SkyDNS выделяет следующие категории угроз информационной безопасности: ботнеты, фишинговые сайты тайпсквоттинг, криптоджекинг, DGA (Domain Generation Algorithm), запаркованные домены, программы-вымогатели и вредоносные программы.
К ключевым функциональным возможностям защиты DNS относят перехват пользовательских DNS-запросов и блокировку автоматических серверов, предоставляющих сервисы DoH (DNS over HTTPS), что препятствует обходу системы DNS-фильтрации как для злоумышленников, так и для внутренних устройств, действующих в обход единой системы DNS. SkyDNS дополнительно применяет методы обнаружения аномалий трафика и N-грамм анализ для выявления DGA-доменов, которые не попадают под классическую фильтрацию по черным спискам.
Помимо указанных категорий информационной безопасности SkyDNS предоставляет дополнительно 65 категорий контента и возможность блокировок приложений, экосистем и облачных сервисов. База категорированных ресурсов SkyDNS включает практически 99% видимой части интернета и обновляется каждый день. Также ежегодно база фильтрации SkyDNS проходит оценку независимых лабораторий, показывая менее 2% ложно положительных срабатываний. База содержит более 120 собственных бинарных классификаторов и языковых моделей. SkyDNS обрабатывает 10 языков с разными диалектами и развивает полноценную нейронную сеть под каждую категорию контента или информационной безопасности со своими внутренними классификаторами и параметрами.
Наполнение базы происходит благодаря машинному обучению по трафику пользователей и отпечатков собственных краулеров, поисковых роботов. SkyDNS интегрирован с ICANN («Корпорация по управлению доменными именами и IP-адресами») для получения новых зарегистрированных доменов в реальном времени, подвергаемых тщательному наблюдению, поскольку в любой момент на таком домеен может появиться новый контент, инструмент злоумышленника. В базе категорированных ресурсов сохранены исторические данные о владельцах доменов, взаимосвязями между доменами и подсетями, благодаря чему каждый зафиксированный запрос обогащается полезными данными и связями к сторонним ресурсам. Запросы также анализируются по принадлежности к той или иной инфраструктуре. Такой подход позволяет предиктивно выявить угрозы безопасности, поскольку злоумышленники не всегда под новую атаку создают новую инфраструктуру. Таким образом домен, обратившийся к определенной инфраструктуре, помеченной как вредоносная, будет заблокирован автоматически.
Для защиты от туннелирования внутри DNS-трафика применяются алгоритмы, основанные на расстоянии Ливенштайна. SkyDNS на своей стороне формирует ту же выборку популярных запросов, что и злоумышленники, и сравнивает запросы пользователя со своей эталонной выборкой. Расстояние Ливенштайна как раз показывает, какие домены с большей долей вероятности маскируются под известные марки и бренды, такие пользовательские запросы могут быть смело заблокированы.
Как было сказано выше, еще одна интересная категория доменов — недавно зарегистрированные домены. Принято считать, что 70% новых доменов являются потенциально плохими. Конечно, можно превентивно блокировать недавно зарегистрированные домены, с высокой долей вероятности это не повлечет за собой негативных последствий для пользователей и критических сервисов. Тем не менее лучше работать на опережение, чтобы избежать как минимум ложных блокировок. В связи с этим SkyDNS собирает актуальные и ретроспективные данные: сформировать набор актуальных запросов от своей базы пользователей, получить информацию о новых зарегистрированных доменах в моменте, то есть большое количество регистраторов доменных зон. Далее строятся графы связанности, где необходимо сохранять предыдущие связи «домен-IP» и «домен- Name-сервер», а также владельцев доменов и даты их регистрации. На третьем этапе графы связанности сверяются с данными маршрутов, определяя, к какой сети идет обращение. Тем самым SkyDNS понимает, когда и кем был зарегистрирован домен, была ли ранее зафиксирована вредоносная активность по родительским ресурсам и на каких сетях это располагается. То есть по ассоциации подозреваемого домена с сетью злоумышленника можно выявить нижний домен фактически еще до регистрации самого домена. Отсюда можно сделать вывод, контролируется ли указанная сеть злоумышленниками. И все домены, которые будут зарегистрированы на сети злоумышленника, можно смело блокировать.
Дополнительно SkyDNS обеспечивает логирование всех входящих и исходящих запросов, обогащая данные для SIEM-системах, а также предоставляя удобные отчеты для расследования инцидентов.