11 de abril de 2022
Por Jeff Ebeling - CISSP, CCSP Advanced Technology Specialist, Skyhigh Security
A utilização da "idade do domínio" é uma caraterística que está a ser promovida por vários fornecedores de firewall e de segurança Web como um método para proteger os utilizadores e os sistemas do acesso a destinos maliciosos na Internet. O conceito consiste em utilizar a idade do domínio como um parâmetro genérico de filtragem do tráfego. A ideia é que os anfitriões associados a domínios recentemente registados devem ser completamente bloqueados, isolados ou tratados com elevada suspeita. Este blogue descreverá o que é a idade do domínio, como os domínios são criados e registados, o valor da idade do domínio e como a idade do domínio pode ser utilizada de forma mais eficaz como complemento de outras ferramentas de segurança Web.
Domínio Idade Característica Definição
Os sítios e domínios da Internet estão em constante mudança e evolução. Durante o terceiro trimestre de 2021, foram registados, em média, mais de 40 000 novos domínios .net e .com por dia, de acordo com a Verisign. https://www.verisign.com/en_US/domain-names/dnib/index.xhtml Se o domínio de um anfitrião-alvo for conhecido, esse domínio tem uma data de registo disponível para pesquisa em várias fontes. A idade do domínio é um cálculo simples do tempo entre o registo inicial do domínio e a data atual.
Uma funcionalidade de idade de domínio foi concebida para utilização no controlo de políticas, em que um administrador pode definir uma idade mínima de domínio que deve ser necessária para permitir o acesso a um determinado destino da Internet. A ideia é que, uma vez que os domínios são tão fáceis e baratos de estabelecer, os novos domínios devem ser tratados com grande cuidado, se não forem mesmo bloqueados. Infelizmente, na maioria dos protocolos e implementações, a seleção da política de idade do domínio é uma decisão binária de permitir ou bloquear. Isto não é muito útil quando os destinos finais são hosts, subdomínios e endereços de destino que podem ser rapidamente activados, alterados e desactivados sem nunca alterar a idade do domínio. Consequentemente, as decisões de segurança binárias baseadas apenas no nome de domínio ou na idade do domínio resultarão naturalmente em falsos positivos e falsos negativos que são prejudiciais à segurança, à experiência do utilizador e à produtividade.
Registo de domínios
A IANA (Internet Assigned Numbers Authority) é o departamento da ICANN (Internet Corporation for Assigned Names and Numbers) responsável pela gestão dos registos de parâmetros de protocolo, nomes de domínio, endereços IP e números de sistemas autónomos. A IANA gere a zona de raiz do DNS (Sistema de Nomes de Domínio) e os TLD (Domínios de Topo, como .com, .org, .edu, etc.) e os agentes de registo são responsáveis por trabalhar com o Registo da Internet e a IANA para registar subdomínios individuais dentro dos domínios de topo.
Os detalhes do processo de registo e as definições podem ser encontrados no sítio da IANA (iana.org). Pode encontrar mais pormenores aqui: https://whois.icann.org/en/domain-name-registration-process Este local inclui a seguinte declaração:
"Em alguns casos, uma pessoa ou organização que não pretenda que as suas informações constem do WHOIS pode contratar um fornecedor de serviços proxy para registar nomes de domínio em seu nome. Neste caso, o prestador de serviços é o registador do nome de domínio e não o cliente final."
Isto significa que os fornecedores de serviços e os clientes finais são livres de registar um domínio uma vez e reutilizar, reatribuir ou vender esse domínio sem alterar a data de registo ou qualquer outra informação de registo. Os agentes de registo podem leiloar endereços e fazem-no, criando um vasto mercado para os "invasores e trolls" de domínios. Um atacante pode comprar a baixo custo um domínio estabelecido de uma empresa extinta ou registar um domínio legítimo completamente novo e deixá-lo sem uso durante semanas, meses ou anos. Por exemplo, no momento em que escrevo este artigo, o domínio airnigeria.com está à venda no godaddy.com por apenas 65 USD. O domínio airnigeria.com foi originalmente registado em 2003. A IANA e os agentes de registo não têm qualquer responsabilidade ou controlo sobre a utilização dos domínios.
Determinar a idade do domínio
A idade do domínio é determinada a partir do registo do domínio no Registo Internet gerido pelo operador de registo de um TLD. Em última análise, o agente de registo é responsável pelo estabelecimento de um registo de domínio e pela atualização dos dados relacionados. O registo no registo terá uma data de criação original, mas essa data não é alterada, a menos que o registo de um domínio específico expire e o nome de domínio seja novamente registado. Por este motivo, a idade do domínio é uma medida extremamente imprecisa de quando um destino individual se tornou ativo.
E se apenas o endereço IP de destino for conhecido no momento da decisão de filtragem? Este poderia ser o caso de filtrar o primeiro pacote enviado para um destino específico (TCP SYN ou primeiro pacote UDP de alguma outra rede ou protocolo de nível de transporte). Uma forma de obter o domínio para o destino seria uma pesquisa DNS inversa, mas o domínio para o anfitrião pode não corresponder ao domínio que foi originalmente submetido para resolução, pelo que qual o valor da idade do domínio?
Por exemplo, www.skyhighsecurity.com pode atualmente resolver para 34.111.16.149, que resolve inversamente para 149.16.111.34.bc.googleusercontent.com. Enquanto o domínio skyhighsecurity.com foi registado em 2018-12-14, googleusercontent.com foi registado em 2010-09-14. Ambos são domínios estabelecidos há muito tempo. Embora este destino esteja no domínio bem estabelecido skyhighsecurity.com e esteja alojado no domínio bem estabelecido googlecontent.com, isto não fornece qualquer indicação de quando o destino www.skyhighsecurity.com, ou 34.111.16.149, se tornou ativo, ou do risco de comunicar com esse endereço IP. A idade do domínio torna-se ainda menos útil quando consideramos os destinos alojados na nuvem pública (IaaS e SaaS) utilizando os domínios dos fornecedores.
A obtenção do domínio errado e, por conseguinte, da idade do domínio errada a partir da pesquisa inversa pode ser, de certa forma, atenuada através do rastreio das consultas DNS do cliente e da tentativa de mapear esses domínios de volta para o IP de destino solicitado. No entanto, isto também dependeria de ter total visibilidade de todos os pedidos de DNS do cliente e pressupõe que o endereço IP de destino foi determinado utilizando o DNS padrão ou pelo sistema que fornece a filtragem da idade do domínio.
Desafios com a utilização da idade do domínio como um critério de filtragem genérico
Mesmo que o domínio correto para a transmissão possa ser estabelecido e a idade do domínio possa ser recuperada com precisão, há ainda questões que devem ser consideradas.
Os agentes de registo são livres de manter, alterar e reatribuir domínios estabelecidos a qualquer cliente, e os revendedores podem fazer o mesmo. Isto diminui muito a utilidade da idade do domínio como parâmetro de filtragem autónomo, porque um agente malicioso pode facilmente adquirir um domínio existente bem estabelecido com uma reputação neutra ou mesmo positiva. Um agente malicioso pode também registar um novo domínio muito antes de este ser utilizado como domínio de comando e controlo ou de ataque.
Sítios legítimos e perfeitamente seguros estão constantemente a ser registados e estabelecidos, em muitos casos, poucos dias ou mesmo horas depois de serem utilizados. Ao utilizar a idade do domínio como critério de filtragem, haverá sempre um compromisso entre taxas elevadas de falsos positivos e de falsos negativos.
Também deve ser notado que a idade do domínio fornece pouco valor em relação a quando um registo de nome de anfitrião individual foi criado dentro de um domínio. Os domínios estabelecidos podem ter um número quase infinito de subdomínios e anfitriões individuais dentro desses domínios, e não há forma de determinar com precisão a idade do nome de anfitrião ou mesmo quando o nome foi associado a um IP ativo. Tudo o que pode ser determinado é que o nome de anfitrião de destino faz parte de um domínio que foi registado numa data anterior.
O resultado final é que a idade do domínio não é suficientemente granular ou substantiva para tomar uma decisão de filtragem útil por si só. No entanto, a idade do domínio pode fornecer algum valor de segurança limitado na ausência total de critérios mais específicos, desde que a taxa de falsos positivos e de falsos negativos associada ao limiar de recência selecionado possa ser tolerada. A idade do domínio pode fornecer um valor suplementar quando combinada com outros critérios de filtragem mais definitivos, por exemplo, protocolo, tipo de conteúdo, categoria do anfitrião, reputação do anfitrião, anfitrião visto pela primeira vez, frequência de acesso ao anfitrião, atributos do serviço Web e outros.
Idade do domínio no contexto de HTTP/S e filtragem baseada em proxy
Estão sempre disponíveis critérios mais específicos quando o protocolo HTTP está a ser utilizado. A filtragem HTTP e HTTPS é tratada de forma mais eficaz através de proxy explícito ou transparente. Se o protocolo for seguido (imposto pelo dispositivo ou serviço), as informações não podem ser transferidas e um compromisso ou ataque não pode ser iniciado, até depois do estabelecimento da ligação TCP.
Dado que o tráfego está a ser alvo de proxy e que o HTTPS pode ser desencriptado, os FQDNs (Fully Qualified Domain Names) precisos para o anfitrião, o caminho do URL e os parâmetros do URL podem ser identificados e verificados pelo proxy para utilização em decisões de filtragem. A capacidade de procurar informações sobre o FQDN, o caminho completo do URL e os parâmetros do URL fornece informações muito mais valiosas relativamente ao histórico, nível de risco e utilização do site, destino e serviço específicos, independentemente do domínio ou da data de registo do domínio.
Os fornecedores de proxy da Web líderes do setor mantêm bancos de dados extensos e abrangentes dos sites, domínios, aplicativos, serviços e URLs usados com mais frequência. As bases de dados do Global Threat Intelligence e do Cloud Registry utilizadas por Skyhigh Security associam sites, domínios e URLs com geolocalização, categoria, serviço, atributos de serviço, aplicações, reputações de risco de dados, reputações de ameaças e muito mais. Como benefício secundário, a falta de uma entrada nas bases de dados para um anfitrião, domínio, serviço ou URL específico é uma indicação extremamente forte e muito mais precisa de que o site foi recentemente estabelecido ou é pouco utilizado e, por isso, não deve ser inerentemente fiável. Esses sítios devem ser tratados com cautela e bloqueados ou treinados ou isolados (as duas últimas opções estão disponíveis exclusivamente com HTTP/S proxy) com base nesses critérios, independentemente da idade do domínio.
Skyhigh Security O Secure Service Edge (SSE) fornece todas as funcionalidades acima mencionadas e inclui remote browser isolation (RBI) para sites não categorizados, não verificados e de outro modo arriscados. Isto elimina virtualmente os riscos de os browsers ou outras aplicações acederem a sites não categorizados, sem acrescentar as complicações de falsos positivos e falsos negativos de um filtro de idade de domínio.
Ao utilizar HTTP/S, a idade do nome de anfitrião, ou mesmo a data da primeira e/ou última visita ao nome de anfitrião pode fornecer valor adicional, mas a idade do domínio é praticamente inútil quando o FQDN e informações mais específicas relacionadas com o site ou serviço estão disponíveis. A melhor prática é bloquear, isolar ou, no mínimo, treinar sites e serviços não verificados, independentemente da idade do domínio. Permitir sites ou serviços não verificados com base na idade do domínio acrescenta um risco significativo de falsos negativos (sites e serviços de risco permitidos simplesmente porque o domínio não foi registado recentemente). O bloqueio genérico de sítios e serviços com base apenas na idade do domínio conduziria a um bloqueio excessivo de sítios com boa reputação e que não deveriam ser bloqueados.
Conclusão
A idade do domínio pode ser um pouco útil para complementar as decisões de filtragem em situações em que não haja outras informações mais exactas e específicas disponíveis sobre o destino de um pacote de rede. Ao considerar a utilização da idade do domínio para filtragem HTTP/S, é um substituto extremamente pobre para uma base de dados de serviços e de informações sobre ameaças mais abrangente. Se for tomada a decisão de se desviar das melhores práticas e permitir ligações HTTP/S a sítios não verificados, sem isolamento, então a idade do domínio pode fornecer um valor suplementar limitado ao bloquear sítios não verificados que se encontram em domínios recentemente registados. Isto é feito à custa de uma falsa sensação de segurança e de um risco muito maior de falsos negativos, quando comparado com a melhor prática de utilização de informações abrangentes sobre ameaças da Web, de realização de análises exaustivas de pedidos e respostas e de simples bloqueio, isolamento ou treino de sítios não verificados.
Para mais informações sobre as soluções holísticas e eficazes da Skyhigh Securitypara proteção de sistemas e dados, visite a nossa página de destino Security Service Edge .
Voltar aos blogues