Farsight Security bietet ein laufendes Monitoring der Internet-Bedrohungslage anhand von DNS-Daten (Domain Name System): Der US-amerikanische Anbieter, gegründet vom Internet-Pionier und jetzigen CEO Dr. Paul Vixie, unterhält mit „DNSDB“ eine Datenbank, in der Farsight Veränderungen von DNS-Einträgen kontinuierlich mitverfolgt. Das Unternehmen aus dem kalifornischen San Mateo erfasst dabei laut Bekunden Vixies über 200.000 DNS-Statusinformationen pro Sekunde.

Farsights Threat-Intelligence-Datenbank DNSDB basiert auf proprietärer Technik. Denn keine der handelsüblichen Datenbanken, so Paul Vixie gegenüber LANline, sei bei Unternehmensgründung in der Lage gewesen, das enorme DNS-Datenaufkommen mit der Anforderung echtzeitnaher Auswertung zu bewältigen.

Farsight ist laut Bekunden Paul Vixies Marktführer bei der passiven DNS-basierten Threat Intelligence (Erhebung von Bedrohungsdaten) für die Bedrohungsabwehr und die Computerforensik: Farsight sammle „wahrscheinlich mehr DNS-Einträge als alle anderen Anbieter, eventuell mit Ausnahme von Google“. Google stelle seine DNS-bezogenen Erkenntnisse aber nicht als Threat-Intelligence-Service bereit.

Auf der Basis dieses laufend aktualisierten DNS-Datenbestands erhalten die Security-Analysten von Farsight frühzeitig den Überblick darüber, wie sich das Internet entwickelt. So kann Farsight Alarm schlagen oder per API Automatismen auslösen, wenn verdächtige Veränderungen auftreten.

In der DNSDB erfasse Farsight täglich über 2 TByte an DNS-Daten, man habe bereits über 100 Milliarden DNS-Einträge gesammelt. Die dafür genutzte Streaming-Bandbreite gab Vixie mit 1 GBit/s an. Sollte ein Kundenunternehmen nicht über die erforderliche Bandbreite für Updates des Threat-Intelligence-Services verfügen, so repliziere man die Datenbank in das Kundennetzwerk. In diesen Fällen kommen laut Vixie zu den Farsight-Abonnementgebühren noch Lizenzkosten für die Datenbank hinzu, die das Unternehmen hierzu betreibt.

Der Threat-Intelligence-Service will auf der Basis der DNSDB besonders sicherheitsbewussten Unternehmen aller Branchen, Behörden sowie anderen IT-Security-Anbietern nützliche Kontextinformationen zur Bedrohungslage im Internet liefern. Mittels Farsight-Technik könne man die Incident-Untersuchung um Informationen zu aktuellen und vergangenen Domains, IP-Adressen und Host-Namen anreichern. „Die Bösen ändern zwar ihre Domain-Namen, aber nicht die IP-Adresse ihrer Name-Server“, kommentierte Vixie.

Farsight kann laut Vixie aktuelle Angaben zu Auffälligkeiten und Anomalien liefern, und dies über den Großteil des Internets hinweg – sämtliche DNS-Einträge erfasst seiner Einschätzung nach kein Anbieter auf der Welt, dafür sei das DNS inzwischen zu umfangreich. Ein Abonnent des Farsight-Services könne diese Domains und IP-Adressen dann blockieren oder bei Angriffen mittels Reverse Lookups für die Forensik nutzen. Außerdem werde damit ersichtlich, welche Provider die Angreiferseite nutzt. Zugleich gibt DNSDB Unternehmen die Möglichkeit, Bedrohungen ihres Online-Auftritts zu ermitteln, wie sie zum Beispiel durch Phishing-Domains entstehen.

Als Beispielfälle nannte Vixie im Gespräch mit LANline Finanzinstitute, die Farsights DNSDB-Service abonniert haben und auf dieser Basis neue Domains für zwölf oder 24 Stunden für die Firmenkommunikation sperren. Erst nach dieser Karenzfrist gehe E-Mail-Verkehr von diesen Domains durch die Firewall. Ziel ist es dabei, Schadsoftware zu vermeiden, für deren Verbreitung Kriminelle oder andere Bedrohungsakteure neue Domains einrichten, die noch nicht in den Blacklists von Anti-Spam-Providern erfasst sind.

Der Farsight-Chef selbst hält die Zwölf- oder 24-Stunden-Frist allerdings für übertrieben: „Meines Erachtens reicht eine Zeitspanne von zehn Minuten“, so Vixie. Denn spätestens nach zehn Minuten hätten Anti-Spam-Dienste wie Spamhaus die neuen Domains erfasst und auf ihre Blacklists gesetzt. Eine längere Frist berge hier nur die Gefahr, dass E-Mails von legitimen jungen Unternehmen und somit potenziellen Neukunden unbeantwortet bleiben.

Der Farsight-Service besteht laut Angaben Vixies seit 2010. Das Unternehmen habe heute 42 Mitarbeiter und 125 Kunden.

Weitere Informationen finden sich unter www.farsightsecurity.com.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.