Co je služba Deny listy a jak funguje?
Jedná se o ochranu před sociálním inženýrstvím – nejčastější hrozbou, se kterou se na Internetu mohou vaši uživatelé setkat. Služba funguje tak, že u podvodných domén znemožní uživatelům přístup tím, že se neprovede překlad doménového jména na IP adresu.
Kde data získáváte a jaké typy útoků vaše služba zachytí?
Data získáváme z několika zdrojů. Jedním z nich je systém PROKI, který jsme v minulosti vyvinuli, aby nám pomáhal analyzovat útoky a zranitelnosti spojené s „českým“ Internetem a rychleji na ně reagovat. Ukázalo se ovšem, že je zároveň výborným zdrojem dat pro Deny listy, kde nám díky svým analytickým schopnostem umožňuje velmi přesně cílit na nebezpečné weby. Nejčastěji se z tohoto zdroje dozvídáme o útocích na české uživatele zahraničních služeb (např. Facebook, Steam, Google).
Ostatní zdroje, které využíváme, jsou pak zaměřeny přímo na české a slovenské uživatele. Jedná se jak o samotný proces řešení incidentů v rámci národního CSIRT, tak také o analýzy nově vydaných certifikátů, data od odborné komunity nebo o spolupráci se zahraničními partnery. Díky těmto postupům umíme rychle reagovat na kampaně přímo zneužívající místní reálie, jako jsou zdravotní pojišťovny, Portál občana, Česká správa sociálního zabezpečení nebo třeba falešné profily dopravních podniků.
Kromě phishingů a podvodných stránek zachytíme také podvodné e-shopy a další útoky založené na zneužití doménového jména.
Nemůžete omylem zablokovat přístup k legitimní stránce?
Riziko false positivity nelze nikdy zcela vyloučit. Kromě neustálého zlepšování detekčních schopností našich systémů to řešíme také průběžným zlepšováním seznamu domén, které nesmějí být nikdy blokovány. Každý zákazník má také možnost si sám definovat domény, které nesmějí být nikdy blokovány.
Mám nějakou kontrolu nad tím, co je a není blokováno?
Ano. Kromě dat, která do Deny listů přidáváme my, má každý zákazník možnost přidat vlastní specifické domény k blokování. Zároveň si každý zákazník může určit vlastní seznam domén, které nesmějí být na jeho DNS serveru službou Deny listy v žádném případě zablokovány. Tato zákaznická pravidla mají vyšší prioritu než naše data, zákazník tak může zablokovat na svém DNS serveru i stránky, které máme mezi chráněnými, a naopak povolit i stránky, které naše služba označila za škodlivé.
Co musí můj rekurzivní DNS server umět?
Musí být schopný zpracovat RPZ zónu obsahující doménová jména, která nemá překládat, případně IP adresy, na které nemá provádět překlad. Eventuálně lze blokovat přístup i jiným způsobem, ale vždy s využitím seznamu doménových jmen a IP adres.
Mluvíte i o IP adresách, jak toto funguje?
V odůvodněných případech, ve kterých jsme si jistí, že konkrétní IP adresa slouží pouze k provozování škodlivých aktivit, můžeme do Deny listů takovou IP adresu zahrnout. Tyto případy jsou vždy posuzovány individuálně a snažíme se s pomocí dalších nástrojů ověřit, že nedojde k blokaci žádné legitimní stránky. Pokud pak uživatel zkusí přistoupit na škodlivou doménu a DNS server zjistí, že tato doména směřuje na blokovanou IP adresu, nebude překlad dokončen, a uživatel tak zůstane v bezpečí.
Jakým způsobem se data předávají?
V základní variantě poskytujeme svým zákazníkům na míru vytvořenou RPZ zónu, kterou si zákazník v pravidelných intervalech synchronizuje na svůj rekurzivní DNS server. Ve způsobu poskytování dat jsme však velmi flexibilní a lze dohodnout i jiné formáty předávání dat.
Jak dlouho trvá spuštění služby?
Standardně si na spuštění služby necháváme 14 dnů od podpisu smlouvy, ale zatím jsme vždy svým zákazníkům službu zprovoznili v řádu jednotek dnů.
