DNS安全隐患众多,企业应如何应对?
与DNS相关的攻击——例如DNS劫持、DNS隧道和DNS放大攻击——正在上升,许多IT组织开始怀疑其DNS系统的安全性。 大多数IT公司为外网服务(网站和互联网访问服务)和内网服务(活动目录、文件共享、电子邮件)维护各种DNS系统。保护内部和外部DNS系统至关重要,因为恶意行为者用来攻击它们的威胁和漏洞越来越多。不幸的是,很少有公司对他们的DNS安全有足够的信心。 近日,企业管理协会(EMA)在最新发布的研究报告《DDI方向:多云时代的DNS、DHCP和IP地址管理策略》中对DNS的安全问题进行了研究。根据对333名负责DNS、DHCP和IP地址管理的IT专业人员的调查,只有31%的管理人员对其DNS基础设施的安全性充满信心。 最受关注的DNS安全问题 调查要求参与者回答让他们最痛苦的DNS安全挑战。最常见的回答是DNS劫持(占所有受访者的28%),也称DNS重定向,黑客会拦截来自客户端设备的DNS查询,将其转接到错误的IP地址。黑客通常通过恶意软件感染客户端来实现这一点,这样查询就会转到一个流氓DNS服务器,或者让他们攻击一个合法的DNS服务器,并大规模地劫持查询。后一种方法可以产生非常严重的后果,因此也更凸显出企业保护DNS基础设施免受黑客攻击至关重要。 第二个最受关注的DNS安全问题是DNS隧道和泄露(20%)。一旦黑客已经渗透到网络中,他们通常会利用这个通道。DNS隧道是用来逃避检测,同时从被入侵的服务器中提取数据。黑客将提取的数据隐藏在传出的DNS查询中。因此,安全监视工具密切监视DNS流量的异常情况非常重要,例如异常大的数据包大小。 第三个最紧迫的安全问题是DNS放大攻击(20%)。这是一种分布式拒绝服务(DDoS)攻击,黑客通过欺骗第三方可公开寻址的DNS服务器,向目标DNS服务器发送不需要的、欺骗的查询响应,使该服务器无法响应合法查询。由于最终用户对网站的DNS查询无法解析,导致该网站无法被访问。 如何提高DNS安全性 1. 安装DNS防火墙 IT公司可以通过安装DNS防火墙来降低DNS安全风险。近47%的DDI专家告诉EMA,他们已经部署了DNS防火墙来保护他们的基础设施,因此他们对自己的整体DNS安全性更有信心。DNS防火墙是专门的网络安全设备,专门用于根据威胁情报和安全策略对DNS查询进行检测并阻断连接。与标准防火墙相比,它们对DNS流量具有更细粒度的可见性和智能。 2. 使用DNS安全扩展 另一个重要的措施是使用DNS安全扩展(DNSSEC),这是一套由互联网工程任务组(ETF)创建的规范。DNSSEC需要配置DNS服务器使用公钥加密技术对DNS记录进行数字签名,这允许其他DNS服务器验证DNS记录的真实性,并防止伪造和操纵数据。在EMA的研究中,超过47%的公司使用了DNSSEC。 然而,DNSSEC确实带来了一些挑战,包括基础设施开销和管理复杂性的增加。另外,一些人认为DNSSEC的整体安全模型存在缺陷。 3. 设置DNS优先级安全策略 近38%的组织正在设置优先考虑DNS安全威胁的自动安全策略。例如,他们配置入侵防御系统来阻止与已知恶意IP地址相关的DNS查询。 4. 云协作 任何DNS安全策略都必须考虑到公共云。通常,许多DDI管理人员会为本地网络建立DDI服务,而云计算团队会在公有云上部署自己的DNS、DHCP和IP地址管理解决方案。近年来,越来越多的DDI团队意识到他们也需要参与到云网络的安全和稳定的管理之中。 “我们试图与云团队合作,”一家财富500强咨询公司的DDI工程师表示,“五年前,这种情况根本不会发生。不与网络工程和安全部门合作的情况下风险很大,很容易产生问题。 EMA的研究发现,近59%的DDI团队现在对公司的云战略有足够的影响力。具有这种影响力的DDI专业人员对他们的DNS安全态势更有信心。 5. 提高DNS的可见性 最后,DDI团队需要了解DNS基础设施的情况。许多企业通常将DNS日志导出到安全信息和事件管理(SIEM)平台,网络安全团队可以在其中查找异常活动。此外,集中监控所有DNS基础设施非常重要。近47%的DDI管理人员可以从中央控制台监控所有DNS服务器。这些人对他们的DNS安全性更有信心。 |