▸ Blocage des menaces
Blocage des menaces
Quad9 a intégré des flux de renseignements sur les menaces à la fois commerciaux et publics. Chacun d'entre eux a été choisi sur la base de sa capacité avérée à identifier les acteurs de la menace et à fournir un large éventail de capacités pour identifier les exploits, les logiciels malveillants, les rançongiciels, les logiciels espions et autres sites potentiellement dangereux. Ces domaines ou hôtes sont mis à jour dans nos listes par nos partenaires de renseignement sur les menaces (TI), qui nous fournissent des données sur des flux qui sont rapidement mis à jour et distribués au fur et à mesure que de nouveaux risques liés aux domaines apparaissent.
Méthode de blocage
Presque toutes les transactions sur Internet commencent par une recherche de nom. Un navigateur, un appareil mobile, une application ou un système IoT tente d'établir une connexion avec un nom ("www.example.com") au début du chargement d'une page ou d'une autre interaction. Cependant, les noms n'ont aucun sens pour les systèmes connectés à Internet - ils doivent se connecter à une adresse IP ("10.10.2.3") à la place. Un système de mappage nom-numéro, appelé système de noms de domaine (DNS), est donc utilisé pour rechercher ces noms et découvrir les adresses IP qui leur sont associées. Le périphérique client doit communiquer avec ce que l'on appelle un "serveur DNS récursif" ou "résolveur" pour effectuer cette recherche. En général, ce résolveur est fourni par le fournisseur d'accès Internet, l'administrateur du réseau local ou le routeur de la maison. Le client se connecte au résolveur et lui donne le nom, puis, après un ensemble assez complexe de recherches qui peuvent couvrir une grande partie d'Internet, le résolveur renvoie au client l'adresse IP nécessaire. Quad9 remplace le résolveur local et remplit exactement la même fonction, mais ajoute une liste de blocage des domaines connus pour être malveillants. Si le client demande un hôte malveillant, le résolveur Quad9 refuse de répondre avec l'adresse IP, empêchant ainsi le client de se connecter à la destination malveillante. La configuration de Quad9 dans vos appareils peut être trouvée ici.
Types de blocage
Quad9 bloque uniquement les sites qui présentent un danger pour l'utilisateur final, son équipement ou le réseau. Quad9 ne bloque pas le contenu, et les accords avec les fournisseurs de renseignements sur les menaces stipulent que les critères de blocage sont exclusivement liés à la sécurité et non basés sur d'autres catégories. Quad9 ne bloque pas les publicités ni les trackers web. Pour les utilisateurs qui souhaitent résoudre tous les noms, sans blocage, Quad9 exploite un ensemble d'adresses IP qui offrent cette possibilité - voir notre page de configuration.
Avantages du blocage
En empêchant les connexions aux sites malveillants, Quad9 élimine l'exposition aux risques avant même qu'ils ne soient téléchargés sur les ordinateurs ou avant qu'une victime ne puisse voir le site Web frauduleux. L'impossibilité d'atteindre un hôte malveillant signifie que les défenses de deuxième couche, telles que la protection antivirus ou la détection basée sur l'utilisateur, comme l'examen des certificats, ne sont jamais mises en action.
Quad9 peut empêcher les connexions uniquement aux sites qui utilisent le DNS dans leur signalisation ou leur distribution. Une étude récente a déterminé qu'environ 33 % des violations de la cybersécurité pourraient être bloquées par un système basé sur le DNS tel que Quad9 (https://www.globalcyberalliance.org/reports_publications/measuring-the-economic-value-of-dns-security/).
Quad9 suggère que tous les utilisateurs disposent de plusieurs méthodes pour se défendre contre les cyber-risques, comme les logiciels anti-virus. Mais en tant que défense de première couche gratuite et facile à installer, Quad9 est extrêmement efficace pour prévenir un large éventail d'infections ou d'activités frauduleuses et peut facilement être mis en œuvre sur presque tous les appareils connectés à Internet dans un réseau ou une maison.
Sources de données de blocage
Quad9 s'associe à de nombreuses sources de renseignements sur les menaces ou Threat Intelligence (TI), tant commerciales que publiques. Ces partenaires fournissent des données sur les menaces à Quad9 dans le cadre de leurs missions visant à contribuer à la réduction des risques et de la cybercriminalité sur Internet et également parce que leur partenariat avec Quad9 peut les aider à améliorer leur propre capacité à détecter ces risques. La combinaison d'un parrainage philanthropique et d'une boucle de rétroaction vertueuse d'amélioration de la détection crée des conditions dans lesquelles les utilisateurs de Quad9 bénéficient de l'augmentation de l'utilisation de la plate-forme - plus de blocages signifient une amélioration accrue de la rétroaction de blocage.
Les partenaires de TI fournissent à Quad9 des informations sur les domaines ou les hôtes qui, selon eux, devraient être bloqués. En retour, les partenaires reçoivent de Quad9 des informations en temps quasi réel sur les taux volumétriques des menaces qu'ils répertorient. Ces données volumétriques leur permettent de comprendre le statut ascendant ou descendant de diverses campagnes de menaces et leur permettent d'améliorer les listes de domaines à risque qu'ils fournissent à Quad9. Quad9 est exclusivement un outil de distribution des données sur les menaces générées par les partenaires - nous ne générons pas notre propre ensemble d'indicateurs de compromission (IDC) basés sur les domaines et, par conséquent, nous ne sommes pas en concurrence avec nos partenaires TI.
En général, Quad9 obtient des domaines malveillants d'une vingtaine de sources TI différentes. Beaucoup de ces sources ont de larges capacités de détection des logiciels malveillants et fournissent une large couverture contre les nouvelles menaces de domaines émergents. Certaines sont plus spécifiques - elles peuvent, par exemple, cibler des marchés de niche tels que la fraude financière, les homoglyphes, les comportements passés des système de détection d'intrusion (IDS) de réseau, le phishing détectable par reconnaissance visuelle d'objets, la reconnaissance optique de caractères (OCR), la structure et les liens vers d'autres sites, ou les logiciels espions basés sur des applications. Cette combinaison de l'expertise extrêmement variée des fournisseurs de TI permet à Quad9 d'être plus efficace que tout autre système de blocage DNS qui s'appuie uniquement sur sa propre source de détection des logiciels malveillants ou des domaines de fraude.
Ce modèle de don de données et d'amélioration coopérative existe parce que Quad9 est une organisation à but non lucratif dont les objectifs sont spécifiquement alignés sur la sécurité et la confidentialité de nos utilisateurs finaux et non sur l'extraction d'argent des clients. Quad9 ajoute et modifie continuellement l'ensemble des fournisseurs de menaces afin d'offrir à sa communauté d'utilisateurs des capacités de blocage des menaces plus précises et plus rapides.