為什么這么重要?
作為一個關鍵的網絡服務,網絡罪犯可以合理地期望任何網絡具有DNS可用。此外,它幾乎總是提供一個走出網絡的路徑:找到主機的IP地址,惡意軟件必須與互聯網上的域名服務器通信,并聽取答案。而且對于大多數網絡允許某種類型的互聯網訪問,對于這些DNS查詢往往會有一個路由。
最后,由于DNS沒有內在安全性,它本身容易受到入侵。因為在最初設計的30多年前,互聯網是一個非常不同的領域。更糟糕的是,傳統的安全解決方案往往沒有考慮DNS或解決其漏洞。
簡單來說:這個網絡雖然無處不在,但其本質上是不安全的,DNS往往被組織的安全投資所忽視。但它并沒有逃過網絡罪犯的注意…
最終,經濟學的問題意味著黑客現在使用DNS作為控制平臺將惡意軟件植入到組織中。
作為一個行業,人們已經成功地保護HTTP,它被廣泛應用于多層次的現代網絡安全電子商務協議。人們投資了端點安全,入侵防御系統,下一代防火墻,以及現在的網絡應用防火墻。
因此,網絡犯罪分子越來越難以逾越組織設置越來越多的障礙。與此同時,黑客行業也在以更快的速度創新,通過利用DNS作為新的隱蔽渠道,增加入侵成功的機會。 DNS被所有網絡和安全設備所信任,因此可以靜默地遍歷任何網絡設備,安全系統,數據丟失防護功能(DLP),甚至應用服務器。
通過在DNS查詢或在從DNS協議的角度看起來“正確”的相關聯響應中可以編碼任意數據,使得數據過濾的檢測變得困難。
例如,如果為名為Jane-doe-2000-11-25.domainownedby badguys.com的域發出查詢,可能是主機被稱為jane-doe-2000-11-25,或者它是某人的姓名和出生日期的組織。無論響應是什么,其數據已經被過濾。如果它是二進制數據,它可以在ASCII編碼,將其分離成200字節塊的流,然后通過多個查詢發送出去。
基本上,當不是智能部署時,DNS風險單獨消耗了組織在安全技術方面的數百萬美元的投資,并造成嚴重后果。
使用DNS進行網絡防御
雖然具有固有的脆弱性,DNS可以安全管理,也是組織保護其網絡的一個最佳武器。
使DNS成為有用工具的第一步是通過查看其數據,如果不是這樣做的話。但是查看日志只會讓工作人員知道發生了什么。相反,重要的是智能地使用數據,因此組織首先可以防止惡意活動發生。
將威脅情報放入DNS服務器是DNS武器化的關鍵步驟。有三種技術可以應用于DNS基礎設施,以確定其流量是否為“差”。
第一個是聲譽,聲譽可用列表將已知的惡意域名在互聯網上列出:因此如果DNS服務器正在查詢這些域,就會有一個強有力的指示。通過配置服務器,以中斷與這些域的通信,它可以消除惡意軟件,或者使網絡管理員能夠記錄它,以備將來調查。
第二是簽名。有在線可用的套件設置DNS隧道,通常在設置查詢時具有可檢測的簽名。雖然簽名可能沒有被人們看過,因此也不會出現在信譽列表上,簽名檢測軟件可能仍然能夠識別惡意活動并阻止它。
第三是分析。互聯網的地址簿,DNS將人們知道并識別的主機名轉換為機器可以引導到的位置。因此,“合法”DNS流量具有某些屬性,例如使用元音,字母頻率和長度,這些屬性不會出現在以文本格式編碼的任意數據中。分析還可以查看請求和響應的詞法分析,數據響應的大小和頻率,以確定什么是合法的DNS查詢,以及什么是黑客攻擊。
保護DNS需要對這種脆弱的基礎設施應如何工作的復雜理解。沒有能夠真正保護它的傳統解決方案,防御從問題的核心開始是重要的。
通過使用DNS作為一種戰略安全武器,組織可以中斷惡意軟件的鏈條,防止未經授權泄露敏感數據和保護基礎設施,而無需在端點,網絡設備或服務器上安裝任何特殊軟件。這就是為什么利用DNS將其從易受攻擊的基礎設施轉變為網絡防御的主要原因。
京公網安備 11010502049343號