11 April 2022
Oleh Jeff Ebeling - CISSP, CCSP Advanced Technology Specialist, Skyhigh Security
Penggunaan "usia domain" adalah fitur yang dipromosikan oleh berbagai vendor firewall dan keamanan web sebagai metode untuk melindungi pengguna dan sistem dari mengakses tujuan internet yang berbahaya. Konsepnya adalah menggunakan usia domain sebagai parameter penyaringan lalu lintas umum. Pemikirannya adalah bahwa host yang terkait dengan domain yang baru terdaftar harus diblokir sepenuhnya, diisolasi, atau diperlakukan dengan kecurigaan yang tinggi. Blog ini akan menjelaskan apa itu usia domain, bagaimana domain dibuat dan didaftarkan, nilai usia domain, dan bagaimana usia domain dapat digunakan secara efektif sebagai pelengkap alat keamanan web lainnya.
Definisi Fitur Usia Domain
Situs dan domain internet terus berubah dan berkembang. Hingga kuartal ketiga tahun 2021, rata-rata lebih dari 40.000 domain .net dan .com baru didaftarkan per hari menurut Verisign. https://www.verisign.com/en_US/domain-names/dnib/index.xhtml Jika domain host target diketahui, domain tersebut memiliki tanggal pendaftaran yang dapat dicari dari berbagai sumber. Usia domain adalah perhitungan sederhana dari waktu antara pendaftaran domain awal dan tanggal saat ini.
Fitur usia domain dirancang untuk digunakan dalam kontrol kebijakan, di mana administrator dapat menetapkan usia domain minimum yang diperlukan untuk mengizinkan akses ke tujuan internet tertentu. Idenya adalah karena domain sangat mudah dan murah untuk dibuat, domain baru harus diperlakukan dengan sangat hati-hati, jika tidak diblokir secara langsung. Sayangnya, pada sebagian besar protokol dan implementasi, pemilihan kebijakan usia domain adalah keputusan biner untuk mengizinkan atau memblokir. Hal ini tidak terlalu berguna ketika tujuan akhir adalah host, subdomain, dan alamat tujuan yang dapat dengan cepat diaktifkan, diubah, dan dinonaktifkan tanpa mengubah usia domain. Akibatnya, keputusan keamanan biner yang hanya didasarkan pada nama domain atau usia domain secara alami akan menghasilkan positif palsu dan negatif palsu yang merugikan keamanan, pengalaman pengguna, dan produktivitas.
Pendaftaran Domain
IANA (Internet Assigned Numbers Authority) adalah bagian dari ICANN (Internet Corporation for Assigned Names and Numbers) yang bertanggung jawab untuk mengelola pendaftar, parameter protokol, nama domain, alamat IP, dan Nomor Sistem Otonom. IANA mengelola zona root DNS (Domain Name System) dan TLD (Top Level Domain seperti .com, .org, .edu, dll.) dan pendaftar bertanggung jawab untuk bekerja sama dengan Internet Registry dan IANA untuk mendaftarkan subdomain individual dalam domain tingkat atas.
Rincian proses pendaftaran dan definisi dapat ditemukan di situs IANA (iana.org). Rincian tambahan dapat ditemukan di sini: https://whois.icann.org/en/domain-name-registration-process Lokasi ini menyertakan pernyataan berikut:
"Dalam beberapa kasus, seseorang atau organisasi yang tidak ingin informasinya terdaftar di WHOIS dapat mengontrak penyedia layanan proxy untuk mendaftarkan nama domain atas nama mereka. Dalam kasus ini, penyedia layanan adalah pendaftar nama domain, bukan pelanggan akhir."
Ini berarti bahwa penyedia layanan dan pelanggan bebas mendaftarkan domain satu kali dan menggunakan kembali, mengalihkan, atau menjual domain tersebut tanpa mengubah tanggal pendaftaran atau mengubah informasi pendaftaran lainnya. Registrar dapat dan memang melelang alamat sehingga menciptakan pasar yang luas untuk "penghuni liar dan troll" domain. Seorang penyerang dapat dengan murah membeli domain yang sudah mapan dari bisnis yang sudah tidak aktif atau mendaftarkan domain yang sama sekali baru dan membiarkannya tidak digunakan selama berminggu-minggu, berbulan-bulan, atau bertahun-tahun. Sebagai contoh, saat artikel ini ditulis, airnigeria.com dijual di godaddy.com dengan harga hanya $65 USD. Domain airnigeria.com awalnya didaftarkan pada tahun 2003. IANA dan pendaftar tidak memiliki tanggung jawab atau kendali atas penggunaan domain.
Menentukan Usia Domain
Usia domain ditentukan dari catatan domain di Internet Registry yang dikelola oleh operator registri untuk sebuah TLD. Pada akhirnya, pencatat bertanggung jawab atas pembentukan pendaftaran domain dan memperbarui data terkait. Catatan di registri akan memiliki tanggal pembuatan asli, namun tanggal tersebut tidak berubah kecuali jika pendaftaran untuk domain tertentu kedaluwarsa, dan nama domain didaftarkan ulang. Oleh karena itu, usia domain merupakan ukuran yang sangat tidak akurat untuk menentukan kapan suatu tujuan menjadi aktif.
Dan bagaimana jika hanya alamat IP tujuan yang diketahui pada saat keputusan penyaringan? Ini bisa menjadi kasus untuk memfilter paket pertama yang dikirim ke tujuan tertentu (TCP SYN atau paket UDP pertama dari beberapa jaringan atau protokol tingkat transport lainnya). Salah satu cara untuk mendapatkan domain untuk tujuan adalah dengan pencarian DNS terbalik, tetapi domain untuk host mungkin tidak sesuai dengan domain yang awalnya dikirimkan untuk resolusi, jadi berapa nilai usia domain di sana?
Sebagai contoh, www.skyhighsecurity.com saat ini dapat diselesaikan menjadi 34.111.16.149 yang kemudian dibalik menjadi 149.16.111.34.bc.googleusercontent.com. Sementara domain skyhighsecurity.com didaftarkan pada 2018-12-14, googleusercontent.com didaftarkan pada 2010-09-14. Keduanya adalah domain yang sudah lama berdiri. Meskipun tujuan ini berada dalam domain skyhighsecurity.com yang sudah mapan, dan di-host di domain googlecontent.com yang juga sudah mapan, hal ini tidak memberikan indikasi apa pun mengenai kapan tujuan www.skyhighsecurity.com, atau 34.111.16.149 mulai aktif, atau risiko berkomunikasi dengan alamat IP tersebut. Usia domain menjadi semakin tidak berguna ketika kita mempertimbangkan destinasi yang di-host di awan publik (IaaS dan SaaS) menggunakan domain penyedia.
Mendapatkan domain yang salah dan oleh karena itu usia domain yang salah dari pencarian terbalik dapat dikurangi dengan melacak permintaan DNS dari klien dan mencoba memetakan domain-domain tersebut kembali ke IP tujuan yang diminta. Namun, melakukan hal ini juga akan bergantung pada visibilitas penuh ke dalam semua permintaan DNS dari klien, dan mengasumsikan bahwa alamat IP tujuan ditentukan dengan menggunakan DNS standar atau oleh sistem yang menyediakan penyaringan usia domain.
Tantangan dalam Menggunakan Usia Domain sebagai Kriteria Filter Umum
Bahkan jika domain yang benar untuk transmisi dapat ditentukan, dan usia domain dapat diambil secara akurat, masih ada masalah yang harus dipertimbangkan.
Registrar bebas untuk mempertahankan, mengubah, dan menetapkan kembali domain yang sudah mapan kepada pelanggan mana pun, dan pengecer juga dapat melakukan hal yang sama. Hal ini sangat mengurangi kegunaan usia domain sebagai parameter penyaringan yang berdiri sendiri karena pelaku kejahatan dapat dengan mudah mendapatkan domain yang sudah mapan dengan reputasi netral atau bahkan positif. Aktor jahat juga dapat mendaftarkan domain baru jauh sebelum domain tersebut digunakan sebagai domain komando dan kontrol atau domain serangan.
Situs yang sah dan sangat aman terus didaftarkan dan dibuat dalam banyak kasus dalam hitungan hari atau bahkan beberapa jam setelah digunakan. Ketika menggunakan usia domain sebagai kriteria penyaringan, akan selalu ada tradeoff antara tingkat positif palsu yang tinggi dan negatif palsu yang tinggi.
Perlu juga dicatat bahwa usia domain tidak memberikan nilai yang berarti jika dibandingkan dengan kapan sebuah catatan nama host dibuat dalam sebuah domain. Domain yang sudah mapan dapat memiliki jumlah subdomain dan host individu yang hampir tak terbatas di dalam domain tersebut, dan tidak ada cara untuk menentukan usia nama host secara akurat atau bahkan kapan nama tersebut dikaitkan dengan IP aktif. Yang dapat ditentukan hanyalah bahwa nama host tujuan merupakan bagian dari domain yang telah didaftarkan pada tanggal yang lebih awal.
Intinya adalah bahwa usia domain tidak cukup terperinci atau substantif untuk membuat keputusan penyaringan yang berguna dengan sendirinya. Namun, usia domain dapat memberikan beberapa nilai keamanan yang terbatas tanpa adanya kriteria yang lebih spesifik, asalkan tingkat positif palsu dan tingkat negatif palsu yang terkait dengan ambang batas kedekatan yang dipilih dapat ditoleransi. Usia domain dapat memberikan nilai tambahan jika dikombinasikan dengan kriteria filter yang lebih definitif lainnya misalnya protokol, jenis konten, kategori host, reputasi host, host yang pertama kali dilihat, frekuensi akses host, atribut layanan web, dan lain-lain.
Usia Domain dalam Konteks Penyaringan Berbasis HTTP/S dan Proxy
Kriteria yang lebih spesifik selalu tersedia ketika protokol HTTP digunakan. Penyaringan HTTP dan HTTPS paling efektif ditangani melalui proksi eksplisit atau transparan. Jika protokol diikuti (ditegakkan oleh perangkat atau layanan), informasi tidak dapat ditransfer, dan kompromi atau serangan tidak dapat dimulai, hingga setelah pembentukan koneksi TCP.
Karena lalu lintas sedang diproksi, dan HTTPS dapat didekripsi, Nama Domain Berkualifikasi Penuh (FQDN) yang akurat untuk host, jalur URL, dan parameter URL dapat diidentifikasi dan diverifikasi oleh proksi untuk digunakan dalam pengambilan keputusan penyaringan. Kemampuan untuk mencari informasi pada FQDN, jalur URL lengkap, dan parameter URL memberikan informasi yang jauh lebih berharga relatif terhadap riwayat, tingkat risiko, dan penggunaan situs, tujuan, dan layanan tertentu yang tidak bergantung pada domain atau tanggal pendaftaran domain Data kontekstual semacam itu dapat ditingkatkan lebih lanjut saat proksi mengasosiasikan permintaan dengan layanan tertentu dan atribut keamanan datanya (seperti jenis layanan, kepemilikan kekayaan intelektual, riwayat pelanggaran, dll.).
Vendor proxy web terkemuka di industri ini memiliki basis data yang luas dan komprehensif untuk situs, domain, aplikasi, layanan, dan URL yang paling sering digunakan. Basis data Global Threat Intelligence dan Cloud Registry yang digunakan oleh Skyhigh Security mengaitkan situs, domain, dan URL dengan geolokasi, kategori, layanan, atribut layanan, aplikasi, reputasi risiko data, reputasi ancaman, dan banyak lagi. Sebagai manfaat sampingan, tidak adanya entri dalam basis data untuk host, domain, layanan, atau URL tertentu merupakan indikasi yang sangat kuat, dan jauh lebih akurat, bahwa situs tersebut baru saja dibuat atau jarang digunakan dan oleh karena itu tidak dapat dipercaya. Situs-situs seperti itu harus diperlakukan dengan hati-hati dan diblokir atau dibina atau diisolasi (dua opsi terakhir tersedia secara unik dengan HTTP/S yang diproksi) berdasarkan kriteria tersebut, tanpa memandang usia domain.
Skyhigh Security Secure Service Edge (SSE) menyediakan semua fungsionalitas di atas dan termasuk remote browser isolation (RBI) untuk situs yang tidak dikategorikan, tidak diverifikasi, dan berisiko. Hal ini secara virtual menghilangkan risiko browser atau aplikasi lain yang mengakses situs yang tidak dikategorikan, tanpa menambahkan komplikasi positif palsu dan negatif palsu dari filter usia domain.
Saat menggunakan HTTP/S, usia nama host, atau bahkan tanggal dilihatnya nama host pertama dan/atau terakhir dapat memberikan nilai tambahan, tetapi usia domain tidak terlalu berguna ketika FQDN dan informasi terkait situs atau layanan yang lebih spesifik tersedia. Praktik terbaik adalah memblokir, mengisolasi, atau setidaknya, membina situs dan layanan yang tidak terverifikasi tanpa memperhatikan usia domain. Mengizinkan situs atau layanan yang tidak terverifikasi berdasarkan usia domain akan menambah risiko negatif palsu yang signifikan (situs dan layanan berisiko diizinkan hanya karena domain tersebut belum lama didaftarkan). Memblokir situs dan layanan secara umum berdasarkan usia domain saja akan menyebabkan pemblokiran berlebihan terhadap situs yang telah memiliki reputasi baik dan seharusnya tidak diblokir.
Kesimpulan
Umur domain bisa berguna untuk melengkapi keputusan filter dalam situasi di mana tidak ada informasi lain yang lebih akurat dan spesifik yang tersedia tentang tujuan paket jaringan. Ketika mempertimbangkan penggunaan usia domain untuk penyaringan HTTP/S, ini adalah pengganti yang sangat buruk untuk intelijen ancaman dan basis data layanan yang lebih komprehensif. Jika keputusan dibuat untuk menyimpang dari praktik terbaik dan mengizinkan koneksi HTTP/S ke situs yang belum diverifikasi, tanpa isolasi, maka usia domain dapat memberikan nilai tambahan yang terbatas dengan memblokir situs yang belum diverifikasi yang berada di domain yang baru terdaftar. Hal ini mengorbankan rasa aman yang palsu dan risiko negatif palsu yang jauh lebih besar jika dibandingkan dengan praktik terbaik dalam menggunakan intelijen ancaman web yang komprehensif, melakukan analisis permintaan dan respons secara menyeluruh, dan hanya memblokir, mengisolasi, atau melatih situs yang tidak terverifikasi.
Untuk informasi lebih lanjut tentang solusi holistik dan efektif Skyhigh Securityuntuk perlindungan sistem dan data, silakan kunjungi laman Security Service Edge .
Kembali ke Blog