在过去的几年中,域名系统(DNS)攻击已成为企业面临的最常见和最危险的网络安全威胁之一。EfficientIP进行的研究 表明,去年有79%的组织受到DNS攻击的影响,平均使他们付出了924,000美元(782,000英镑)的代价。
随着企业继续进行数字化转型以及他们所依赖的互连生态系统的扩展,这些攻击只会变得更加频繁且更具破坏性。因此,公司采取措施保护DNS层至关重要。这样做还将使他们能够识别,缓解和防止网络攻击。但是他们从哪里开始呢?
尽管DNS攻击激增,但专家们担心,许多组织都忽略了这一点,没有采取适当的措施来保护自己。ESET安全专家Jake Moore表示:“基于DNS的网络攻击是最常见的攻击之一,但尽管如此,DNS网关经常没有受到保护。网络的DNS层始终处于启用状态,因此经常被忽略。
“更糟糕的是,众所周知,一些安全管理员倾向于将某些DNS流量标记为白色,从而为恶意行为者轻松打开大门敞开了大门,使他们容易被忽视。”
随着网络犯罪分子发动更复杂的DNS攻击,设备不良的企业将处于极大的劣势,一旦目标明确,它们将难以有效应对。Moore表示:“随着攻击者不断发展的技巧,企业由于缺乏意识而无法完全理解风险,并且根本没有将DNS安全放在优先位置。” DNS对于业务和服务的连续性至关重要,它自然会吸引威胁参与者进行攻击。
“此外,当企业的DNS网关受到攻击时,由于无法正常运行的影响,企业无法关闭整个企业,这可能会导致更多的金钱损失。除非DNS泛滥,导致DDoS(分布式拒绝服务),否则公司将尽其所能保持日常业务。”
但是组织应该采取什么措施来预防和减轻这些攻击?摩尔说,分析每个用户的行为可以很好地表示正在发生的事情,并且由于大多数网络流量都是通过DNS进行的,因此可以帮助企业检测到威胁。他说:“反过来,必须对这些威胁进行详细监视,这可以导致成功的零信任策略。”
主要后果
如果不安全,DNS服务器可能会对遭受攻击的企业造成灾难性的后果。RiskIQ的解决方案架构师Terry Bishop说:“恶意参与者不断寻求利用目标组织中的薄弱环节。考虑到一旦受到威胁,可能会采取多种不同的方法,那么容易受到攻击的DNS服务器肯定会被视为高价值目标。
“在RiskIQ,我们发现大多数组织不了解其对外资产的大约30%。可以是网站,邮件服务器,远程网关等。如果这些系统中的任何一个未经修补,不受监控或不受管理,都将提供一个折衷的机会和进一步的潜在利用机会,无论是针对公司资产还是其他更有价值的基础架构,例如DNS服务器,都取决于攻击者和黑客的动机。破坏环境的细节。”
电气和电子工程师协会(IEEE)的高级成员,阿尔斯特大学的网络安全教授Kevin Curran同意DNS攻击可能具有很高的破坏性。他说,实际上,DNS层工作不正常会有效地破坏互联网。
防止停机的由Salesforce支持的DNS安全模型可能成为多租户云提供商的标准。
IoT僵尸网络等某些IoT安全问题令人难以忘怀,但DNS威胁和物理设备攻击等其他问题可能不那么容易想到。
据最近攻击背后的研究人员称,针对国家安全组织和关键基础设施的DNS劫持活动可能是新趋势的一部分。
“如果域名系统出现故障,那么人们键入的所有网站名称也将无法转换为其正确的IP地址等效项-这是Internet实际路由我们的请求的唯一方法-而且我们将无法正常运行互联网”。“当然,如果人们知道一个难以记住的站点IP地址,则可以键入该地址,但这不是现实情况。”
他说,但是,有不同的协议可以帮助减轻DNS安全风险。“ DNS的两个主要更新是TLS上的DNS [ DoT ]和HTTPS上的DNS [ DoH ]。这两个标准对纯文本DNS流量进行加密,以防止恶意方,广告商,ISP等拦截数据。”
Curran补充说:“ DoT使用与HTTPS网站用来加密和认证的相同安全协议。它在用户数据报协议[UDP]上添加了TLS加密,从而确保DNS请求和响应不会通过路径攻击进行修改或伪造。DoH再次使用加密,但是DNS消息是使用HTTP或HTTP / 2协议发送的。如果使用数据包分析器进行检查,则DoH流量类似于正常的HTTPS流量。”
Curran说,关于最佳方法尚有争议。他说:“从网络安全的角度来看,DoT更好,因为网络管理员可以监视和阻止DNS查询,例如恶意流量。” “但是,DoH查询隐藏在常规HTTPS流量中,因此,如果不阻止其他HTTPS流量,就无法轻易地阻止它们。卫生部确实提供了更多的隐私。但是,由于DNS查询隐藏在HTTPS流量中,因此对于许多用户而言至关重要。”
准备DNS攻击
在识别和缓解网络攻击方面,DNS层提供了很多见识。NS1欧洲,中东和非洲(EMEA)总经理Mark Fieldhouse表示:“将DNS与监视和报告系统集成在一起,可以直观地了解应用程序和网络流量,从而使公司可以更轻松地观察DNS配置变化和流量模式变化,这将揭示折中的关键指标。DNS还可以提供网络防护,以防止站点接收来自可疑国家,地区或域的流量。
“通过始终在线,冗余的任播DNS网络,可通过在受到威胁的资源周围动态路由流量以防止停机,从而确保弹性并最大程度地降低攻击的影响。启用DNSSEC可以通过对DNS记录进行数字签名和验证来保护DNS记录的完整性,从而确保用户不会收到攻击者注入的虚假信息。”
Fieldhouse表示DNS,DHCP和IP地址管理(DDI)对于零信任方法至关重要。他说:“可以根据特定标准对DNS流量进行无缝路由和阻止,以保护公司数据免受威胁。” DDI解决方案与组织用来运行的绝大多数应用程序集成在一起,从而确保统一的控制。
“外部DNS需要与内部网络一样多的保护”——Mark Fieldhouse,NS1
“同样重要的是要注意,尽管零信任安全防护可以防止内部数据泄露,但DNS攻击可能具有破坏性,因此外部DNS需要与内部网络一样多的保护。”
Attivo网络公司安全研究副总裁Venu Vissamsetty建议采用一种分层防御方法,其中应包括DNS监视和过滤,端点保护,端点数据伪装和访问控制。他说,这对于处理勒索软件攻击特别有用。
Vissamsetty说:“在最初的感染之后,勒索软件会启动DNS查找以联系C&C(命令和控制)并下载其他有效负载。”
“ DNS过滤和阻止可能会在初始有效负载阶段阻止勒索软件攻击。有针对性的攻击可以逃避DNS过滤,因此建议使用零信任的数据访问控制,以防止和最小化勒索软件的影响。”
将新技术应用于DNS
Nominet的政府网络安全专家Steve Forbes说,随着数字化转型的发展,企业可以将DNS用作有效的网络防御工具。他说,公司网络与更广阔的世界之间的每一次通信都记录在DNS流量中。
“这意味着,如果攻击者确实获得了访问权限,则例如,恶意软件与命令和控制中心之间的通信很有可能就在该DNS流量中,”福布斯说。“随着AI(人工智能)和机器学习的发展(可以检测网络流量的来源,目的地和特征的模式),比以前更容易地检测到这种潜在的恶意流量。
“这使安全团队有时间通过提供预警指标来有效应对任何攻击,从而减少了补救威胁的时间。”
福布斯说,将新技术应用于DNS使企业能够识别网络上的正常行为以及可能表明网络攻击的异常或可疑行为。
“公司可以使用其DNS服务器中的信息来检测新的攻击”——约翰·格雷厄姆·卡明(John Graham-Cumming),Cloudflare
他说:“这导致阻止潜在的恶意行为者获得访问权限并强调内部威胁,同时还减少了误报次数和安全工作者处理的工作量。” “最后,因为DNS覆盖了公司的整个网络,所以它可以很好地扩展,并会继续保护您,因为数字转换会导致您的攻击面扩大。”
Cloudflare的CTO John Graham-Cumming说,在基于DNS的安全性方面,企业可以做很多事情。他说:“首先,您需要保护DNS基础架构免受DDoS之类的基本攻击,这些攻击可以针对互联网上的任何内容进行攻击。” “然后,您应该确保像其他任何软件一样,DNS服务器是最新的并且已修补。有了这些,公司可以使用其DNS服务器中的信息来检测新的攻击。
“通过将公司DNS日志数据输入到分析工具中,可以发现来自公司设备的异常行为,这可能表明恶意软件。通过将DNS服务器配置为每个公司设备使用的设备,还可以在DNS级别上控制用户或计算机可以访问哪些Internet资源,并阻止众所周知的恶意软件或网络钓鱼。”
组织经常忽略DNS安全性,但是针对企业的网络攻击越来越多,这是一个非常重要的领域。保护DNS层不仅可以保护它,还可以使企业在造成严重破坏之前检测并抵御网络攻击。
