Un dominio è un indirizzo Internet leggibile dall'uomo, come il nome di un'organizzazione o un marchio, che indirizza gli utenti verso un sito web o un servizio tramite DNS. Gli attaccanti possono registrare domini simili o creati di recente per ospitare pagine di phishing, raccoglitori di credenziali, reindirizzamenti o download di malware, perché un dominio spesso appare più affidabile di un indirizzo IP grezzo. In pratica, una campagna può usare molti domini, così gli indicatori bloccati vengono rapidamente sostituiti e le operazioni di rimozione hanno meno effetto.
I domini sono importanti nella sicurezza informatica perché rappresentano un punto chiave per il rilevamento e la risposta. I difensori monitorano i domini appena registrati, i sottodomini sospetti, i reindirizzamenti insoliti e i nomi di dominio che imitano servizi affidabili. I team di sicurezza usano anche i log DNS, i controlli di reputazione, il sinkholing e il filtraggio protettivo per correlare l'attività dei domini con i segnali provenienti da email, web ed endpoint. Un dominio quindi non è solo un indirizzo; è spesso la porta d'ingresso di un attacco o il primo indizio che lo rivela.