DNS – это источник ценных данных

Второй день TLDCON 2020 начался с обсуждения того, как анализ DNS помогает в деле обеспечения интернет- безопасности, развития бизнеса, маркетинга, социальных исследований и многого другого. Вместе с модераторами Еленой Ворониной (MSK-IX) и Алексеем Рогдевым (ТЦИ) эксперты обсудили, почему DNS является источником ценных данных для специалистов по кибербезопасности, архитекторов DNS, маркетологов и аналитиков, а также какую пользу можно извлечь из анализа DNS-данных.

Алексей Лукацкий (Cisco) рассказал, как с помощью анализа инфраструктуры DNS выявлять скрытые взаимосвязи между вредоносными доменами и их владельцами, предсказывать атаки и находить киберпреступников. «Вредоносные домены хостятся на одних и тех же IP-адресах, у них одни и те же владельцы. И DNS позволяет провести не просто анализ доменных имен, а, например, анализ взаимосвязей между их администраторами. С помощью DNS можно даже предсказать будущие кибератаки и, проанализировав IP, блокировать доступ с таких доменов», – рассказал эксперт. Также Алексей Лукацкий сообщил, что, выявив всего лишь один фишинговый или иной вредоносный сайт, по IP можно выявить целую сеть таких доменов и «накрыть» всю мошенническую киберструктуру.

Ален Дюран (ICANN) представил разработанную ICANN методику измерения «здоровья» системы индентификаторов – Identifier Technology Health Indicators. Он отметил, что этот проект идет уже несколько лет, и данные собираются из самых разных источников – проекта DAAR и других проектов ICANN, а также партнерских проектов, и пригласил участников сессии к сотрудничеству.

Подробный обзор методов и направлений сбора и обработки статистики DNS сделал в своем докладе Павел Храмцов (МСК-IX). Он особо отметил российский проект statdom.ru, который ведет Технический центр Интернет и который посвящен статистике и анализу данных российских доменных зон, а также проект Координационного центра доменов .RU/.РФ «Нетоскоп», посвященный безопасности в доменном пространстве.

Куок-Ань Фам (GoDaddy Registry) рассказал о том, как GoDaddy использует данные DNS в своей работе. Александр Венедюхин (ТЦИ) сделал анализ методов использования DNS для публикаций вспомогательных структур данных и рассказал о защите веб-узлов с помощью криптографических ключей.

Продолжилась программа TLDCON 2020 секцией, участники которой также обсуждали вопросы использования DNS, но уже в аспекте безопасности сети Интернет. Модератор секции «DNS: границы дозволенного» Михаил Анисимов (ICANN) предложил спикерам обсудить, какие вопросы интернет- безопасности находятся в рамках компетенции регистратур, регистраторов и других участников экосистемы доменных имен, и кто и с какими явлениями может и должен бороться.

О том, как DNS и доменные имена используются в неблаговидных целях, и что в этом случае должны делать регистраторы и регистратуры, рассказал Джеймс Галвин (Afilias). Он отметил, что регистратуры и регистраторы должны оперативно расследовать злоупотребления DNS: «В этом состоит наша роль и функция в экосистеме. Наша задача – обеспечить безопасность интернета для всех».

Ирина Данелия (Координационный центр доменов .RU/.РФ) добавила, что регистратуры ощущают свою ответственность за то, каким является интернет: «Страновые регистратуры начинают занимать все более проактивную позицию в вопросах обеспечения безопасности в сети. В мире виртуальном мы поселились совсем недавно, и, может быть, в этом и заключается причина столь пристального внимания к интернету со стороны регулирующих органов всех стран. Но инструменты регулирования пока еще находятся в стадии становления». Она рассказала о шагах по саморегулированию, которые почти 10 лет назад предпринял Координационный центр, инициировав взаимодействие между рядом компаний и создав институт компетентных организаций. При этом Ирина Данелия обратила внимание на то, что очень важна ответственность за принимаемые решения по поводу снятия делегирования с доменных имен. Также она представила новый проект Координационного центра «Доменный патруль», который направлен на то, чтобы рассказать о работе компетентных организаций и их взаимодействии с Координационным центром всем интернет- пользователям.

О том, как работают компетентные организации, рассказал Александр Калинин (Group IB). Group IB была одной из первых компаний, присоединившихся к институту компетентных организаций еще в 2011 году. Спикер рассказал о работе компании в период пандемии, когда количество случаев кибермошенничества значительно возросло. Он отметил, что одновременно с ростом числа вредоносных доменов увеличилось время реагирования на запросы компетентных организаций со стороны регистраторов и хостинг-провайдеров. Михаил Анисимов заметил в связи с этим: «Мы видим, что фишинг вырос почти в 2 раза, и очевидно, что политику в отношении DNS Abuse нужно менять, расширять и адаптировать к практическим реалиям».

Роланд ван Рисвик-Деи (Университет Твенте) добавил, что самым важным при принятии решений в борьбе с противоправными ресурсами является доверие к источнику информации. Также он подчеркнул, что научные организации готовы предоставлять свои аналитические выкладки по противоправному использованию DNS правоохранителям, но странно было бы требовать от академического сообщества гоняться за преступниками.

Подводя итоги секции, Михаил Анисимов сказал: «Попытки создать репозитории данных о доменах и нарушениях сегодня предпринимаются и на международном, и на страновом уровне».