Er zijn momenten waarop een netwerk laat merken dat het onder spanning staat. Dit begint zelden met een storing die meteen herleidbaar is. Kleine afwijkingen zoals een printer die pas na een paar pogingen reageert. Een applicatie die net iets langer nadenkt dan gebruikelijk. DNS-requests die een stuk trager zijn dan normaal is, maar niet langzaam genoeg om een alarm te laten afgaan. Het zijn signalen die meestal even blijven liggen omdat er geen duidelijke oorzaak naar voren komt.

Joris en Paul gaan hier dieper op in tijdens de podcast. Joris werkt al vijfentwintig jaar in cybersecurity en richt zich bij Infoblox volledig op DNS security binnen de Benelux, Nordics en Baltics. Paul ziet hetzelfde vanuit zijn rol als sales engineer, waar hij dagelijks meedraait bij banken en grote industriële organisaties waar core networking al snel complexer wordt dan teams kunnen bijbenen.

Wat zij opvallend vaak zien, is dat deze kleine verstoringen zich concentreren in netwerken die sneller zijn gegroeid dan hun DNS-basis. Organisaties draaien inmiddels meerdere cloudomgevingen naast elkaar, elk met een eigen DNS-dienst. Oude domain controllers blijven half meedraaien.

Automatiseringsscripts delen IP-adressen uit zonder één centrale bron van waarheid. Het netwerk functioneert nog wel, maar de samenhang neemt af en precies daar ontstaan de eerste zichtbare discrepanties.

Wanneer groei sneller gaat dan de basis

Microsoft DNS is jarenlang de ruggengraat geweest van kleine en middelgrote netwerken. Betrouwbaar, ingebouwd, en vooral: voorspelbaar. Maar het is ontworpen voor omgevingen met overzichtelijke structuren en weinig bewegende delen. Die situatie bestaat vrijwel nergens meer.

Zodra organisaties workloads naar de cloud verplaatsen, servers uitfaseren of steeds meer automatisering toevoegen, groeit de afhankelijkheid van DNS sneller dan de mogelijkheden van de gratis dienst die ooit met Windows Server werd meegeleverd. Het gevolg is een laag die blijft draaien, maar steeds minder begrijpt van wat zich in het netwerk afspeelt.

Eerste laag in de kill chain

Kleine afwijkingen zeggen niet alleen iets over de staat van het netwerk, maar ook over hoe aanvallen ontstaan. Aanvallers moeten zich oriënteren voordat ze iets kunnen uitvoeren. Die verkenning loopt vrijwel altijd via DNS.

Het begint met een onbekend domein dat wordt opgevraagd. Met een reeks NXDOMAIN-responses die nergens bij lijken te horen. Of met een client die contact zoekt met een adres dat nog maar een paar uur bestaat. Geen enkel detectiesysteem markeert dat als verdacht, maar in DNS zijn dit de eerste sporen van een aanvalsketen die zich nog moet ontvouwen.

Wat SOC’s niet zien

Securityteams reageren vooral wanneer iets misgaat. De meeste detectiesystemen kijken namelijk pas mee wanneer er al activiteit plaatsvindt:

• SIEM ziet alleen wat al als afwijkend gedrag is gelogd
• EDR slaat aan wanneer een proces ontspoort
• Firewall reageert wanneer verkeer plaatsvindt dat niet hoort

DNS laat die fase daarvoor al zien, omdat het de vragen registreert die een aanvaller stelt voordat er iets gebeurt.

Vroege signalen zichtbaar maken

Wanneer DNS-verkeer wordt verrijkt met context, ontstaat een heel ander beeld. Dat is precies wat Infoblox doet. Het platform koppelt queries uit alle omgevingen. On-premise, cloud, remote aan actuele threat intelligence.

Het herkent patronen in nieuwe domeinregistraties en kan voorspellen welke domeinen bedoeld zijn voor misbruik, nog voordat er kwaadaardig verkeer ontstaat.

Daarmee wordt zichtbaar wat Microsoft DNS niet laat zien: systemen die onverwacht nieuwe adressen opzoeken, domeinen die kort na registratie al worden benaderd, en verzoeken die horen bij infrastructuur die bekendstaat als command and control. Zonder dat er iets in de bestaande architectuur hoeft te veranderen, ontstaat een helder beeld van wat er daadwerkelijk gebeurt.

Druk op SOC en SIEM verlagen

Die verrijking heeft een direct effect op het werk van het SOC. In veel organisaties wordt DNS-logging zonder filter naar de SIEM gestuurd, met enorme hoeveelheden ruis tot gevolg. Dat kost geld, levert weinig op en zorgt ervoor dat securityteams vooral reageren op alerts die pas afgaan nadat er iets mis is gegaan.

Infoblox draait dat om. Door alleen de relevante DNS-events door te sturen en verdachte domeinen bij de eerste poging te blokkeren, ontstaat er veel minder downstream-verkeer om te onderzoeken. Het SOC hoeft niet meer te reageren op malware die nooit gedownload is, en de SIEM hoeft geen miljoenen standaardqueries op te slaan die niets toevoegen aan een onderzoek.

Hybrid en multicloud vergroten de kwetsbaarheid

In hybride en multicloudopzetten ontstaan fouten op plekken waar teams ze niet verwachten. Denk aan situaties waarin:

• elke cloudprovider een eigen DNS-dienst meebrengt
• domain controllers op sommige locaties verdwijnen en op andere blijven staan
• IP-ranges elkaar overlappen zonder dat iemand het ziet
• verschillende omgevingen verschillende antwoorden geven op dezelfde vraag

Het netwerk werkt nog wel, maar de samenhang verdwijnt. Daardoor ontstaan situaties waarin systemen antwoorden krijgen uit verschillende DNS-bronnen, IP-ranges elkaar overlappen en resolutie afhankelijk wordt van waar het verzoek toevallig binnenkomt.

Waar moderne dreigingen zichtbaar worden

De schaal van moderne dreiging wordt duidelijk wanneer je kijkt naar domeinregistraties. Dagelijks komen er ongeveer driehonderdduizend nieuwe domeinen bij. Een aanzienlijk deel daarvan is onderdeel van geautomatiseerde infrastructuur die cybercriminelen gebruiken.

Zij registreren complete reeksen namen die pas weken of maanden later worden ingezet voor phishing, command and control of malwarecampagnes. Grote redirect-netwerken analyseren het device, de locatie en het systeem van een slachtoffer voordat ze bepalen welke malware past. Die hele voorbereiding is zichtbaar in DNS, lang voordat andere systemen iets opmerken.

Waarom de volgende golf aanvallen Microsoft DNS treft

Organisaties die blijven vertrouwen op Microsoft DNS combineren een groeiende complexiteit met een dienst die geen zicht biedt op domeinregistraties, geen context geeft over dreigingspatronen en geen centraal beeld houdt wanneer netwerken opschuiven naar de cloud.

Afwijkingen worden daardoor gezien als losse incidenten, niet als onderdelen van hetzelfde patroon. In een tijd waarin aanvallers hun infrastructuur vergaand automatiseren en domeinen massaal inzetten voor verkenning en selectie, raakt een DNS-laag zonder diepte al snel achterop. Precies daar ontstaat de ruimte waarin de volgende golf aanvallen zich ongemerkt kan installeren.

Begin met deze stap

Maak zichtbaar wat er nu al gebeurt. Een korte periode van DNS-querylogging is vaak genoeg om te zien hoeveel onbekende domeinen worden aangeroepen en welke systemen zich anders gedragen dan verwacht. Die inzichten vormen het vertrekpunt voor een netwerk dat niet alleen draait, maar ook begrijpelijk blijft. Wie de basis onder controle houdt, voorkomt dat kleine afwijkingen uitgroeien tot risico’s die pas zichtbaar worden wanneer het al te laat is.