Veracomp.pl  »  Partnerzy  »  Producenci    Infoblox

PRODUCENCI

Infoblox

Infoblox jest amerykańskim producentem rozwiązań Secure DNS – wg Gartnera i IDC posiada ponad 50% udział w rynku Enterprise DNS, DHCP, IPAM.

Na bazie DNS Infoblox może zwiększyć bezpieczeństwo sieci na kilka sposobów:

  1. Poprzez blokowanie wycieków danych w zapytaniach DNS oraz komunikacji Command&Control over DNS. Infoblox jako jedyne rozwiązanie na rynku blokuje to in-line na bazie szczegółowej analizy zapytań, m.in. oblicza entropię, stosuje analizę leksykalną, N-gramów itp.
    Przez DNS dane o kartach kredytowych wykrada m.in malware FrameworkPOS czy UDPoS.
  1. Poprzez blokowanie domen powiązanych z malware, ransomware itp. (blokowanie odwołań DNS do serwerów C&C oraz download na bazie reputacji, ochrona przed atakami zero-day poprzez blokowanie komunikacji C&C na bazie analizy behawioralnej zapytań DNS czy kwarantannę odwołań do domen, które świeżo pojawiły się w internecie - taka blokada wycina większość malware). 
    Infoblox potrafi również blokować domeny generowane algorytmami DGA, Dictionary DGA, Lookalike, homografy IDN oraz domeny FastFlux.
  2. Infoblox integruje inne narzędzia security z systemem DNS, DHCP, IP Address Mgmt. Może dostarczać do różnych systemów dane nt. danego adresu IP (takie jak opisy czyj i jaki to host, system operacyjny - np. na bazie dhcp fingerprinting, gdzie i kiedy, na jakim porcie, którego switcha dany adres był widziany, z jakimi domenami dany host się komunikował itp).
    W przypadku wykrycia odwołań w DNS do niebezpiecznych domen możemy informować o tym system NAC, czy endpoint protection i automatycznie blokować zarażone stacje lub uruchamiać skanowanie podatności przez np. Tenable Nessus. Może blokować zapytania DNS na podstawie alertów o wykrytych atakach APT.
    Również w przypadku pojawienia się nowej sieci w bazie może automatycznie i od razu uruchamiać vulnerability scan nowej sieci. Ponadto może logować zdarzenia do SIEM, np. McAfee ESM, IBM QRadar, Splunk, Logrythm, Arcsight (gotowe connectory i opisy w dokumentacji)
    https://www.infoblox.com/solutions/cybersecurity-ecosystem/
  3. Zapewniając ochronę publicznych serwerów DNS przed atakami DDoS, próbami amplifikacji, exploitami, DNS hijackingiem itp.
    W zakresie ochrony publicznych serwerów DNS Infoblox Advanced DNS Protection chroni przed:
    • exploitami na DNS
    • DNS cache poisoning
    • anomaliami protokołowymi mogącymi powodować zakłócenia w pracy serwera
    • atakami DNS reflection i amplification, służącymi do wykorzystania serwera DNS do ataku na inne cele
    • atakami NXDOMAIN służącymi przeciążeniu serwera DNS
    • próbami rekonesansu DNS przed atakiem
    • atakami typu tcp, udp, icmp flood
    • domain hijacking – wykrywanie przejęcia obsługi domeny na nieautoryzowane serwery
    • ponadto zapewnia łatwą w administracji funkcjonalność DNSsec, minimalizującą efekty domain hijackingu, co jest istotne zwłaszcza w kontekście ochrony przed przejęciem korespondencji pocztowej (w przypadku zmiany rekordów MX) – kluczowe standardy ochrony DKIM i DMARC wymagają DNSsec.
  1. Upraszczając zarządzanie dużą liczbą feedów threat inteligence poprzez ich skonsolidowanie i dostawę jako m.in. JSON, STIX, CSV, TSV, CEF, XML, RPZ do różnych urządzeń security (np. firewalle, IPS Cisco, Checkpoint, PaloAlto, proxy, serwery DNS, Anomali itd.).
    Dostarcza feedy własne jak i SURBL, Farsight Security, Proofpoint/Emerging Threats, ThreatTrack Security, iSight Partners (FireEye), CrowdStrike.
    Więcej info na https://www.infoblox.com/resources/solution-notes/threat-intelligence
  2. Ułatwiając życie w SOC. Łatwy i szybki wgląd do informacji nt. domen, IP, URL z wielu źródeł (threat intel, alexa, domaintools, passive dns, whois, google custom search, virustotal itp.) 

Ponadto udostępnia jedno API do tych wszystkich danych, co ułatwia tworzenie własnych aplikacji do SOC.

Więcej informacji można znaleźć na stronie www.infoblox.com