Phishing er fortsatt den største initielle angrepsvektoren. Linker i phishing e-poster er typisk knyttet til nye og ukategoriserte domener for å gå under radaren til sikkerhetsteknologi. Men i dag vil de fleste sikkerhetsteknologier kategorisere nye domener som nettopp nytt domene. Det er derfor sterkt anbefalt å sperre for denne kategorien både med DNS og URL sikkerhet. Gjentatte tester på phishing e-post, SMS og scam på internett, har sperret nærmest 100% av tilfellene.
Å sperre for nye domener er derfor sterkt anbefalt for bedre motstandsdyktighet mot phishing, men det kan forårsake at legitime domener også blir sperret. Dette kan skyldes at domenet faktisk er nytt, eller at domenet har fått ny registrar. Dette kan derfor skape litt støy, men som enkelt kan adresseres.
Automatiske unntak for Palo Alto Networks
Palo Alto Networks kategoriserer et nytt domene som nytt i 32 dager:
Har dere en Palo Alto Networks brannmur vil dere her få en oppskrift for automatiske unntak. Man kan lett bli paranoid for automatikk innen sikkerhet, men man må huske at dette er en liten sidegate når det gjelder unntak, og alle burde implementere det.
Jeg vedlikeholder to filer på GitHub basert på tilbakemeldinger fra kunder og markedet, en for DNS og en for URL. Jeg gjør i hovedsak unntak for .no domener:
- https://github.com/ZeroTrust0/Local-EDL-URL/raw/refs/heads/master/DNS_new_domain
- https://raw.githubusercontent.com/ZeroTrust0/Local-EDL-URL/refs/heads/master/Newly-registered-domain-exception
Flere kunder har dette installert allerede og hverdagen blir enklere for alle. Jo flere som bidrar, jo bedre blir det for alle.
Unntakene legges inn i Anti Spyware og URL profilene.
Oppskrift
Først, husk å sperre for nye domener i Anti-Spyware og URL:
Deretter legges disse 2 EDL’ene inn:
– EDL_DNS_new_domain: https://raw.githubusercontent.com/…/master/DNS_new_domain
EDL_Newly-registered-domain-exception: https://raw.githubusercontent.com/…/Newly-registered…
Begge med en certificate profile med “Sectigo RSA Domain Validation Secure Server CA”
Under alle relevante Anti Spyware profilers DNS Policies setter man denne EDL’en til alert
Under alle relevante URL profiler legger man setter man denne EDL’en til alert.
Her er set kommandoene:
Man må legge inn “Sectigo RSA Domain Validation Secure Server CA” sertifikatet manuelt først:
Og så lager man en Certificate Profile med dette sertifikatet i seg:
set shared certificate-profile Sectigo_RSA_Domain CA “Sectigo RSA Domain Validation Secure Server CA”
set external-list EDL_DNS_new_domain type domain recurring five-minute
set external-list EDL_DNS_new_domain type domain certificate-profile Sectigo_RSA_Domain
set external-list EDL_DNS_new_domain type domain url https://raw.githubusercontent.com/ZeroTrust0/Local-EDL-URL/refs/heads/master/DNS_new_domain
NB! Husk “Test Source URL”
Så må man sette action til alert på alle relevante Anti-Spyware profiler:
set profiles spyware Outbound-AS botnet-domains lists EDL_DNS_new_domain action alert
set profiles spyware Outbound-AS botnet-domains lists EDL_DNS_new_domain packet-capture disable
set profiles spyware Internal-AS botnet-domains lists EDL_DNS_new_domain action alert
set profiles spyware Internal-AS botnet-domains lists EDL_DNS_new_domain packet-capture disable
set external-list EDL_Newly-registered-domain-exception type url recurring five-minute
set external-list EDL_Newly-registered-domain-exception type url certificate-profile Sectigo_RSA_Domain
set external-list EDL_Newly-registered-domain-exception type url url https://raw.githubusercontent.com/ZeroTrust0/Local-EDL-URL/refs/heads/master/Newly-registered-domain-exception
NB! Husk “Test Source URL”
set profiles url-filtering Outbound alert [ EDL_Newly-registered-domain-exception ]
NB. Husk å åpne for raw.githubusercontent.com i hvitelistingsregelsettet for brannmuren mot internett.
Send meg en melding om dere ser noe nytt som er sperret så legger jeg det til
Mange har mange brannmurer og da vil en slik løsning hjelpe til veldig.
Leave a Reply