11 aprile 2022
Di Jeff Ebeling - CISSP, CCSP Advanced Technology Specialist, Skyhigh Security
L'uso dell'"età del dominio" è una caratteristica promossa da diversi fornitori di firewall e sicurezza web come metodo per proteggere gli utenti e i sistemi dall'accesso a destinazioni Internet dannose. Il concetto è quello di utilizzare l'età del dominio come parametro generico di filtraggio del traffico. L'idea è che gli host associati a domini appena registrati debbano essere completamente bloccati, isolati o trattati con grande sospetto. Questo blog descriverà cos'è l'età del dominio, come vengono creati e registrati i domini, il valore dell'età del dominio e come l'età del dominio può essere utilizzata in modo più efficace come complemento ad altri strumenti di sicurezza web.
Età del dominio Definizione della caratteristica
I siti e i domini di Internet cambiano ed evolvono costantemente. Secondo Verisign, nel terzo trimestre del 2021 sono stati registrati in media oltre 40.000 nuovi domini .net e .com al giorno. https://www.verisign.com/en_US/domain-names/dnib/index.xhtml Se il dominio di un host di destinazione è noto, il dominio ha una data di registrazione disponibile per la ricerca da varie fonti. L'età del dominio è un semplice calcolo del tempo trascorso tra la registrazione iniziale del dominio e la data attuale.
Una funzione di età del dominio è progettata per l'uso nel controllo dei criteri, dove un amministratore può impostare un'età minima del dominio che dovrebbe essere necessaria per consentire l'accesso a una determinata destinazione Internet. L'idea è che, poiché i domini sono così facili ed economici da creare, i nuovi domini dovrebbero essere trattati con grande attenzione, se non addirittura bloccati. Purtroppo, nella maggior parte dei protocolli e delle implementazioni, la selezione della politica sull'età del dominio è una decisione binaria di consentire o bloccare. Questo non è molto utile quando le destinazioni finali sono host, sottodomini e indirizzi di destinazione che possono essere rapidamente attivati, modificati e disattivati senza mai cambiare l'età del dominio. Di conseguenza, le decisioni binarie sulla sicurezza, basate esclusivamente sul nome di dominio o sull'età del dominio, daranno naturalmente luogo a falsi positivi e falsi negativi, dannosi per la sicurezza, l'esperienza dell'utente e la produttività.
Registrazione del dominio
IANA (Internet Assigned Numbers Authority) è il dipartimento di ICANN (Internet Corporation for Assigned Names and Numbers) responsabile della gestione dei registri di, parametri di protocollo, nomi di dominio, indirizzi IP e numeri di sistema autonomo. IANA gestisce la zona radice del DNS (Domain Name System) e i TLD (domini di primo livello come .com, .org, .edu, ecc.) e le società di registrazione sono responsabili della collaborazione con il Registro Internet e IANA per registrare i singoli sottodomini all'interno dei domini di primo livello.
I dettagli del processo di registrazione e le definizioni sono disponibili sul sito IANA (iana.org). Ulteriori dettagli sono disponibili qui: https://whois.icann.org/en/domain-name-registration-process Questo sito include la seguente dichiarazione:
"In alcuni casi, una persona o un'organizzazione che non desidera che le proprie informazioni siano elencate nel WHOIS può stipulare un contratto con un fornitore di servizi proxy per registrare i nomi di dominio per suo conto. In questo caso, il fornitore di servizi è il registrante del nome di dominio, non il cliente finale".
Ciò significa che i fornitori di servizi e i clienti finali sono liberi di registrare un dominio una volta e di riutilizzarlo, riassegnarlo o venderlo senza cambiare la data di registrazione o modificare qualsiasi altra informazione di registrazione. Le società di registrazione possono mettere all'asta gli indirizzi, e lo fanno, creando un vasto mercato per gli "abusivi e i troll" del dominio. Un malintenzionato può acquistare a basso costo un dominio consolidato di un'azienda defunta o registrare un dominio completamente nuovo e legittimo e lasciarlo inutilizzato per settimane, mesi o anni. Ad esempio, al momento in cui scriviamo, airnigeria.com è in vendita su godaddy.com per soli 65 dollari USA. Il dominio airnigeria.com è stato originariamente registrato nel 2003. IANA e le società di registrazione non hanno alcuna responsabilità o controllo sull'utilizzo dei domini.
Determinare l'età del dominio
L'età del dominio è determinata dal record del dominio nel Registro Internet gestito dall'operatore del Registro per un TLD. In definitiva, la società di registrazione è responsabile della creazione della registrazione di un dominio e dell'aggiornamento dei relativi dati. Il record nel registro avrà una data di creazione originale, ma tale data non cambia a meno che la registrazione di un dominio specifico non scada e il nome di dominio venga registrato nuovamente. Per questo motivo, l'età del dominio è una misura estremamente imprecisa di quando una destinazione individuale è diventata attiva.
E se al momento della decisione di filtraggio si conosce solo l'indirizzo IP di destinazione? Questo potrebbe essere il caso di filtrare il primo pacchetto inviato a una destinazione specifica (TCP SYN o il primo pacchetto UDP di qualche altro protocollo di rete o di trasporto). Un modo per ottenere il dominio della destinazione sarebbe una ricerca DNS inversa, ma il dominio dell'host potrebbe non corrispondere al dominio che è stato originariamente inviato per la risoluzione, quindi che valore ha l'età del dominio?
Ad esempio, www.skyhighsecurity.com può attualmente risolvere a 34.111.16.149 che inverte la risoluzione a 149.16.111.34.bc.googleusercontent.com. Mentre il dominio skyhighsecurity.com è stato registrato il 2018-12-14, googleusercontent.com è stato registrato il 2010-09-14. Entrambi sono domini consolidati da tempo. Sebbene questa destinazione si trovi nel dominio skyhighsecurity.com, ben consolidato, e sia ospitata sul dominio googlecontent.com, ben consolidato, questo non fornisce alcuna indicazione su quando la destinazione www.skyhighsecurity.com, o 34.111.16.149, sia diventata attiva, o sul rischio di comunicare con questo indirizzo IP. L'età del dominio diventa ancora meno utile quando consideriamo le destinazioni ospitate nel cloud pubblico (IaaS e SaaS) utilizzando i domini dei fornitori.
L'ottenimento di un dominio sbagliato e quindi di un'età del dominio sbagliata dal reverse lookup potrebbe essere in qualche modo mitigato tracciando le query DNS del cliente e cercando di mappare quei domini all'IP di destinazione richiesto. Tuttavia, questa operazione dipende anche dalla piena visibilità di tutte le richieste DNS del cliente e presuppone che l'indirizzo IP di destinazione sia stato determinato utilizzando il DNS standard o dal sistema che fornisce il filtro dell'età del dominio.
Le sfide dell'utilizzo dell'età del dominio come criterio di filtro generico
Anche se è possibile stabilire il dominio corretto per la trasmissione e recuperare con precisione l'età del dominio, ci sono ancora dei problemi da considerare.
Le società di registrazione sono libere di mantenere, modificare e riassegnare domini consolidati a qualsiasi cliente, e i rivenditori possono fare lo stesso. Ciò riduce notevolmente l'utilità dell'età del dominio come parametro di filtraggio a sé stante, perché un attore malintenzionato può facilmente acquisire un dominio esistente ben consolidato con una reputazione neutra o addirittura positiva. Un attore malintenzionato può anche registrare un nuovo dominio molto prima che venga utilizzato come dominio di comando e controllo o di attacco.
I siti legittimi e perfettamente sicuri vengono costantemente registrati e stabiliti, in molti casi a pochi giorni o addirittura a poche ore dalla loro messa in uso. Quando si utilizza l'età del dominio come criterio di filtro, ci sarà sempre un compromesso tra alti tassi di falsi positivi e alti tassi di falsi negativi.
Va inoltre notato che l'età del dominio fornisce poco valore rispetto al momento in cui è stato creato un singolo record di hostname all'interno di un dominio. I domini stabiliti possono avere un numero quasi infinito di sottodomini e di host individuali all'interno di questi domini, e non c'è modo di determinare con precisione l'età dell'hostname o anche quando il nome è stato associato a un IP attivo. Tutto ciò che si può determinare è che l'hostname di destinazione fa parte di un dominio registrato in una data precedente.
La conclusione è che l'età del dominio non è abbastanza granulare o sostanziale per prendere una decisione di filtraggio utile da sola. Tuttavia, l'età del dominio potrebbe fornire un valore di sicurezza limitato in totale assenza di criteri più specifici, a condizione che il tasso di falsi positivi e falsi negativi associato alla soglia di ricorrenza selezionata possa essere tollerato. L'età del dominio può fornire un valore supplementare se combinata con altri criteri di filtro più definitivi, ad esempio il protocollo, il tipo di contenuto, la categoria dell'host, la reputazione dell'host, l'host visto per la prima volta, la frequenza di accesso dell'host, gli attributi del servizio web e altri.
L'età del dominio nel contesto del filtraggio HTTP/S e basato su proxy.
Criteri più specifici sono sempre disponibili quando è in uso il protocollo HTTP. Il filtraggio HTTP e HTTPS è gestito in modo più efficace tramite proxy esplicito o trasparente. Se il protocollo viene rispettato (applicato dal dispositivo o dal servizio), le informazioni non possono essere trasferite e non è possibile avviare una compromissione o un attacco, se non dopo la creazione della connessione TCP.
Dato che il traffico viene proxato e l'HTTPS può essere decifrato, i nomi di dominio pienamente qualificati (FQDN) accurati per l'host, il percorso dell'URL e i parametri dell'URL possono essere identificati e verificati dal proxy per essere utilizzati nelle decisioni di filtraggio. La possibilità di ricercare informazioni sull'FQDN, sul percorso URL completo e sui parametri URL fornisce informazioni molto più preziose relative alla storia, al livello di rischio e all'utilizzo del sito, della destinazione e del servizio specifico, indipendentemente dal dominio o dalla data di registrazione del dominio. Tali dati contestuali possono essere ulteriormente migliorati quando il proxy associa la richiesta a un servizio specifico e ai suoi attributi di sicurezza dei dati (come il tipo di servizio, la proprietà intellettuale, la storia delle violazioni, ecc.)
I fornitori di web proxy leader del settore gestiscono database ampi e completi dei siti, domini, applicazioni, servizi e URL più frequentemente utilizzati. I database Global Threat Intelligence e Cloud Registry utilizzati da Skyhigh Security associano i siti, i domini e gli URL alla geolocalizzazione, alla categoria, al servizio, agli attributi del servizio, alle applicazioni, alla reputazione dei rischi dei dati, alla reputazione delle minacce e altro ancora. Come vantaggio secondario, la mancanza di una voce nei database per un host, un dominio, un servizio o un URL specifico è un'indicazione estremamente forte e molto più accurata del fatto che il sito è di recente costituzione o poco utilizzato e quindi non dovrebbe essere intrinsecamente affidabile. Tali siti dovrebbero essere trattati con cautela e bloccati o allenati o isolati (queste ultime due opzioni sono disponibili solo con HTTP/S proxy) in base a questi criteri, indipendentemente dall'età del dominio.
Skyhigh Security Secure Service Edge (SSE) offre tutte le funzionalità di cui sopra e include remote browser isolation (RBI) per i siti non classificati, non verificati e altrimenti rischiosi. Questo elimina virtualmente i rischi dei browser o di altre applicazioni che accedono a siti non classificati, senza aggiungere le complicazioni dei falsi positivi e dei falsi negativi di un filtro sull'età del dominio.
Quando si utilizza HTTP/S, l'età dell'hostname o anche la data del primo e/o dell'ultimo hostname visto potrebbero fornire un valore aggiuntivo, ma l'età del dominio è praticamente inutile quando sono disponibili l'FQDN e informazioni più specifiche relative al sito o al servizio. La prassi migliore è bloccare, isolare o, come minimo, allenare i siti e i servizi non verificati, senza tenere conto dell'età del dominio. Consentire siti o servizi non verificati in base all'età del dominio aggiunge un rischio significativo di falsi negativi (siti e servizi rischiosi consentiti semplicemente perché il dominio non è stato registrato di recente). Bloccare genericamente siti e servizi basati solo sull'età del dominio porterebbe a bloccare eccessivamente siti che hanno una buona reputazione e che non dovrebbero essere bloccati.
Conclusione
L'età del dominio può essere in qualche modo utile per integrare le decisioni di filtraggio in situazioni in cui non sono disponibili altre informazioni più accurate e specifiche sulla destinazione di un pacchetto di rete. Quando si considera l'uso dell'età del dominio per il filtraggio HTTP/S, si tratta di un sostituto estremamente scarso di un database di servizi e di intelligence sulle minacce più completo. Se si decide di discostarsi dalla best practice e di consentire le connessioni HTTP/S a siti non verificati, senza isolamento, l'età del dominio può fornire un valore aggiuntivo limitato, bloccando i siti non verificati che si trovano in domini di recente registrazione. Ciò comporta un falso senso di sicurezza e un rischio molto più elevato di falsi negativi, rispetto alla best practice che consiste nell'utilizzare un'intelligence completa sulle minacce web, nell'eseguire un'analisi approfondita delle richieste e delle risposte e nel bloccare, isolare o allenare semplicemente i siti non verificati.
Per ulteriori informazioni sulle soluzioni olistiche ed efficaci di Skyhigh Securityper la protezione dei sistemi e dei dati, visiti la nostra landing page Security Service Edge .
Torna ai blog