Le destinazioni dei link non sono sempre sicure e se è considerata malevola, i sistemi Akamai intervengono per evitare che gli utenti siano vittime di ransomware, malware, phishing e altre minacce. l set di dati NOD (Newly Observed Domain) vengono utilizzati per segnalare nuovi domini pericolosi con un tempo medio di rilevamento molto ridotto, proteggendo clienti e utenti finali.
Newly Observed Domains per il rilievo di domini pericolosi
Alcuni degli utenti CacheServe (in genere gli ISP) di Akamai forniscono query DNS anonimizzati, come ad esempio i Fully Qualified Domain Name (FQDN) e gli indirizzi IP. Da questi dati è possibile estrarre i nomi di dominio e tenere traccia di quando sia stato cercato per l’ultima volta. Quando un nome di dominio viene interrogato per la prima volta nel corso degli ultimi 60 giorni è considerato un Newly Observed Domain (NOD).
Il dataset NOD permette di analizzare la long tail delle query DNS. In questo set di dati si trovano nomi di dominio recentemente registrati, errori di battitura e domini che vengono cercati molto raramente a livello globale.
Altre aziende che monitorano i NOD hanno dichiarato di utilizzare una finestra temporale compresa tra 30 minuti e 72 ore. Un intervallo di tempo molto diverso rispetto a quello di 60 giorni considerato da Akamai. Ma è in questo sottoinsieme che i suoi ricercatori hanno scovato una grande quantità di domini pericolosi e minacce nuove basate sul DNS.
Inoltre, Akamai monitora le query DNS non risolte (NXDOMAIN). Questo perché la maggior parte dei domini in cui il malware tenta di infiltrarsi, non sono registrati; ciò comporta un aumento delle dimensioni del dataset di circa un ordine di grandezza. Questa condizione consente agli esperti di sicurezza di Akamai di analizzare il quadro completo piuttosto che un campione parziale.
Attività malevole nei dati NOD
Ogni giorno, il team di Akamai osserva un totale di circa 12 milioni di nuovi NOD, di cui poco più di 2 milioni vengono risolti con successo. Nei primi 6 mesi del 2022, quasi 79 milioni di nomi sono stati segnalati come domini pericolosi grazie al rilevamento delle minacce basato sui NOD.
Molti nomi presenti nel dataset NOD sono difficilmente digitabili in una finestra del browser. Non sono interpretabili dall’uomo e sembrano generati da computer. Ad esempio, spesso vengono inserite delle cifre, in modo da ridurre la possibilità che i domini generati siano già stati registrati.
Normalmente, gli aggressori registrano in blocco migliaia di nomi di dominio. In questo modo, se uno o più domini vengono segnalati e bloccati, possono semplicemente utilizzarne un altro. In genere questi nomi di dominio vengono creati in modo automatico, utilizzando un algoritmo di generazione. Questo processo automatizzato contribuisce a rendere pericolosi questi NOD, perché favorisce un attacco continuativo ai danni di una organizzazione.
Le minacce più comuni che utilizzano questa tecnica includono malware, attacchi ransomware, cryptominer, typosquatting (spesso utilizzato per il phishing), botnet e APT. Maggiore è la rapidità con cui vengono rilevati questi tipi di schemi, maggiore è il numero di minacce che possono essere neutralizzate.
Quanto è efficace e rapido Akamai nel rilevamento delle minacce?
Considerando un arco temporale dal 1° gennaio 2022 alla fine di giugno 2022, i sistemi di rilevamento del team di Akamai hanno segnalato come pericoloso il 20,1% di tutti i NOD pari a quasi 79 milioni di nomi di domini pericolosi in 6 mesi, solo sulla base del codice rcode 0.
Akamai ha scoperto che il 91,4% dei NOD segnalati come dannosi non erano di fatto presenti. Inoltre, tra i nomi trovati, oltre il 99,9% aveva una “reputation” pari a 0. Ovvero, non erano ancora stati identificati come benigni o malevoli, ma erano semplicemente stati cercati dagli utenti.
Per tutti i nomi di dominio che i ricercatori di Akamai hanno segnalato, sono riusciti a ottenere una valutazione da parte dell’aggregatore noto solo per circa 1 nome di dominio su 11.000.
Ciò che è possibile concludere da questi dati, è che il set di dati NOD fornisce un valore complementare, poiché la sovrapposizione tra i suoi risultati e gli altri principali feed di intelligence sulle minacce è minima.
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techbusiness
📈 SAP NOW 2024 l'intelligenza artificiale per il business conquista Milano💸 Come calcolare il ritorno sugli investimenti nell’Intelligenza Artificiale
👨⚖️ Direttiva NIS2 e cybersecurity nelle PMI italiane obblighi e opportunità
🔫 Metà degli attacchi informatici in Italia prende di mira le supply chain
📰 Ma lo sai che abbiamo un sacco di newsletter?
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!