DNS Security
Un 40 % más de cobertura de amenazas
de DNS que cualquier otra solución
disponible
El sistema de nombres de dominio (DNS) está a
merced de los atacantes. Su ubicuidad y su gran
volumen de tráfico permiten a los adversarios
ocultar actividades malintencionadas. El equipo
de investigación de amenazas Unit 42 de Palo Alto
Networks identificó que el 85 % del malware utiliza DNS
para iniciar procedimientos de comando y control (C2).
Los atacantes también pueden abusar de DNS con una
gran cantidad de técnicas para entregar malware y filtrar
datos. Desafortunadamente, los equipos de seguridad
a menudo carecen de visibilidad básica sobre el uso
de DNS por parte de las amenazas que les permitiría
responder con eficacia. Los enfoques actuales carecen
de automatización; lo llenan de datos desordenados de
herramientas independientes; o requieren cambios en
la infraestructura de DNS que no solo se pueden eludir,
sino que también requieren un mantenimiento continuo.
Es hora de recuperar el control de su tráfico DNS.
Palo Alto Networks | DNS Security | Hoja de datos
Beneficios de negocios
• Mantenga su organización a salvo
de las últimas amenazas basadas en
DNS. Identifique e interrumpa los
últimos ataques que abusan de DNS
mediante el aprendizaje automático
en línea.
• Reduzca los costos y reúna a los
proveedores con herramientas
de seguridad de DNS. Amplíe su
inversión en NGFW y ahorre tiempo
en las operaciones con una única pila
de seguridad de red coordinada para
todas las alertas, políticas, violaciones
de reglas, IDPS, seguridad web,
análisis de malware y DNS.
• Disfrute de las últimas innovaciones
en materia de seguridad sin impacto
para el usuario. DNS Security, que
está diseñado sobre una arquitectura
modular basada en la nube, incorpora
sin problemas nuevas capacidades
de detección, prevención y análisis
sin necesidad de reconfiguración,
a diferencia de otras soluciones.
• Optimice su postura de seguridad.
Utilice su panel de análisis de DNS
Security para garantizar que los NGFW
con una gran cantidad de tráfico DNS
estén protegidos.
1
DNS Security le ofrece protección en tiempo real mediante la aplicación de las primeras protecciones del sector
para interrumpir los ataques que utilizan DNS. La estrecha integración con el firewall de nueva generación (NGFW)
de Palo Alto Networks le brinda protección automatizada, evita que los atacantes eludan las medidas de seguridad
y elimina la necesidad de herramientas independientes o cambios en la ruta de DNS. DNS Security ofrece a su
organización un nuevo punto de control esencial para detener los ataques.

La diferencia de DNS Security

Creado en la nube, DNS Security es un servicio de suscripción que funciona de forma nativa con su NGFW
para proteger su tráfico DNS.
Gracias a la información sobre amenazas compartida y al aprendizaje automático (ML), se identifica rápidamente
cualquier amenaza oculta en el tráfico DNS. Las protecciones basadas en la nube se entregan al instante, se escalan
de forma infinita a todos los usuarios y están siempre actualizadas. Un panel de análisis especialmente diseñado
proporciona una visibilidad completa de su tráfico DNS junto con un contexto de un solo clic para cualquier ataque
que detecte el servicio DNS Security. DNS Security ofrece:
• Una protección sin precedentes contra las amenazas basadas en DNS mediante innovadores algoritmos de ML
en línea que predicen e identifican amenazas nuevas y avanzadas, e interrumpen los ataques.
• Seguridad que no se puede eludir al cambiar la configuración del DNS.
• Implementación extraordinariamente sencilla: solo tiene que activar y gestionar su suscripción a través de su
NGFW. No se preocupe por redirigir el tráfico DNS ni por los prolongados procesos de gestión de cambios.
• Máxima eficiencia operativa al proteger el tráfico DNS a través de la plataforma de Palo Alto Networks.

Capacidades clave
Protéjase contra los últimos y más avanzados ataques basados en DNS
Más allá del malware, el phishing y otras amenazas tradicionales, los adversarios también aprovechan el DNS
para establecer un C2 confiable, atacar a hosts dentro de la red corporativa desde Internet, realizar ataques de
denegación de servicio distribuida (distributed denial-of-service, DDoS) e, incluso, causar daños a la reputación
al tomar el control de sus dominios. La seguridad moderna de la capa DNS debe poder identificar e interrumpir
estos ataques.

Integrado de forma nativa Visibilidad completa Cobertura integral Ataques a la capa DNS
evitados en el cuarto
trimestre de 2021

1,7 mil
millones
Inteligencia Motores de detección Dominios
DNS
sobre amenazas con tecnología de ML malintencionados
bloqueados
DNS Security

105 millones
Dominios
Prisma Access DGA bloqueados
NGFW
(Dispositivo periférico de servicio (Hardware, VM, CN)
de acceso seguro)

38 millones
Túneles del
DNS bloqueados

Sucursal Sede principal Centro de datos Usuario móvil Nube pública

Figura 1: Proteja el tráfico DNS con protecciones líderes del sector

DNS Security | Hoja de datos 2

La detección y la prevención de sofisticados ataques a la red de la capa DNS y de técnicas de filtración de datos requieren
algoritmos de ML que puedan analizar rápidamente el tráfico DNS y anticiparse a las amenazas. También requiere
sólida información sobre amenazas para informar esos algoritmos y medidas diseñadas para brindar protección contra
técnicas de ataque específicas. Por último, requiere puntos de aplicación para bloquear o sinkhole la actividad de DNS
malintencionada una vez identificada.
El servicio DNS Security predice y detiene los dominios malintencionados con aplicación instantánea a través del NGFW,
y lo protege contra los ataques automatizados. Nuestros motores de detección con tecnología ML (consulte la tabla 2)
resuelven los principales ataques emergentes basados en DNS, como los túneles DNS ultralentos, DNS pendiente y el
reenlace de DNS. DNS Security puede incluso predecir nuevos dominios malintencionados justo después de su registro,
antes de que se puedan utilizar contra usted. Las protecciones integrales de DNS Security, líderes en el mercado, le
proporcionan la seguridad más eficaz, independientemente de la configuración de DNS, las configuraciones y el modelo
de implementación.

Detenga amenazas conocidas

La suscripción a DNS Security ofrece protección ilimitada contra decenas de millones de dominios malintencionados,
identificados con análisis en tiempo real, aumentando la inteligencia global de amenazas constantemente. Nuestra base
de datos en la nube se escala con datos de una comunidad de uso compartido de información sobre amenazas grande y
en constante expansión, que se suma a las fuentes de Palo Alto Networks que incluyen:
• Servicio de prevención de malware Advanced WildFire para encontrar nuevos dominios de C2, dominios de origen
de descarga de archivos y dominios en enlaces de correo electrónico malintencionados.
• URL Filtering para rastrear de forma continua los sitios recientemente descubiertos o no categorizados en busca
de indicadores de amenazas.
• DNS pasivo y telemetría de dispositivos para entender el historial de resolución de dominios visto desde miles
de NGFW implementados, lo que genera petabytes de datos por día.
• Investigación de amenazas Unit 42 para proporcionar un rastreo de adversarios impulsado por humanos e ingeniería
inversa de malware, que incluye información de honeypots implementados globalmente.
• Más de 30 fuentes de información sobre amenazas de terceros para enriquecer los datos y garantizar la cobertura.

Aprovechar la acción basada en categorías

Cree políticas específicas para los tipos de tráfico DNS. Todas las consultas de DNS se cotejan con nuestra base de
datos escalable en la nube en tiempo real para determinar las acciones de aplicación apropiadas. DNS Security utiliza
ML para detectar y categorizar rápidamente las amenazas a través de DNS. Según esas categorías, las respuestas
más efectivas se implementan automáticamente a través de acciones minuciosas basadas en políticas. Establezca

Tabla 1: Categorías de DNS Security

Esta categoría incluye las URL y los dominios utilizados por el malware o los sistemas comprometidos
Comando y control (C2) para comunicarse de manera subrepticia con el servidor remoto de un atacante a fin de recibir comandos
malintencionados o filtrar datos (esto incluye la detección de túneles DNS y la detección DGA.).

DNS Security detecta los servicios DDNS de exploits mediante la filtración y el cotejo de datos DNS
DNS dinámico (DDNS) de varias fuentes para generar listas de candidatos que luego se validan con el objetivo de maximizar
la precisión.

Los dominios malintencionados alojan y distribuyen malware, y pueden incluir sitios web que intentan
Malware
instalar diversas amenazas (p. ej., archivos ejecutables, scripts, virus, descargas “drive-by”).

Los dominios recientemente registrados son dominios nuevos, que no se registraron nunca y que han
Dominios recientemente sido agregados recientemente por un operador o una entidad de TLD. Si bien los nuevos dominios pueden
registrados (NRD) crearse con fines legítimos, la gran mayoría suele utilizarse para facilitar actividades malintencionadas,
como operar como servidores C2 o distribuir malware, spam, PUP/adware.

Los dominios de phishing intentan atraer a los usuarios para que envíen datos confidenciales, tales como
Phishing información personal o credenciales de usuario, haciéndose pasar por sitios web legítimos mediante
phishing o pharming.

Los dominios de grayware generalmente no suponen una amenaza directa para la seguridad; sin embargo,
Grayware pueden facilitar vectores de ataque, producir diversos comportamientos indeseables o simplemente
incluir contenido cuestionable u ofensivo.

Los dominios detenidos suelen ser sitios web inactivos que alojan un contenido limitado, a menudo
Detenido en forma de anuncios mediante clics, que pueden generar ingresos para la entidad anfitriona pero que,
por lo general, no tienen un contenido útil para el usuario final.

Elusión de proxy y Los servicios de elusión de proxy y anonimizadores se utilizan para eludir las políticas de filtrado
anonimizadores de contenido.

DNS Security | Hoja de datos 3

una política para bloquear, alertar o sinkhole sobre la base de categorías que incluyen malware, DGA, túneles
de DNS, C2, DNS dinámico o dominios recientemente registrados. Con categorías minuciosas de tráfico DNS
(consulte la tabla 1), los administradores pueden elaborar políticas personalizadas para manejar dominios buenos,
malintencionados y sospechosos de forma independiente.

Identifique y ponga en cuarentena los sistemas infectados

Utilice la automatización para evitar la propagación de la infección. Automatice las respuestas dinámicas para
encontrar máquinas infectadas y responder rápidamente con políticas. Cuando se identifican ataques que
utilizan DNS, los administradores de seguridad pueden automatizar el proceso de sinkholing de dominios
malintencionados en el NGFW para cortar el C2, identificar rápidamente a los usuarios infectados en la red e
incluso aislarlos. La combinación de sinkholing de dominios malintencionados, grupos dinámicos de direcciones
(DAG) y acciones de registro permite automatizar los flujos de trabajo de detección y respuesta, ahorrando tiempo
a los analistas al eliminar los procesos lentos y manuales que requieren otras soluciones.

Obtener información de los análisis de DNS

Proporcione a su personal de seguridad el contexto que necesita para actuar. Las capacidades de informes de
amenazas permiten una visión más profunda de las amenazas que nunca antes, lo que proporciona una visibilidad
completa del tráfico DNS con:
• Historial completo de cualquier dominio a través de un panel de control fácil de utilizar para ayudar a informar
de dónde proceden los dominios, validar lo que es malintencionado y apoyar la evaluación y la respuesta a los
incidentes.
• Contexto en torno a los eventos DNS que le mostrará qué tipo de dominios se están consultando y con qué
frecuencia, marcas de hora, información DNS pasiva para cada dominio, información WHOIS y cualquier etiqueta
de malware asociada.
• Higiene de la seguridad para hacer un seguimiento de las capacidades de seguridad que están habilitadas
por sus NGFW en todo su patrimonio, lo que le permite eliminar rápidamente cualquier punto ciego.

Inspeccione todos los tipos de tráfico DNS

Obtenga visibilidad y proteja todos los tipos de tráfico DNS, como DNS en texto plano, DNS sobre TLS (DoT) y DNS
sobre HTTP (DoH), incluidos los que se dirigen a resoluciones desconocidas.
• Aproveche el descifrado de su firewall para inspeccionar el tráfico DNS cifrado, como DoH y DoT.
• Ponga en cuarentena a los usuarios infectados de su red.
• Aproveche AIOps para obtener una visibilidad completa de todo el tráfico DNS, incluidas las tendencias,
todo en un único panel de control.
• Proteja todo tipo de tráfico DNS, incluido el tráfico dirigido a resoluciones de DNS desconocidas.

El poder de las suscripciones de

Beneficios operativos
seguridad de Palo Alto Networks La suscripción a DNS Security le permite lo siguiente:

Detección y prevención de las amenazas avanzadas
con servicios de seguridad en la nube
En la actualidad, los ciberataques han aumentado en volumen y sofisticación,
escalando a 45 000 variantes en 30 minutos, que utilizan múltiples vectores de
amenaza o técnicas avanzadas para entregar cargas útiles malintencionadas
dentro de su empresa. La seguridad tradicional y dispar desafía a las
organizaciones a proteger a sus usuarios, dispositivos y aplicaciones, al crear
brechas de seguridad, al aumentar la sobrecarga de gestión para los equipos de
seguridad, y al obstaculizar la productividad de la empresa mediante un acceso
y una visibilidad inconsistentes. Nuestros servicios de seguridad en la nube,
perfectamente integrados con la plataforma de firewall de nueva generación
líder del sector, utilizan el efecto de la red de 80 000 clientes para coordinar
de forma instantánea la información y brindar protección contra todas las
amenazas en todos los vectores de amenaza. Elimine las brechas de cobertura
en todas las ubicaciones de la empresa y aproveche la seguridad de la más alta
calidad suministrada de forma consistente en una plataforma, para poder estar
a salvo incluso de las amenazas más avanzadas y evasivas.
• Implementar con facilidad. La estrecha integración
con la plataforma NGFW indica que simplemente está
activando un servicio sin tener que redirigir su tráfico
DNS a resoluciones externas que los atacantes puedan
eludir fácilmente.
• Obtener protección que no impacte en el rendimiento.
La seguridad avanzada se aplica sin problemas a las
consultas DNS en tiempo real, sin impacto en el negocio.
• Mantener una visibilidad total del tráfico DNS. En el
panel visual se ofrece a los ingenieros de seguridad de la
red y a los analistas del SOC una rápida evaluación visual
del uso de DNS de su organización.
• Personalizar la respuesta a través de las categorías de
DNS. Configure fácilmente las políticas en línea con
su perfil de riesgo mediante la automatización de las
respuestas basadas en los tipos de tráfico DNS.

DNS Security | Hoja de datos 4

 Tabla 2: Servicios de seguridad en la nube
Advanced Threat Detenga los exploits, el malware, el spyware y las amenazas de comando y control (C2) conocidos a la
Prevention vez que utiliza la primera prevención del sector de ataques de día cero: evite un 60 % más de ataques de
inyección desconocidos y un 48 % más de tráfico de comando y control altamente evasivo que las soluciones
IPS tradicionales.

Advanced WildFire Garantice la seguridad de los archivos a través de la prevención automática del malware conocido, desconocido y
altamente evasivo 60 veces más rápido con el mayor motor de inteligencia de amenazas y prevención de malware
del sector.

Advanced URL Filtering Garantice un acceso seguro a Internet y evite un 40 % más de ataques basados en la web con la primera prevención
en tiempo real de amenazas conocidas y desconocidas del sector, que detiene el 88 % de las URL malintencionadas,
al menos, 48 horas antes que otros proveedores.

DNS Security Obtenga un 40 % más de cobertura frente a amenazas y detenga el 85 % del malware que hace mal uso de DNS
para ataques de comando y control y para el robo de datos sin necesidad de realizar cambios en su infraestructura.

Enterprise DLP Minimice el riesgo de una filtración de datos, detenga las transferencias de datos fuera de política y permita el
cumplimiento de la normativa de forma sistemática en toda la empresa, con una cobertura dos veces mayor que
la de cualquier DLP empresarial en la nube.

Seguridad SaaS El único CASB de nueva generación del sector integrado de forma nativa en Palo Alto Networks SASE ofrece
visibilidad proactiva de SaaS, protección completa contra configuraciones erróneas, protección de datos en tiempo
real y la mejor seguridad de su clase.

Seguridad de IoT Proteja cada “cosa” e implemente seguridad de dispositivos de Zero Trust 20 veces más rápido con la seguridad
más inteligente del sector para dispositivos inteligentes.

AIOps AIOps para NGFW redefine la experiencia operativa del firewall al permitir a los equipos de seguridad reforzar
de forma proactiva la postura de seguridad y resolver las interrupciones del firewall.

Unit 42 Threat Intelligence

PN
Unified management Simplified operations

WF DNS DLP IoT

Stop 60% more 60x faster Stop 40% 40% more Leading API 2x more 90% devices
zero-day exploits verdicts more threats threat coverage security for SaaS coverage in 48 hours

Known, unknown, Consistent prevention

and evasive threats everywhere in seconds

NGFW (PA, VM, CN) Prisma SASE Prisma Cloud Cortex XDR

Devices Users Applications Data

Figura 2: Detecte y prevenga las amenazas avanzadas con servicios de seguridad en la nube

DNS Security | Hoja de datos 5

 Tabla 3: Características de DNS Security

Función Descripción

Protección en línea Utiliza el análisis basado en ML para identificar las amenazas avanzadas basadas en DNS (que aparecen
basada en ML en los detectores de seguridad de DNS).

Contiene decenas de millones de dominios malintencionados conocidos, lo que le permite bloquear el

Base de datos en la nube
phishing, el malware y otras categorías de alto riesgo.

Proporciona capacidades de informes de amenazas que permiten una visibilidad completa del tráfico DNS,
Análisis de DNS Security junto con el contexto completo de DNS en torno a los eventos de seguridad y las tendencias del tráfico
en el tiempo.

Permite falsificar una respuesta a una consulta DNS para un dominio malintencionado conocido y hacer
que ese nombre de dominio malintencionado se resuelva en una dirección IP definible dada al cliente.
Sinkholing de DNS Los intentos del cliente de acceder a la dirección de sinkhole pueden registrarse y desencadenar acciones
automatizadas (por ejemplo, cuarentena). Esta técnica puede utilizarse para identificar los hosts infectados
en la red.

Le permite definir acciones de política separadas, así como un nivel de gravedad de registro para un tipo
de firma específico. Puede crear políticas de seguridad específicas basadas en la naturaleza de una amenaza
Categorías de DNS Security
(p. ej., C2, DNS dinámico, malware, dominio recientemente registrado, phishing, grayware, dominio
detenido, elusión de proxy y anonimizadores) de acuerdo con los protocolos de seguridad de su red.

Detectores de DNS Security

Algoritmo de generación de Identifica el uso de DGA, que generan dominios aleatorios sobre la marcha para que el malware los utilice
dominios (DGA) como forma de llamar a un servidor C2.

DGA de diccionarios Identifica dominios de DGA según palabras del diccionario.

Impiden el uso de esta técnica, que aprovecha el protocolo DNS para canalizar el malware y otros datos a
Túneles DNS
través de un modelo cliente-servidor.

Interrumpe los túneles DNS ultrabajos/ultralentos que propagan los datos y los exploits en túneles a través
Túneles DNS ultralentos de varios dominios y utilizan tasas muy lentas para evadir la detección, robando datos o enviando cargas
útiles malintencionadas adicionales a su red.

Dominios estratégicamente Análisis predictivos que protegen a los usuarios de conectarse a dominios reservados y dejados inactivos
antiguos durante meses antes de ser utilizados por actores malintencionados.

Evita el flujo rápido, una técnica que los ciberdelincuentes utilizan para recorrer los bots y los registros
Dominios de flujo rápido DNS. Las redes de flujo rápido se utilizan para el phishing, la distribución de malware, las estafas y las
operaciones de botnet.

Zonas de dominio Protección frente a dominios agregados de forma subrepticia a zonas DNS hackeadas de dominios con
comprometidas buena reputación.

Evita los ataques de reenlace de DNS, que pueden utilizarse para moverse lateralmente y atacar servicios
Ataques de reenlace de DNS
dentro de la red corporativa desde Internet.

Evita los ataques de DNS pendientes, que se aprovechan de los datos de zona de DNS obsoletos para hacerse
Ataques DNS pendientes
con dominios y causar daños a la reputación o lanzar ataques de phishing.

Evita que los atacantes dirijan a los usuarios a dominios malintencionados mediante el uso de un registro
DNS comodín
DNS comodín.

Infiltración de DNS Evita técnicas que vulneren el protocolo de DNS para introducir cargas malintencionadas en su red.

Dominios de denegación de
servicio (denial-of-service, Evita que los usuarios se conecten a dominios que pueden ser utilizados para lanzar ataques DDoS.
DOS) de NXNS

Dominios malintencionados
Utilizan el análisis predictivo para identificar los dominios registrados por actores malintencionados
recientemente registrados
en el momento del registro.
(NRD)

DNS Security | Hoja de datos 6

 Tabla 4: Resumen de privacidad y licencias

Privacidad con la suscripción a DNS Security

Palo Alto Networks cuenta con estrictos controles de privacidad y seguridad para evitar el acceso
no autorizado a información confidencial o identificable. Aplicamos las prácticas recomendadas del
Confianza y privacidad
sector en materia de seguridad y confidencialidad. Puede encontrar más información en nuestras
hojas de datos de privacidad.

Licencias y requisitos

Para usar la suscripción a DNS Security de Palo Alto Networks, necesitará:

Requisitos • Firewalls de nueva generación de Palo Alto Networks que ejecutan PAN-OS 9.0 o posterior
• Licencia de Threat Prevention de Palo Alto Networks

Utilice DNS Security con los firewalls de nueva generación de Palo Alto Networks implementados
Entorno recomendado en cualquier ubicación con acceso a Internet, ya que las amenazas que implican dominios
malintencionados, túneles y otros abusos de DNS requieren de una conectividad externa.

DNS Security requiere de una licencia independiente, entregada como una suscripción integrada
Licencia de DNS Security basada en la nube para los firewalls de nueva generación de Palo Alto Networks. También está
disponible como parte de la suscripción ELA, VM-Series ELA, o Prisma Access de Palo Alto Networks.

3000 Tannery Way © 2022 Palo Alto Networks, Inc. Palo Alto Networks es una marca comercial
Santa Clara, CA 95054 registrada de Palo Alto Networks. Puede acceder a una lista de nuestras
marcas comerciales en https://www.paloaltonetworks.com/company/
Teléfono principal: +1,408,753.4000 trademarks.html. Todas las otras marcas aquí mencionadas pueden ser
Teléfono de ventas: +1,866,320.4788 marcas comerciales de sus respectivas compañías.
Teléfono de asistencia: +1,866,898.9087 parent_ds_dns-security_120222

www.paloaltonetworks.com