DNS как ранний рубеж Zero Trust: что видит CISO до сетевой сессии

DNS как ранний рубеж Zero Trust: что видит CISO до сетевой сессии

Большинство средств защиты видят событие уже после того, как устройство начало взаимодействовать с внешним ресурсом. В то время как межсетевой экран фиксирует соединение, прокси анализирует веб-трафик. EDR же смотрит на процессы, файлы и поведение конечной точки, а NDR ищет аномалии в сетевом обмене.

В этой цепочке DNS появляется раньше. До TCP-сессии, загрузки страницы, передачи файла или обращения к управляющему серверу устройство сначала спрашивает, куда ему идти. Оно отправляет DNS-запрос и пытается получить IP-адрес нужного домена.

В этот момент еще не началась полноценная коммуникация, но намерение уже видно. Рабочая станция, сервер, мобильное устройство или IoT-камера запросили конкретный домен. Для CISO это важный сигнал: организация может оценить риск до того, как соединение состоится.

Поэтому DNS стоит рассматривать не только как инфраструктурный сервис и не только как механизм ограничения доступа к нежелательным ресурсам. В архитектуре Zero Trust DNS может стать ранней точкой проверки: местом, где риск оценивается еще до сетевой сессии.

Что такое Zero Trust

Zero Trust — это подход к построению безопасности, в котором доверие не выдается автоматически только потому, что пользователь уже вошел в систему, устройство находится внутри корпоративной сети или приложение раньше считалось разрешенным.

В классической периметровой модели организация часто делила мир на «внутри» и «снаружи»: внутри сети условно доверенная зона, снаружи — недоверенная. В современных инфраструктурах такая граница размыта. Сотрудники работают удаленно, сервисы находятся в облаке, филиалы подключаются напрямую к интернету, часть устройств нельзя полноценно покрыть агентами, а атаки часто начинаются с легитимной учетной записи или доверенного устройства.

Zero Trust исходит из другого принципа: каждое взаимодействие нужно проверять с учетом контекста и риска. Важны не только логин и пароль, но и состояние устройства, роль пользователя, критичность ресурса, сегмент сети, обычное поведение актива и направление обращения.

На практике Zero Trust обычно связывают с многофакторной аутентификацией, контролем доступа, микросегментацией, проверкой состояния устройств и принципом минимальных привилегий. Все это действительно важно. Но сама логика Zero Trust шире: нельзя считать безопасным каждое последующее действие только потому, что первый этап доступа прошел успешно.

Легитимный пользователь может перейти по фишинговой ссылке. Доверенный сервер может быть скомпрометирован. Разрешенное приложение может обратиться к новому домену, который используется для доставки вредоносной нагрузки. IoT-устройство, однажды допущенное в сеть, может начать связываться с инфраструктурой ботнета.

DNS добавляет к Zero Trust проверку на самом раннем этапе: еще до соединения организация может оценить, куда устройство собирается обратиться и насколько это направление соответствует его роли, сегменту и обычному поведению.

Что происходит до сетевой сессии

Типовая цепочка внешнего обращения выглядит просто: DNS-запрос, получение IP-адреса, установка соединения, обмен данными, выполнение действия.

Если пользователь открывает фишинговую ссылку, сначала устройство запрашивает домен. Если вредоносная программа пытается связаться с управляющим сервером, ей также часто нужно разрешить доменное имя. Если злоумышленник использует динамически создаваемые домены, каждый новый адрес оставляет след в DNS-трафике. Если данные выводятся через DNS-туннель, подозрительная активность проявляется в структуре и частоте запросов.

DNS не видит всю атаку. Он видит первый поворот в ее сторону: попытку найти домен, через который дальше может начаться фишинг, загрузка вредоносного кода, C2-связь или вывод данных.

Для бизнеса разница между «не дать установить соединение» и «обнаружить последствия после запуска вредоносного кода» может измеряться временем простоя, объемом утекших данных и стоимостью расследования.

Какие риски проявляются на уровне DNS

Фишинг и подмена доменов

Фишинговые страницы часто размещаются на доменах, похожих на адреса известных компаний. Злоумышленники используют опечатки, дополнительные символы, непривычные доменные зоны или короткоживущие домены, которые активируются уже после доставки письма.

Почтовая защита может не распознать ссылку в момент доставки. Страница может открываться только для определенных пользователей или регионов. Но при переходе устройство все равно выполнит DNS-запрос.

На этом этапе можно проверить репутацию домена, его категорию, возраст, сходство с известными брендами и другие признаки риска. Если домен уже признан опасным или обладает набором подозрительных характеристик, обращение можно остановить до загрузки страницы.

Это снижает зависимость от внимательности пользователя. Обучение сотрудников остается необходимым, но технический контроль не должен строиться на предположении, что человек никогда не ошибется.

Вредоносные программы и C2-коммуникации

После заражения устройству часто нужно получить команды, передать информацию о системе или загрузить дополнительные модули. Для этого вредоносное ПО связывается с C2-инфраструктурой.

Если используются доменные имена, такая активность появляется в DNS. Повторяющиеся обращения к известным управляющим доменам, нетипичная периодичность запросов, редкие адреса и домены с низкой распространенностью могут указывать на компрометацию.

Особенно важно, что DNS-сигнал может появиться даже тогда, когда последующая сессия зашифрована. Содержимое соединения может быть недоступно для анализа, но сам факт попытки обратиться к определенному домену остается значимым.

DGA-домены

Алгоритмы генерации доменов позволяют вредоносной программе создавать множество потенциальных адресов управляющих серверов. Злоумышленнику достаточно зарегистрировать небольшую часть из них, чтобы сохранить возможность связи с зараженными устройствами.

В DNS-трафике DGA часто выглядит как серия обращений к доменам со случайными или алгоритмически сформированными именами, высокая доля несуществующих адресов и нетипичные последовательности запросов.

Здесь обычной проверки по списку уже известных вредоносных доменов может быть недостаточно. Нужна поведенческая аналитика: структура имен, частота обращений, доля ошибок, контекст активности и связь с конкретным устройством.

Для CISO обнаружение DGA важно не только как способ остановить обращение к отдельному домену. Это может быть признаком того, что внутри инфраструктуры уже работает вредоносная программа и нужно начинать расследование.

Новые и малоизвестные домены

Новый домен не обязательно вредоносный. Компании запускают сайты, партнеры создают сервисы, разработчики разворачивают тестовую инфраструктуру. Но злоумышленники также регулярно используют недавно зарегистрированные домены для фишинга, доставки вредоносного ПО и управления атаками.

Проблема в том, что у таких доменов еще может не быть отрицательной репутации. Они не успели попасть в классические списки компрометации, хотя уже используются в атаке.

В риск-ориентированной модели возраст домена стоит учитывать как один из факторов, а не как единственное основание для запрета. Для критичных сегментов политика может быть строже, чем для обычных пользовательских рабочих мест. Это соответствует логике Zero Trust: решение принимается по совокупности контекста.

DNS-туннелирование и эксфильтрация

DNS может использоваться не только для поиска IP-адресов, но и как канал передачи данных. Информация кодируется в поддоменах или ответах, после чего передается через разрешенный DNS-трафик.

Такой канал может применяться для удаленного управления, обхода сетевых ограничений и вывода данных за пределы организации. Признаками DNS-туннелирования могут быть необычно длинные доменные имена, высокая энтропия, большое число уникальных поддоменов, нетипичные типы запросов и регулярный обмен с одним доменом.

Этот риск особенно важен потому, что DNS во многих организациях воспринимается как служебный и безопасный по умолчанию трафик. В результате он может контролироваться слабее, чем веб, почта или файловый обмен.

Что получает CISO

Более раннее обнаружение

DNS позволяет заметить намерение установить соединение до начала самой сессии. Это сокращает путь от первого подозрительного действия до обнаружения. Чем раньше появляется сигнал, тем выше вероятность остановить атаку до загрузки вредоносного файла, закрепления в системе или передачи данных.

Снижение поверхности атаки

DNS-политики позволяют ограничивать доступ не только к уже известным вредоносным ресурсам, но и к категориям повышенного риска: новым доменам, динамическим DNS-сервисам, запаркованным адресам, анонимайзерам и другим ресурсам, которые не нужны конкретным группам пользователей или сегментам.

Речь не о тотальном запрете. В Zero Trust политика должна учитывать роль пользователя, тип устройства, критичность сегмента и бизнес-задачу. То, что допустимо для исследовательской команды, может быть неприемлемо для серверов управления производственным процессом.

Видимость вне традиционного периметра

Удаленные сотрудники, филиалы, мобильные устройства и облачные рабочие нагрузки не всегда находятся за корпоративным межсетевым экраном. Если DNS-запросы направляются через контролируемую инфраструктуру, организация сохраняет единые политики и наблюдаемость независимо от физического местоположения устройства.

Это особенно важно для распределенной инфраструктуры, где понятие единого сетевого периметра давно потеряло прежнее значение.

Контекст для расследований

Сам факт предотвращенного обращения еще не объясняет, что произошло. Для расследования нужно понимать, какое устройство отправило запрос, какой пользователь был с ним связан, к какому сегменту относится актив, когда началась активность, были ли повторные обращения и что в это же время зафиксировали EDR, NGFW, прокси и SIEM.

Когда DNS-события передаются в SIEM и связываются с данными других средств защиты, они становятся частью полноценной картины инцидента. Для CISO это не еще один изолированный журнал, а дополнительный источник данных для приоритизации и реагирования.

Контроль соблюдения политик

DNS-трафик показывает не только атаки, но и отклонения от утвержденной архитектуры. Например, устройство использует публичный резолвер, приложение самостоятельно обращается к DNS-over-HTTPS, сервер разрешает имена через неутвержденную инфраструктуру, а филиал не передает события в центральную систему мониторинга.

Такие ситуации создают слепые зоны. Формально средства защиты развернуты, но часть запросов проходит вне контроля. Для CISO это вопрос не только технической настройки, но и реальной исполнимости политики безопасности.

Как перейти от отдельных срабатываний к управляемому DNS-контролю

Для команды ИБ ценность DNS-уровня раскрывается не только в самом факте предотвращенного обращения. Важно, чтобы каждое значимое событие помогало понять контекст: какой актив сделал запрос, к какому типу риска относится домен, насколько критичен сегмент и требуется ли дальнейшая проверка.

Один переход на фишинговый домен и регулярные обращения серверного сегмента к DGA-доменам требуют разного уровня внимания. Массовые срабатывания по низкорисковым категориям и единичная попытка связи с C2-инфраструктурой с привилегированной рабочей станции также должны по-разному приоритизироваться. Поэтому зрелый DNS-контроль работает не как счетчик событий, а как источник контекста для принятия решений.

Зрелый DNS-контроль должен решать несколько задач одновременно:

предотвращать соединение с известными и выявленными опасными ресурсами;

выявлять подозрительные паттерны, которые не сводятся к проверке домена по готовому списку;

объяснять, почему событие признано рискованным и с каким активом оно связано;

передавать контекст в SIEM, SOC, EDR, каталог пользователей и системы инвентаризации;

поддерживать расследование: хранить историю запросов и помогать находить связанные устройства, домены и временные интервалы.

Так DNS-уровень становится не просто набором технических срабатываний, а управляемым источником данных для предотвращения, приоритизации и расследования.

Как встроить DNS в архитектуру Zero Trust

Централизовать DNS-запросы

Первое условие — контролируемость. Организация должна понимать, через какие резолверы проходят запросы рабочих станций, серверов, филиалов, удаленных сотрудников, IoT и облачных ресурсов.

Прямые обращения к публичным DNS-сервисам нужно ограничивать или явно контролировать. Иначе часть активности останется вне корпоративных политик и журналирования.

Учитывать идентичность и тип актива

Одинаковая политика для всех устройств плохо сочетается с риск-ориентированным подходом. DNS-запрос от компьютера разработчика, кассового терминала, контроллера промышленной сети и доменного контроллера должен оцениваться по-разному.

Критичным серверам может быть разрешен минимальный перечень внешних направлений. Пользовательским устройствам потребуется более широкая политика. Для гостевой сети правила могут строиться преимущественно вокруг защиты от известных угроз и ограничения нежелательного контента.

Контролировать шифрованный DNS

DoH и DoT повышают конфиденциальность DNS-запросов, но при неконтролируемом использовании могут снижать видимость корпоративной команды ИБ. Проблема не в самом шифровании, а в обходе утвержденной инфраструктуры.

Если браузер, приложение или вредоносная программа использует внешний DoH-сервис, корпоративные политики могут не применяться. Поэтому CISO важно определить, какие варианты шифрованного DNS разрешены, через какие резолверы должен идти трафик и как выявляются попытки обхода.

Интегрировать DNS с другими источниками

DNS не заменяет EDR, NDR, NGFW, прокси или SIEM. Его ценность раскрывается именно в сочетании с ними.

DNS показывает, куда устройство собиралось обратиться. EDR помогает понять, какой процесс инициировал активность. Межсетевой экран подтверждает, состоялось ли соединение. SIEM связывает события во времени. Система управления активами показывает критичность устройства.

Настроить сценарии реагирования

Предотвращение обращения к опасному домену не всегда означает, что инцидент завершен. Если устройство попыталось обратиться к C2, нужно понять, почему это произошло.

Для наиболее критичных событий стоит заранее определить сценарии реагирования:

изоляция устройства;

проверка средствами EDR;

поиск аналогичных запросов в инфраструктуре;

ограничение связанных доменов и индикаторов;

проверка учетной записи пользователя;

анализ событий до и после DNS-запроса;

эскалация в SOC или группу реагирования.

Цель не в том, чтобы вручную разбирать каждое срабатывание. Цель — отличать предотвращенный переход от признака уже состоявшейся компрометации.

Вопросы, которые CISO стоит задать команде

Оценить зрелость DNS-защиты можно через несколько практических вопросов.

Все ли корпоративные DNS-запросы проходят через контролируемые резолверы?

Видит ли команда DNS-запросы удаленных пользователей, филиалов, серверов, облачных нагрузок и IoT?

Можно ли связать DNS-запрос с конкретным устройством, пользователем и сегментом?

Контролируется ли использование публичных DNS-сервисов, DoH и DoT?

Отличаются ли политики для критичных серверов, пользовательских рабочих мест, гостевых сетей и специальных сегментов?

Попадают ли DNS-события в SIEM или SOC-процессы?

Есть ли приоритизация событий по типу угрозы и критичности актива?

Может ли аналитик быстро увидеть историю обращений устройства?

Есть ли отдельные сценарии реагирования для C2, DGA и DNS-туннелирования?

Проверяется ли конечная точка после подозрительного DNS-запроса?

Ответы на эти вопросы показывают, является ли DNS частью управляемой архитектуры безопасности или остается техническим сервисом, о котором вспоминают только при сбоях.

DNS переносит логику Zero Trust на самый ранний этап коммуникации

Zero Trust — это не отдельный продукт, а архитектурный подход. Его смысл в том, чтобы постоянно проверять доступ и взаимодействия с учетом идентичности, состояния устройства, контекста и риска.

DNS позволяет применить эту логику раньше, чем многие другие средства контроля. До сетевой сессии организация уже может увидеть, что устройство пытается обратиться к подозрительному, новому или запрещенному домену. Она может сопоставить запрос с активом, применить политику и предотвратить рискованную коммуникацию до того, как начнется обмен данными.

Главная ценность DNS для CISO шире, чем само предотвращение отдельных обращений. DNS помогает раньше увидеть изменение поведения инфраструктуры: зараженное устройство ищет управляющий сервер, приложение обходит корпоративный резолвер, сервер обращается к нетипичному домену, а внутри сети появляется канал, который может использоваться для передачи данных.

В Zero Trust важно проверять не только того, кто запрашивает доступ, но и направление каждого взаимодействия. DNS позволяет сделать эту проверку еще до соединения.

Что важно запомнить

DNS — один из первых наблюдаемых этапов внешней коммуникации. На нем уже проявляется намерение устройства обратиться к определенному ресурсу, хотя полноценная сетевая сессия еще не началась.

Для CISO это означает дополнительное время на предотвращение, обнаружение и реагирование. DNS помогает ограничивать опасные направления, находить признаки C2, DGA и туннелирования, выявлять обход политик и сохранять видимость распределенной инфраструктуры.

Зрелый подход не ограничивается списками запрещенных доменов. DNS должен быть связан с идентичностью пользователя, типом устройства, критичностью сегмента и данными других средств защиты.

В этом случае DNS становится не вспомогательным сетевым сервисом, а ранним рубежом Zero Trust: уровнем, на котором организация проверяет риск еще до того, как устройство установит соединение.

SkyDNS
Автор: SkyDNS
SkyDNS — российский разработчик решений превентивного кибербеза. Компания защищает бизнес от сложных атак на уровне DNS — векторе, который часто остаётся незамеченным традиционными средствами ИБ. Решение блокирует вредоносный трафик, фишинг, DGA-активность, а также DNS-туннели и попытки заражённых устройств связаться с C&C-серверами и ботнетами. В основе решения — собственные ML-алгоритмы и анализ больших данных, которые позволяют мгновенно реагировать на угрозы и дают полную картину безопасности корпоративной сети. Система предотвращает утечки данных и автоматически мониторит трафик всех подключённых устройств, включая IoT и BYOD, без участия ИБ-отдела. Миссия SkyDNS — показать, что эшелонированная защита начинается с DNS.
Комментарии: