DNS Intelligence, cosa si intende e perché è importante per proteggersi dagli attacchi

Componente fondamentale per proteggersi dai cyberattacchi

Con DNS Intelligence si definisce l’analisi dei dati che provengono dai sistemi DNS e dall’interazione degli utenti con i siti Internet. In questo articolo chiariamo il concetto di DNS Intelligence e dimostriamo quanto sia importante considerarlo in una strategia di protezione della navigazione.

1. Cosa è la DNS Intelligence

Il termine DNS Intelligence è spesso accostato a “threat”, minaccia in inglese, proprio per evidenziarne l’importanza in una strategia di protezione della navigazione su Internet.

DNS Intelligence significa analizzare i dati forniti dai sistemi DNS e dall’interazione degli utenti con i siti Internet attraverso questi sistemi. La raccolta dei dati e la loro analisi permettono di individuare (presto e meglio) i siti potenzialmente pericolosi, impedendo l’accesso.

Il DNS (Domain Name System) si può immaginare come una sorta di guida telefonica dei siti Internet. Quando un utente digita un nome di dominio per accedere a un sito da un programma di navigazione, avviene una conversione istantanea dal nome digitato (flashstart.com) all’indirizzo IP del sito, ovvero del computer in cui il sito risiede. Questo perché il computer comprende solo numeri.

Nel caso del nome di dominio flashstart.com, per esempio, l’indirizzo IP relativo è 151.139.128.11. Quando un utente vuole connettersi a flashstart.com, attraverso il programma di navigazione il computer esegue delle richieste successive ai diversi sistemi che costituiscono un sistema DNS. Semplificando molto un percorso che invece è articolato, il browser accede a un database di associazione (IP-nome di dominio) in cui flashstart.com è associato a 151.139.128.11. A questo punto, il browser effettua il collegamento con il computer che ha quell’indirizzo IP e che ospita il sito flashstart.com. Il tutto avviene istantaneamente e in modalità trasparente all’utente.

Da sottolineare, però, che non c’è una corrispondenza biunivoca tra indirizzo IP e nome di dominio. Per esempio, alla macchina con indirizzo IP 151.139.128.11 corrispondono ben 44mila siti. Dunque, l’analisi del DNS permette di individuare la macchina con un certo IP che contiene i file che formano il sito cercato.

Insomma, i DNS system sono dei registri universali, dei database distribuiti in diversi server categorizzati prima di tutto in estensioni di dominio (.com, .it, .edu). Un “contenitore” di questo tipo all’interno di un server DNS archivia le informazioni dei domini acquisendone altre anche da domini non archiviati.

I server sparsi nel mondo che archiviano e gestiscono i nomi di dominio, categorizzati secondo le estensioni di dominio (tecnicamente DNS root zone) si chiamano root nameservers e ne esistono 13 in tutto il mondo.

Lo scopo della DNS Intelligence, in definitiva, è di rendere sicuro il percorso che porta alla risoluzione del DNS da parte di un computer. Più informazioni si acquisiscono e si elaborano su un certo sito e più sarà garantita la protezione della navigazione.

2. Perché la DNS Intelligence protegge la navigazione

Il sistema DNS è formato da diverse fermate, che non sono altro che computer che contengono registri e applicativi di ricerca e risposta al loro interno. Noi non ce ne accorgiamo, ma l’innocente richiesta di connetterci a flashstart.com scatena una serie di verifiche e di domande e risposte tra i vari computer del sistema DNS.

Per evitare che ogni fermata rallenti la richiesta, inoltre, all’interno di quei computer sono previste delle memorie cache che si popolano man mano che i siti visitati si dimostrano sicuri, e ciò è possibile proprio grazie alla DNS Intelligence. Insomma, se mi voglio collegare a google.com, è molto probabile che acceda a una pagina iniziale di Google memorizzata lungo il percorso. Ciò evita di compiere la trafila standard, che porterebbe a un rallentamento nella connessione. Ma, ed è successo, può capitare che il dominio google.com memorizzato in una cache lungo il percorso indirizzi a un sito diverso. E sarebbe un grosso problema.

Questo perché è proprio in questi registri, in queste memorie temporanee che i cybercriminali si introducono per modificare le informazioni. Lo scopo è, così, di far apparire un sito “pulito” quando non lo è, oppure di far credere a un utente di accedere al sito richiesto ma, in verità, finisce dentro un incubo.

Dunque, il sistema DNS è vulnerabile. E la DNS Intelligence ha lo scopo di renderlo più sicuro. E c’è di più, molte fermate di un sistema DNS sono accessibili agli amministratori di sistema, che li modificano per evitare che i domini che gestiscono finiscano per qualche motivo in una black list e che, quindi, non siano più accessibili. Dunque, si potrebbe dire che i sistemi DNS sono molto (troppo) frequentati, meglio attivare un’Intelligence che li monitori costantemente.

La DNS Intelligence, infine, si rivela molto utile anche in caso di indagini. Sapere tutto il possibile su un sito, e su come è connesso a un sistema DNS, permette di ricostruire i percorsi effettuati da un cybercriminale, incrementando le possibilità di intercettarlo.


>> FlashStart ti protegge da una vasta gamma di minacce e vieta l’accesso a siti malevoli → Inizia ora la tua prova gratuita


3. Come si realizza una DNS Intelligence

Un modello di DNS Intelligence si realizza grazie a un software o un servizio applicativo. la parola d’ordine è: aggiornamento tempestivo. L’obiettivo è di analizzare tutte le informazioni possibili sui siti, non solo quelle reperibili dai siti stessi ma da quelle ricavabili dalla visita e dall’esperienza d’uso degli utenti.

Il sito Netcraft ci dice che i siti nel mondo sono poco più di un miliardo, anche se meno di 200 milioni sono aggiornati costantemente. Un conto approssimativo afferma che in 24 ore nel mondo si creano circa 250mila nuovi siti.

Lo scopo della DNS Intelligence è di monitorare gli aggiornamenti dei siti esistenti e registrare quelli nuovi attraverso un’attività di Intelligence. Ovvero, raccogliendo più informazioni possibili sui siti anche dalla navigazione in tempo reale degli utenti.

In particolare, gli algoritmi dei servizi di DNS Intelligence monitorano l’aggiunta di nuovi domini e sottodomini, dati storici e nuovi contenuti nei registri dei DNS, le associazioni nome di dominio-IP, i link tra i domini, i registri WHOIS (chi ha registrato un nome di dominio), le attività malevole e altro.

4. Esempi di attività di Intelligence per i DNS

Le attività di un sistema di DNS Intelligence sono diverse. Per comprendere il livello di Intelligence, riportiamo le verifiche, grazie al software, che vengono eseguite su un singolo sito web:

» Analisi dei record DNS presenti su un sito
» Controllo dei record DNS storici (giorni, mesi, anni)
» Mappatura dei sottodomini per mettere ordine e aggiornarlo
» Record DNS inversi eseguendo a ritroso il percorso dal sito ai sistemi DNS
» Controllo dei nomi in una delle stazioni del percorso per risolvere il DNS, il registrar
» Cronologia dei record: controllo dei record del DNS creati presso il registrar
» Analisi dei nomi storici del registrar andando a ritroso per anni
» Identificazione del software DNS: informazioni sul software per il server DNS utilizzato
» Nomi di dominio associati: rilevazione dei domini associati ospitati sulle stesse reti del dominio principale
» IP associati: stessa analisi della precedente ma sugli indirizzi IP.

Gli algoritmi di DNS Intelligence di ultima generazione utilizzano il machine learning e, in generale, l’intelligenza artificiale. Questo perché la quantità dei dati da analizzare è enorme e l’analisi deve essere fatta velocemente. Questi algoritmi vengono poi integrati in soluzioni più ampie per il filtraggio della navigazione, come il servizio di FlashStart.


>> FlashStart ti protegge da una vasta gamma di minacce e vieta l’accesso a siti malevoli → Inizia ora la tua prova gratuita


In particolare, il servizio di FlashStart può vantare un’efficacia d el 92,5%, ovvero 925 siti su mille catalogati sono da ritenersi puliti e sicuri. Dei 75 siti che rimangono fuori dall’analisi non ci si deve preoccupare. Si tratta di siti incompleti, scritti in lingue incomprensibili e comunque innocui.

La DNS Intelligence integrata nell’offerta FlashStart ha già censito 190 milioni di siti, distribuiti in 85 categorie che poi formano le blacklist dei sistemi DNS. Gli algoritmi di Intelligenza Artificiale messi a punto da FlashStart esaminano circa 40mila nuovi domini al giorno, a cui si aggiungono ulteriori segnalazioni ricevute da canali diversi e dalle informazioni sulla navigazione (anonima) degli utenti. FlashStart ogni giorno filtra circa 5 miliardi di richieste DNS in più di 140 paesi. Blocca la risoluzione circa 340 milioni di volte, e fra queste 21 milioni circa riguardano minacce di malware e frodi.


Su qualunque Router e Firewall puoi attivare la protezione FlashStart® Cloud per mettere in sicurezza i device desktop e mobile e i dispositivi IoT sulle reti locali.

Articoli correlati