Infoblox maakt van DNS de eerste verdedigingslinie

In dit artikel:

Infoblox positioneert DNS als het vroegste verdedigingspunt tegen cyberaanvallen en zegt kwaadaardige infrastructuur gemiddeld 68,4 dagen eerder te blokkeren dan traditionele detectietools. Volgens het bedrijf laat Protective DNS dreigingen zien in een fase waarin threat actors nog aan hun infrastructuur bouwen, doordat elke netwerkactie begint met een DNS-query voordat domeinen naar IP-adressen worden vertaald.

Het bedrijf monitort meer dan 200.000 clusters van threat actors en verwerkt tientallen miljarden DNS-queries per dag. Hiervoor gebruikt Infoblox tientallen gelijktijdige algoritmen en machine-learningmodellen die zowel simpele kenmerken (zoals registrars en nameservers) als complexere patronen (query-timing en inhoud) analyseren. Die combinatie van realtime DNS-telemetrie en voorspellende dreigingsinformatie moet campagnes onderbreken nog voordat er malware wordt afgeleverd.

In plaats van alleen malwarefamilies te detecteren, hanteert Infoblox een “cartel-first”-benadering: de focus ligt op de onderliggende infrastructuur en supply chains die aanvallers inzetten. Deze infrastructuurgerichte aanpak moet voorkomen dat aanvallen überhaupt impact hebben, door risicovolle en kwaadaardige domeinen vroegtijdig te identificeren en te blokkeren.

Om fout-positieven te beperken, zet Infoblox gepatenteerde algoritmen in voor domein-allowlists en reputatiescores. Waarschuwingen worden continu gemonitord en er wordt gekeken naar escalatiepercentages om te voorkomen dat de netwerkactiviteiten onnodig worden verstoord. Nieuwe detecties worden doorgaans binnen ongeveer 15 minuten beschikbaar gesteld voor klanten in on-premise en cloudomgevingen; in klantomgevingen kan inspectie van DNS-verkeer zelfs in minder dan een minuut leiden tot identificatie.

Voor organisaties die willen testen zonder hun productieomgeving te wijzigen, biedt Infoblox een Detection Mode. Daarmee kunnen teams inzicht krijgen in welke bedreigingen zouden zijn geblokkeerd wanneer Threat Defense inline zou draaien, zonder het DNS-verkeer onmiddellijk om te leiden—een praktisch hulpmiddel voor proof-of-concept-evaluaties.

Infoblox promoot bovendien het operationele voordeel van een geïntegreerd platform dat Protective DNS combineert met DDI-functies (DNS, DHCP, IPAM). Die samenhang geeft realtime context: DNS-query’s kunnen direct worden gekoppeld aan specifieke gebruikers, apparaten of workloads via IPAM/DHCP-gegevens. Dat versnelt onderzoek en herstel omdat security- en netwerkteams niet meer apart hoeven te zoeken naar context. Het platform ondersteunt ook integraties met SIEM-, SOAR-, XDR- en kwetsbaarheidsbeheeroplossingen om geautomatiseerde responsworkflows en snellere forensische analyses mogelijk te maken.

Voor CISO’s biedt Infoblox een “Protection Before Impact”-dashboard dat kwantificeert welke bedreigingen zijn geneutraliseerd voordat systemen verbinding maakten met malafide infrastructuur. In een tijd waarin aanvallen steeds slimmer worden, ziet Infoblox DNS-gebaseerde detectie als een strategisch voordeel door kwaadwillende activiteiten op het allerlaagste niveau van internetcommunicatie vroeg te onderscheppen.