Infoblox positioneert DNS als het vroegste punt van cyberdreigingspreventie en beweert kwaadaardige infrastructuur gemiddeld 68,4 dagen eerder te blokkeren dan traditionele detectietools. De Protective DNS-aanpak van het bedrijf maakt gebruik van wereldwijde DNS-zichtbaarheid om dreigingen te identificeren voordat ze hun infrastructuur kunnen inzetten als wapen.
Infoblox Threat Intel monitort meer dan 200.000 clusters van threat actors met behulp van eigen algoritmen die zijn ontworpen om infrastructuur tijdens de bouwfase te identificeren. De detectiepijplijn van het bedrijf combineert realtime DNS-telemetrie met voorspellende dreigingsinformatie.
“We hebben tientallen algoritmen die tegelijkertijd draaien om zowel risicovol/verdacht als kwaadaardig gedrag te identificeren”, legt het bedrijf uit aan Techzine. Deze algoritmen analyseren waarneembare DNS-kenmerken, variërend van eenvoudige elementen zoals registrars en nameservers tot complexe patronen in query-timing en -inhoud.
Het systeem maakt gebruik van wat Infoblox omschrijft als een “cartel-first”-strategie. In plaats van zich uitsluitend te richten op individuele malwarevarianten, richt deze aanpak zich op de bredere infrastructuur en supply chains die threat actors gebruiken om campagnes te lanceren.
Infoblox maakt gebruik van verschillende methoden, waaronder statistische analyse en DNS-expertise, om infrastructuurpatronen te identificeren in tientallen miljarden dagelijkse DNS-query’s. Door zich te richten op de infrastructuur in plaats van op payloads, wil het systeem aanvallen voorkomen en campagnes verstoren voordat ze worden gelanceerd.
DNS-query’s onthullen bedreigingen voordat ze toeslaan
Elke digitale interactie begint met een DNS-query. Voordat een payload wordt afgeleverd of malware wordt uitgevoerd, moeten apparaten domeinnamen omzetten naar IP-adressen. Dit fundamentele internetprotocol creëert wat Infoblox “het eerste waarneembare gedrag in de meeste cyberaanvallen” noemt.
“DNS is het vroegste preventiepunt voor alle cyberaanvallen”, legt het bedrijf uit. Dankzij deze positionering kan Protective DNS bedreigingen onderscheppen, ongeacht of endpoints achter firewalls werken, op afstand werken of niet worden beheerd door traditionele securitytools.
Deze aanpak verschilt aanzienlijk van conventionele “detection and response”-securitymodellen. Terwijl traditionele tools wachten tot een patiënt nul gecompromitteerd raakt voordat ze nieuwe malwarevarianten leren kennen, identificeert en blokkeert het systeem van Infoblox de infrastructuur van threat actors tijdens de voorbereidingsfase.
Machine learning vermindert het aantal false positives
Het platform draait tientallen algoritmen die zijn gebaseerd op de DNS-dreigingsexpertise en wereldwijde queryzichtbaarheid van Infoblox. Naast detectiemogelijkheden investeert het bedrijf aanzienlijk in het verminderen van false positives door middel van gepatenteerde algoritmen voor het creëren van domeinallowlists en reputatiescores.
Infoblox monitort continu false positives meldingen en meet escalatiepercentages om klanten te beschermen zonder de netwerkactiviteiten negatief te beïnvloeden. Het bedrijf heeft algoritmen voor reputatiescores gepubliceerd, waarmee het de transparantie van zijn aanpak aantoont.
Risicovolle, verdachte en kwaadaardige domeinen worden binnen ongeveer 15 minuten na identificatie beschikbaar voor klanten op locatie en in cloudomgevingen. Bovendien kunnen algoritmen in bijna realtime nieuwe bedreigingen binnen klantomgevingen in minder dan een minuut identificeren door middel van DNS-verkeersinspectie.
Testmogelijkheden en implementatieopties
Met Detection Mode kunnen organisaties DNS-gebaseerde dreigingsdetectie testen zonder de bestaande IT- of netwerkinfrastructuur te wijzigen. Deze lichtgewicht aanpak maakt proof-of-concept-evaluaties mogelijk zonder het productie-DNS-verkeer naar Threat Defense te leiden.
Met behulp van DNS-query’s en het doorsturen van responslogboeken bieden detectiemodusconfiguraties inzicht in bedreigingen die zouden zijn geblokkeerd als Threat Defense inline met productieverkeer was geïmplementeerd.
Deze testmogelijkheid biedt een oplossing voor een veelvoorkomende uitdaging waarmee organisaties worden geconfronteerd bij het evalueren van nieuwe beveiligingstechnologieën. Bedrijven kunnen de effectiviteit van de oplossing in hun specifieke omgeving beoordelen voordat ze infrastructurele veranderingen doorvoeren.
Integratievoordelen van een uniform platform
Infoblox positioneert zich als de enige leverancier die Protective DNS- en DDI-mogelijkheden (DNS, DHCP, IPAM) aanbiedt op een geïntegreerd platform. Deze aanpak biedt verschillende operationele voordelen.
Volgens het bedrijf moet het team dat DNS beheert ook DNS-problemen oplossen en beschermende securityfunctionaliteit verzorgen. Deze integratie maakt operationalisering en probleemoplossing eenvoudiger in vergelijking met de implementatie van Protective DNS via Next-Generation Firewalls of Secure Access Service Edge (SASE)-oplossingen.
Het uniforme platform biedt brede dekking en uniforme bescherming voor sites, clouds en endpoints. Real-time, native inzicht in DNS-query’s, gecorreleerd met IPAM- en DHCP-gegevens, maakt het mogelijk om kwaadaardige activiteiten onmiddellijk te koppelen aan specifieke gebruikers, apparaten of workloads.
Deze correlatiemogelijkheid versnelt onderzoeks- en herstelprocessen doordat security- en networksops-teams niet langer afzonderlijk hoeven te coördineren om context rond bedreigingsactiviteiten te verkrijgen.
Integratie van ecosystemen en automatisering van workflows
Infoblox kan rechtstreeks worden geïntegreerd met bestaande beveiligingsecosystemen, waaronder SIEM-, SOAR-, XDR- en kwetsbaarheidsbeheerplatforms. Deze verbindingen maken snellere onderzoeken, geautomatiseerde responsworkflows en efficiëntere herstelprocessen mogelijk.
Rijke dreigingscontext, nauwkeurige toewijzing van activa en gecureerde informatie stromen door systemen heen, zodat securitysanalisten relevante inzichten krijgen wanneer dat nodig is. De integraties ondersteunen geautomatiseerde workflows die zonder handmatige tussenkomst op dreigingen kunnen reageren.
Het Protection Before Impact-dashboard biedt CISO’s en beveiligingsteams kwantificeerbare statistieken over bedreigingen die zijn geneutraliseerd voordat apparaten of workloads verbinding maakten met kwaadaardige infrastructuur. Deze mogelijkheid biedt duidelijk bewijs van de waarde van preventieve securitystrategieën.
Nu cyberdreigingen voortdurend evolueren, biedt DNS-gebaseerde detectie een strategisch voordeel door kwaadaardige activiteiten op het fundamentele niveau van internetcommunicatie te onderscheppen. Deze aanpak laat zien hoe gevestigde protocollen nieuwe doelen kunnen dienen in moderne cyberbeveiligingsarchitecturen.
Tip: Infoblox Universal DDI brengt alle DNS op één plek samen