Infoblox zet flink in op AI om DNS-security door te ontwikkelen

Abonneer je gratis op Techzine!

Wie de ontwikkelingen rond het Domain Name System (DNS) volgt, weet dat de markt flink aan het veranderen is. Niet alleen zijn er nieuwere standaarden als DNS over TLS (DoT) en DNS over HTTPS (DoH) bijgekomen om het DNS-verkeer veiliger te maken, ook zijn er nieuwe spelers bijgekomen en oudere spelers weggegaan. Voor Infoblox hebben de ontwikkelingen goed uitgepakt, het heeft zelf kunnen innoveren om uit te groeien tot één van de belangrijkere spelers op het vlak van DNS. Volgens Infoblox is er de komende tijd nog genoeg te innoveren, om zijn producten beter te maken. Smart DNS moet daar aan bijdragen, oftewel het toevoegen van intelligentie aan het Infoblox-portfolio.

Eerder dit jaar gingen we op bezoek bij Infoblox om erachter te komen hoe het bedrijf zich positioneert om onderscheidend op de markt te zijn. Kort gezegd komt het erop neer dat DNS-diensten in combinatie met DHCP (Dynamic Host Configuration Protocol) en IPAM (IP Address Management)-diensten, gezamenlijk ook wel DDI genoemd, het speerpunt is van Infoblox. Het betreft een gelaagde aanpak, waarbij DNS en DHCP ingaan op het toekennen en oplossen van IP-adres zaken en IPAM de laatste administratielaag is voor het beheren van IP-adressen in het netwerk.

Binnen DDI zijn er echter genoeg interessante ontwikkelingen gaande. Zo investeert Infoblox in smart DNS, iets wat het bedrijf al langere tijd doet. Om hier wat meer zicht op te krijgen, besloten we in gesprek te gaan met Krupa Srivatsan en Martin van Son van Infoblox.

AI toepassen op DNS-data

De theorie die Infoblox op het slim maken van zijn DNS-diensten hanteert, komt van pas bij DNS queries. Bij zulke queries dienen endpoints (de DNS-client) een aanvraag in bij een DNS-server. Een vrij eenvoudige DNS-query heeft bijvoorbeeld betrekking op een laptop, waarop een gebruiker een domeinnaam in zijn browser invoert. Er wordt dan contact gezocht met een DNS-server die een database induikt om de werkelijke domeinnaam (cijfer in plaats van een eenvoudige geschreven naam) op te zoeken. Deze wordt vervolgens teruggekoppeld aan het endpoint. In het verkeer van dit proces is de nodige data te vinden. Wanneer je daar AI op toepast, kan technologie er conclusies uit trekken om er vervolgens ook actie op te ondernemen.

De scenario’s waarop AI toegepast kan worden, lopen uiteindelijk uiteen. Vooral omdat er binnen enterprise organisaties dagelijks duizenden DNS-queries uitgevoerd worden. Niet alleen voor het bezoeken van website vinden DNS-verzoeken plaats, ook bij e-mail verkeer wordt een DNS-server geraadpleegd. Daarnaast is het soms noodzakelijk om meerdere servers te raadplegen, wanneer de eerste server niet direct antwoord heeft. De DDI-aanpak brengt ook nog wat extra dataverkeer in de aanpak, aangezien er een DHCP-server ingezet wordt voor het opzetten van een IP-configuratie. Al met al zorgen er dus best wat onderdelen voor dat het dagelijkse DNS-verkeer binnen organisaties van behoorlijke omvang is.

Smart DNS in de praktijk

Infoblox past dus al enige tijd machine learning toe om DNS slim te maken, wat het Infoblox-portfolio steeds meer een eerstelijns security-oplossing maakt. De DNS-diensten bevinden zich vlakbij het endpoint, waardoor ze in de praktijk eerder malafide signalen op kunnen vangen dan andere security-oplossingen.

Het betekent bijvoorbeeld dat Infoblox ingezet kan worden voor het detecteren van DDoS-aanvallen. Normaliter zijn zulke aanvallen best lastig te detecteren, aangezien het verkeer bij DDoS-aanvallen vaak identiek is aan regulier verkeer. DNS-diensten kunnen echter constateren dat er 20 keer achter elkaar dezelfde DNS-query verzonden wordt. Voorheen zou Infoblox alle 20 verzoeken afhandelen zonder dat daarbij alarm geslagen wordt, nu trekt slimme technologie de conclusie dat 20 keer achter elkaar hetzelfde verzoek in normale omstandigheden zeer onwaarschijnlijk is. Infoblox zal dit aanmerken als een DDoS-aanval en het zelfstandig blokkeren.

Tijdens ons gesprek wordt duidelijk dat Infoblox dit soort technieken op meerdere manieren toepast. Zo wordt machine learning ook gebruikt bij DNS-queries die beter niet ingewilligd kunnen worden, vanwege een domein dat bekend staat als malafide. De DNS-server koppelt dan simpelweg terug dat het domein beter niet bezoekt kan worden, en blokkeert dit daadwerkelijk.

Context geven om problematiek aan te pakken

Na deze op machine learning-gebaseerde detectie en blokkering geeft Infoblox ook de nodige context aan de problematiek die het constateert. Het apparaat waarop een verdachte activiteit plaatsvond wordt in kaart gebracht, alsmede waar het apparaat zich bevindt in het netwerk en van wie het toestel is. Deze informatie kunnen security-professionals en netwerkbeheerders gebruiken om te anticiperen op verdachten activiteiten. Bij hen ligt vaak nog de laatste handeling, bijvoorbeeld omdat er een andere security-tool ingezet moet worden om de dreiging uit het netwerk te halen.

Infoblox ziet deze laatste handeling echt als een onderscheidend middel. Het kan de informatie over de bedreiging namelijk overhandigen aan een security-oplossing waar de actie in plaats moet vinden. Wanneer de threat zich bijvoorbeeld op een endpoints bevindt, dan zou Carbon Black ingezet kunnen worden om de kwetsbaarheid aan te pakken. Infoblox vertelt Carbon Black dan op welk device de activiteiten plaatsvinden, Carbon Black-technologie wordt vervolgens ingezet voor het vinden van de executable die de kwaadaardige praktijken startte.

Zulke integraties heeft Infoblox inmiddels heel veel gebouwd, van een SIEM-platform als LogRhythm tot een IT Service Management-platform als ServiceNow en van een log-specialist als Splunk tot een CASB-speler als McAfee. Infoblox wil standaard zoveel mogelijk integraties bieden, zodat het een echte neutrale uitstraling heeft. Als je bedrijf echter een oplossing gebruikt waar Infoblox geen connector voor gebouwd heeft, dan zal je alsnog zelf wat moeten bouwen. Hier zijn open Application Programming Interfaces (API’s) beschikbaar voor, waarmee het relatief eenvoudig moet zijn om de data alsnog naar een ander platform te sturen.

Hybride model ondersteunt toekomstige detecties

Naast de focus op het integreren met bestaande oplossingen, vindt Infoblox het belangrijk om zijn hybride aanpak in deze situatie te onderstrepen. Dat klinkt in de huidige IT-markt misschien gek, want een hybride model ondersteunen is tegenwoordig vaak een standaard. Volgens Srivatsan en Van Son zijn er op het gebied van DNS echter verschillende spelers die alleen on-premise óf in de cloud mogelijkheden bieden. Infoblox houdt er wel een hybride aanpak op na. Voor het ondersteunen van intelligence heeft dit het voordeel dat er geavanceerdere analyses op kunnen worden toegepast. In de cloud zijn hier veel meer resources voor beschikbaar. Deze analyses beloven de detectie kwalitatief te verbeteren, terwijl meer malafide praktijken opgespoord moeten kunnen worden.

Tijdens ons gesprek merken we dan ook dat Infoblox nog niet klaar is met het toevoegen van slimme features aan zijn DDI-portfolio. Onze gesprekspartners spreken uit om meer geavanceerde analytics-features toe te passen, bijvoorbeeld voor het opsporen van verdachte activiteiten bij domeinen met zeer gelijkwaardige URL-namen. Er kunnen nog de nodige extra toepassingen worden bedacht voor de AI van Infoblox.

Met smart DNS laat Infoblox zien dat het kunstmatige intelligentie hard kan maken. Het past de technologie al op een goede manier toe, en het ziet ook een toekomst voor zich waar AI nog meer betekent. We zijn dan ook benieuwd naar de verdere ontwikkelingen van Infoblox op dit vlak.