▸ Blockierung von Bedrohungen

Bedrohungsblockierung

Quad9 hat sowohl kommerzielle als auch öffentlich verfügbare Threat Intelligence Feeds integriert. Jeder einzelne wurde aufgrund seiner nachgewiesenen Eigenschaften ausgewählt, Bedrohungsakteure zu identifizieren und eine breite Palette von Funktionen zur Erkennung von Exploits, Malware, Ransomware, Spyware und anderen potenziell schädlichen Seiten zu bieten. Diese Domains oder Hosts werden in unseren Listen von unseren Threat Intelligence (TI) Partnern aktualisiert, die uns mit Daten über Feeds versorgen, die schnell aktualisiert und verteilt werden, sobald neue domainbasierte Risiken auftauchen.

Blockierungsmethode

Nahezu jede Transaktion im Internet beginnt mit einer Namensabfrage. Ein Browser, ein mobiles Gerät, eine Anwendung oder ein IoT-System versucht, zu Beginn eines Seitenaufrufs oder einer anderen Interaktion eine Verbindung zu einem Namen („www.example.com“) herzustellen. Für Systeme, die mit dem Internet verbunden sind, sind Namen jedoch bedeutungslos – sie benötigen stattdessen eine Verbindung zu einer IP-Adresse („10.10.2.3“). Daher wird ein System zur Zuordnung von Namen und Nummern verwendet, das als Domain Name System (DNS) bekannt ist, um diese Namen nachzuschlagen und dann herauszufinden, welche IP-Adressen mit ihnen verbunden sind. Das Client-Gerät muss mit einem so genannten „rekursiven DNS-Server“ oder „Resolver“ kommunizieren, um diese Suche durchzuführen. Normalerweise wird dieser Resolver vom ISP oder dem lokalen Netzwerkadministrator oder vom Heimrouter bereitgestellt – es ist ein Server, der irgendwo in der Nähe im Netzwerk steht. Der Client verbindet sich mit dem Resolver und teilt ihm den Namen mit. Nach einer ziemlich komplexen Reihe von Suchvorgängen, die sich über einen Grossteil des Internets erstrecken können, gibt der Resolver dem Client die benötigte IP-Adresse zurück. Quad9 ersetzt den lokalen Resolver und führt genau dieselbe Funktion aus, fügt aber eine Sperrliste mit Domains hinzu, die als bösartig bekannt sind. Wenn der Client nach einem bösartigen Host fragt, verweigert der Quad9-Resolver die Antwort mit der IP-Adresse und verhindert so, dass sich der Client mit dem bösartigen Ziel verbindet. Mehr zur Konfiguration von Quad9 in Ihren Geräten finden Sie hier.

Blockierarten

Quad9 blockiert nur Seiten, die eine Gefahr für den Endbenutzer, seine Geräte oder das Netzwerk darstellen. Quad9 blockiert keine Inhalte, und die Vereinbarungen mit Threat Intelligence Providern sehen vor, dass die Kriterien für die Blockierung ausschliesslich sicherheitsbezogen sind und nicht auf anderen Kategorien basieren. Quad9 blockiert keine Werbung oder Web-Tracker. Für Benutzer, die alle Namen auflösen möchten, ohne zu blockieren, betreibt Quad9 eine Reihe von IP-Adressen, die diese Möglichkeit bieten – siehe unsere Konfigurationsseite.

Blockiervorteile

Durch das Verhindern von Verbindungen zu bösartigen Seiten eliminiert Quad9 die Gefährdung durch Risiken, bevor diese überhaupt auf Computer heruntergeladen werden oder bevor ein Opfer die betrügerische Webseite sehen kann. Die Verhinderung des Erreichens eines bösartigen Hosts bedeutet, dass Abwehrmassnahmen auf zweiter Ebene, wie z. B. Virenschutz oder benutzerbasierte Erkennung, wie z. B. die Überprüfung von Zertifikaten, nie zum Einsatz kommen.
Quad9 kann nur Verbindungen zu Seiten verhindern, die DNS im Rahmen ihrer Signalisierung oder Verteilung verwenden. Eine kürzlich durchgeführte Studie hat ergeben, dass ca. 33 % der Cybersecurity-Verstösse durch ein DNS-basiertes System wie Quad9 blockiert werden konnten (https://www.globalcyberalliance.org/reports_publications/measuring-the-economic-value-of-dns-security/).
Quad9 empfiehlt allen Anwendern, sich mit mehreren Methoden gegen Cyber-Risiken zu schützen, z. B. mit Antiviren-Software. Aber als kostenlose, leicht zu installierende erste Verteidigungsebene ist Quad9 äusserst effektiv bei der Verhinderung einer breiten Palette von Angriffen oder betrügerischen Aktivitäten und kann leicht auf fast allen mit dem Internet verbundenen Geräten in einem Netzwerk oder Zuhause implementiert werden.

Quellen für Blockierdaten

Quad9 arbeitet mit vielen kommerziellen und öffentlichen Threat Intelligence Partnern (TI-Quellen) zusammen. Diese Partner stellen Quad9 Bedrohungsdaten im Rahmen ihrer Mission zur Verfügung, die Risiken und Cyberkriminalität im Internet zu reduzieren, und auch, weil ihre Partnerschaft mit Quad9 ihnen dabei helfen kann, ihre eigenen Fähigkeiten zur Erkennung dieser Risiken zu verbessern. Die Kombination aus philanthropischem Sponsoring und einer positiven Feedback-Schleife der Erkennungsverbesserung schafft Bedingungen, von denen Quad9-Benutzer gerade dann profitieren, wenn die Nutzung der Plattform zunimmt – mehr Blocks bedeuten eine verstärkte Verbesserung des Blocking-Feedbacks.

TI-Partner versorgen Quad9 mit Informationen über Domains oder Hosts, die ihrer Meinung nach blockiert werden sollten, und im Gegenzug erhalten die Partner von Quad9 nahezu in Echtzeit Rückmeldung über die volumetrischen Raten der von ihnen aufgelisteten Bedrohungen. Anhand dieser volumetrischen Daten können sie den steigenden oder fallenden Status verschiedener Bedrohungskampagnen nachvollziehen und die Listen riskanter Domains, die sie an Quad9 liefern, verbessern. Quad9 ist ausschliesslich ein Verteilungswerkzeug für die von Partnern generierten Bedrohungsdaten – wir generieren keinen eigenen Satz von domainbasierten Gefährdungsindikatoren („Indicators of Compromise“, IOCs) und stehen daher nicht in Konkurrenz zu unseren TI-Partnern.

In der Regel bezieht Quad9 bösartige Domains aus etwa zwanzig verschiedenen TI-Quellen. Viele dieser Quellen verfügen über umfassende Malware-Erkennungsfunktionen und bieten eine breite Abdeckung gegen neu auftretende Domain-Bedrohungen. Einige sind spezifischer – sie zielen beispielsweise auf Nischenmärkte wie Finanzbetrug, Homoglyphen, Netzwerk-IDS-Verhalten in der Vergangenheit, Phishing, das durch visuelle Objekterkennung erkannt wird, optische Zeichenerkennung („Optical Character Recognition“, OCR), Struktur und Verknüpfungen mit anderen Seiten oder App-basierte Spyware. Dank dieser Kombination aus extrem vielfältigem Know-how der TI-Anbieter ist Quad9 effektiver als jedes andere DNS-Blockierungssystem, das sich nur auf seine eigene Quelle zur Erkennung von Malware oder betrügerischen Domains verlässt.

Dieses Modell aus gespendeten Daten und kooperativer Verbesserung existiert, weil Quad9 eine gemeinnützige Organisation ist, deren Ziele speziell auf die Sicherheit und den Datenschutz unserer Endbenutzer ausgerichtet sind und nicht auf die Gewinnung finanzieller Mittel durch Kunden. Quad9 ergänzt und modifiziert kontinuierlich seine Sammlung von Bedrohungsanbietern, um unserer Anwendergemeinschaft noch genauere und schnellere Fähigkeiten zur Bedrohungsblockierung zu bieten.