Wat is sinkholing?
Computers hebben een IP-adres nodig om te communiceren met andere online apparaten en -netwerken. IP-adressen helpen het internet geordend te houden. Het zijn unieke identificatienummers die voor mensen moeilijk te onthouden zijn. Dit is waar DNS (Domain Name Server) een rol speelt (DNS-protocol). Het DNS-protocol dat op het internet gebruikt wordt, heeft als doel om namen van computers te vertalen naar IP-adressen en andersom. Het vertaalt dus ook IP-adressen naar leesbare adressen zoals www.digitaltrustcenter.nl.
Een DNS-sinkhole is een slimme manier om het bestaande DNS-protocol te gebruiken om de beschermingsmogelijkheden uit te breiden. Bij DNS-sinkholing wordt er ingegrepen in de routing. Het proces werkt door DNS-verzoeken te onderscheppen en deze te vergelijken met een lijst van bekende onveilige domeinen. Het meest voorkomende gebruik is om communicatie met botnets te ontdekken, te stoppen en geïnfecteerde apparaten te herkennen. Sinkholing wordt onder speciale omstandigheden uitgevoerd door vertrouwde instanties. Als je het beheer hebt over je eigen firewall of DNS-servers, kun je zelf ook DNS-sinkholing configureren om te ontdekken of er communicatie is met onveilige domeinen.
Hoe kun je sinkholing toepassen?
Sinkholing kan op verschillende niveaus worden toegepast. Internet Service Providers (ISP's) en domeinregistratiebedrijven staan erom bekend sinkholes te gebruiken om hun klanten te beschermen door bezoeken aan onveilige of ongewenste domeinnamen om te leiden naar gecontroleerde IP-adressen die leiden naar de sinkhole. Een DNS-sinkhole kun je configureren via DNS-servers, firewalls of andere on-premise applicaties.
Om te ontdekken of er systemen zijn die verbinding maken met een ongewenst domein, kun je zelf of via je IT-dienstverlener een DNS-sinkhole opzetten binnen jouw IT-landschap. Met de logs van de server kun je de computers identificeren die proberen verbinding te maken met bekende ongewenste domeinen. Als de logs bijvoorbeeld laten zien dat een bepaald apparaat continu verbinding probeert te maken met een zogeheten Command & Control-server (die botnets aanstuurt), maar het verzoek wordt omgeleid vanwege de sinkhole, dan is de kans groot dat dit apparaat geïnfecteerd is met een bot (malware). Hier kun je dan actie op ondernemen door bijvoorbeeld deze machine uit je netwerk te halen en op te schonen.
Een gebruiker met beheerdersrechten kan ook het hostbestand op zijn apparaat aanpassen en hetzelfde resultaat bereiken. Er zijn veel lijsten (zowel open source als commercieel) met bekende ongewenste domeinen die een sinkhole-beheerder kan gebruiken om DNS-sinkhole te vullen.
Notificatie ontvangen van het Digital Trust Center?
Het Digital Trust Center (DTC) verstuurt dagelijks meerdere waarschuwingen per e-mail - zogenoemde ‘notificaties’ - over sinkholing naar netwerkeigenaren van specifieke IP-adressen. Het vermoeden is dat de systemen achter deze IP-adressen onder aansturing staan van een C&C (Command & Control)-server die de systemen inzet voor kwalijke doeleinden zoals een botnet, phishing, ransomware- of DDoS-aanvallen. Om deze activiteiten te dwarsbomen zijn de IP-adressen omgeleid en worden eigenaren van deze IP-adressen hiervan op de hoogte gesteld via een notificatie.
Shadowserver
De IP-adressen waarover genotificeerd wordt, zijn ontdekt door de sinkhole-servers van Shadowserver. De Shadowserver Foundation is een non-profit beveiligingsorganisatie die gegevens over kwaadaardige internetactiviteiten verzamelt en analyseert, dagelijks netwerkrapporten naar abonnees verzendt en samenwerkt met wetshandhavingsorganisaties over de hele wereld bij onderzoeken naar cybercriminaliteit. Shadowserver is bijvoorbeeld zo’n vertrouwde beschermende partij.
Het DTC notificeert op deze sinkhole lijsten om de eigenaar van het betreffende IP-adres te laten weten dat zijn of haar systeem contact probeert te maken met een malafide server en dat er actie ondernomen moet worden. In de volgende alinea wordt beschreven wat je dan kan doen.
Wat kun je doen?
Als je een notificatie krijgt van het DTC, of een andere waarschuwende instantie, of zelf iets ontdekt, dan adviseren wij het volgende te doen:
- Controleer of het geïnfecteerde systeem daadwerkelijk (nog) aanwezig is;
- Verricht technisch onderzoek naar sporen van inbreuk, schade of infectie van andere systemen binnen je organisatie;
- Controleer je systemen en verwijder alle verdachte software en bestanden;
- Controleer je back-ups op malafide activiteiten en herstel het systeem met een schone back-up;
- Onderzoek of kwaadwillenden mogelijk toegang hebben tot meer systemen in jouw netwerk;
- Neem contact op met je IT-dienstverlener als je hierop zelf geen actie kunt ondernemen.
Wat is een notificatie?
Het DTC stuurt een notificatie naar een bedrijf als er een ernstige cyberdreiging geconstateerd is. In deze e-mail wordt de situatie beschreven en in zo begrijpelijk mogelijke taal toegelicht wat er moet gebeuren om bedrijfsschade te voorkomen of te beperken. Voor vragen of om te controleren of de overheid de daadwerkelijke afzender is, kun je contact opnemen met het DTC via het contactformulier of 070 - 379 67 00.
Voorbeeld zien? Download de PDF van een geanonimiseerde notificatie e-mail.
- Download in WEBM formaat WEBM | 4.5 MB
- Download in MP4 HD formaat MP4 HD | 15.4 MB
Voice over DTC waarschuwt bedrijven
Wist je dat veel bedrijven in Nederland dagelijks te maken hebben met cyberaanvallen?
Soms gaat het om phishingmails naar medewerkers, maar soms ook om ernstigere beveiligingsproblemen.
Het Digital Trust Center helpt bedrijven om veilig digitaal te ondernemen.
Bijvoorbeeld door informatie en advies te geven.
Zo worden ondernemers weerbaarder tegen cyberaanvallen.
Maar ook door actief te waarschuwen als er een kwetsbaarheid is geconstateerd in je digitale beveiliging.
Het DTC zoekt dan contact met je bedrijf, vertelt je wat er aan de hand is en wat je kunt doen om schade te voorkomen of beperken.
Om je snel te waarschuwen, is het belangrijk dat de contactgegevens van je IT-verantwoordelijke goed vindbaar zijn.
Dit kan snel en eenvoudig met security.txt
Een tekstbestand waarin je aangeeft waar kwetsbaarheden voor jouw organisatie gemeld moeten worden.
Zo ben je goed bereikbaar als het nodig is en kan het gevaar worden afgewend.
Meer weten?
Ga dan naar digitaltrustcenter.nl/securitytxt