Blue Shield Umbrella

Der Blue Shield Umbrella ist ein Cloud-basiertes DNS-System, das Gefahren bereits abwehrt, bevor sie in das Netzwerk des Kunden gelangen. Es überwacht den laufenden DNS-Verkehr und entscheidet in Echtzeit anhand von unterschiedlichen Algorithmen, ob Anfragen erlaubt werden oder nicht. Auf diese Weise werden unbekannte Angriffe effektiv unterbunden. Hierbei liegt der prinzipielle Unterschied zu konventionellen Systemen darin, dass keine Signaturen und Ähnliches zum Einsatz kommen, sondern künstliche Intelligenz.

Beispiel:
Predictive und evolutionäre Algorithmen und zahlreiche weitere hochspezifische mathematische Algorithmen zur Bewertung von Domains.

Auf einer sogenannten „WhiteList“ (Root Nameserver Basis) wird vorsortiert, bevor eine Domain in unser DNS-System aufgenommen wird. Zu dieser Bewertung, ob eine Domain auf der Blue Shield Umbrella-Plattform aufgenommen wird, kommen speziell entwickelte Sandbox-Lösungen von verschiedenen Herstellern, eigene Crawler und ein neuartiger Algorithmus zum Einsatz, welcher jeglichen Web Code auf schadhafte Software scannt und auch weiterführende Links prüft (z.B. für CDN Networks, Forum Links usw.). Dadurch setzen wir im Bereich ZeroDay Prävention neue Maßstäbe. Zudem forschen und entwickeln wir im Bereich Command and Control Traffic weit über den bekannten DGA (Domain Generation Algorithm) hinaus, da Blue Shield Umbrella den unbekannten C&C Traffic blockiert, wo IPS-Systeme und Reputation Services durch ihre Architektur versagen.

Bei der sogenannten Real Time Prevention (Echtzeit-Schutz) werden keine Ergebnisse gespeichert, sondern bei jedem Aufruf in Echtzeit die Verbindungsdaten des Zieles geprüft und mit Algorithmen unter Verwendung historischer Daten bewertet, ob das aktuelle Verhalten gut oder schlecht ist. Sollte sich eine Infrastruktur drastisch ändern, sodass die historischen Daten nicht mehr zum aktuellen Verhalten passen, sperren wir die Domain bis zur neuen Erstellung eines Profils für die Real Time Prevention.

Warum Blue Shield?
Die Technik im Hintergrund

Eigene Spielregeln der Root Server

Auf einer sogenannten «WhiteList» Root Namensserver Basis wird schon vorsortiert, bevor eine Domain in unser DNS-System aufgenommen wird. Zu dieser Bewertung, ob eine DSomain auf der Blue Shield Umbrella-Plattform aufgenommen wird, kommen speziell entwickelte Sandbox-Lösungen von verschiedenen Herstellern, eigene Crawler und ein ganz neuartiger Algorithmus zum Einsatz.

Jeglicher Web Code wird auf schadhafte Software gescannt und auch weiterführende Links werden geprüft, z.B. für CDN Networks, Forum Links usw. – dadurch setzen wir im Bereich ZeroDay Präventionen neue Massstäbe.

Realtime Prevention

Dabei werden keine Ergebnisse gespeichert, sondern bei jedem Aufruf in Echtzeit die Verbindungsdaten des Zieles geprüft und mit Algorithmen und Verwendung historischer Daten bewertet, ob das aktuelle Verhalten gut oder schlecht ist.

Sollte sich eine Infrastruktur drastisch ändern, sodass die historischen Daten nicht mehr zum aktuellen Verhalten passen, sperren wir die Domain bis zur neuen Erstellung eines Profils für die Realtime Prevention.

Code-Scans per KI im Hintergrund

Parallel laufen für die aufgerufenen Hosts im Hintergrund Code Sacans auf Basis des neuen mathematischen Algorithmus inklusive der speziell entwickelten Sandbox, um auch neben den Verbindungsdaten sofort zu erkennen, wenn sich ein Code bösartig verändert. Diese Information wird laufend herangezogen, um festzustellen, ob die gewünschte Domain auf unseren Klonen der Root Namenserver weiterhin anerkennt wird.

Unbekanntes wird blockiert

Webserver, Domains, IPs und Authoritative Server, welche der BSU nicht kennt, werden zunächst blockiert.

Während dieser Zeit analysiert und lernt unser System über das neue Ziel;

  • Verbindungsverhalten
  • Code Bewertung inkl. versteckter Unterverzeichnisse
  • Jeglicher sonstige Traffic

Zusätzlich kommt PassiveDNS Learning zum Einsatz

(seit 2013 Aufbau der Datenbasis für das Machine Learning)

  • Welche Domains zeigen auf das Ziel, sind diese schon aufgefallen
  • Owner der Damian inkl. seiner Historie
  • Authoritative Nameserver

Laufende Bewertung & Überprüfung der Whitlist

Nur wenn alle Kriterien positiv bewertet werden können, wird eine Domain in die eigenen Root Namenserver aufgenommen und dann zusätzlich durch Realtime Prevention und Codescans per KI überprüft.

Daten & Fakten

Aktuell blockieren wir alle Domains von mehr als 4000 Authoritative Nameserver, Tendenz steigend.

Mehr als 248 Millionen neue Domains im Quartal weltweit – davon sind mehr als 70% schadhaft oder Command & Control Domains und werden somit auf unsrer Plattform nicht aufgenommen.