial poder rastrear todos os dispositivos infectados em sua rede, a fim de permitir que você tome medidas rápidas e eficazes.

Defina com seu provedor de DNS Firewall como a tentativa de acesso a fontes maliciosas pode ser detectada usando DNS Firewalls em sua rede. Lembre-se de verificar se há necessidade de instalar agentes/software adicionais, o que resultaria em custos e complexidade extras.

8. Como e quando serei notificado sobre problemas em minha rede?

Ter “controle” é fundamental para a maioria das equipes de segurança de TI. Quanto mais cedo uma ameaça for sinalizada, mais cedo poderá ocorrer a remediação relevante, seja para seu cliente, se você for um provedor de serviços de internet (ISP) ou provedor de hospedagem, ou para seu funcionário, se você fizer negócios corporativos.

• Equipamento e software de código aberto in loco: determine se você tem a capacidade de configurar seus próprios logs para ter ciência imediata de um bloqueio/redirecionamento ou do recebimento de uma notificação caso haja um cliente infectado em sua rede. Isso lhe permitirá tomar medidas sem delongas.
• Serviço em nuvem: defina se os relatórios específicos de sua rede são enviados em tempo real. Considere o impacto sobre seus negócios se você tivesse de esperar para receber informações sobre um redirecionamento ou um computador infectado por botnet.

9. Como é a estabilidade do serviço?

Software de código aberto in loco: verifique se algum provedor de feeds de ameaças tem vários pontos de acesso aos próprios dados. Isso garantirá que, mesmo se houver um problema com alguns dos servidores, você continuará recebendo o serviço de um dos locais alternativos.

• Equipamento in loco: se estiver usando um equipamento, você precisa ter certeza de que seu DNS ainda funcionará, mesmo sem o DNS Firewall, se a solução falhar.
• Serviço em nuvem: garanta planos de contingência em relação à falha do serviço, pois isso pode significar a perda de todo o acesso às conexões DNS, prejudicando sua empresa. Obtenha uma compreensão clara de seus SLAs e se eles sempre foram cumpridos.

10. Posso redigir minhas próprias páginas de redirecionamento?

Por que isso é importante? Bem, porque é uma oportunidade de transformar algo negativo, como um crime cibernético, em um momento de aprendizado para o usuário final.

Uma mensagem genérica só informa que ocorreu um bloqueio/redirecionamento:

A página Web solicitada foi bloqueada

No entanto, uma página de destino cuidadosamente elaborada, que explica ao usuário final “por que” ele foi bloqueado e “como” ele pode se proteger no futuro, contribuirá positivamente para aumentar a segurança contínua de sua rede. Para mais informações e exemplos de páginas de destino “didáticas”, clique aqui.

Boa sorte!

Com um crescimento tão exponencial no mercado de DNS Firewall nos últimos anos, há muitas opções disponíveis. Basta (!) parar para compreender suas necessidades empresariais e pesquisar cuidadosamente a opção que as atende.