本文由易安联猛禽实验室写作
网络攻击高涨,全球网安事件频发
近年来, 全球重大网络安全事件频发,供应链攻击、勒索软件攻击、业务欺诈、关键基础设施攻击、大规模数据泄露、地缘政治相关黑客攻击等网络威胁持续上升。根据美国网络安全风险投资公司Cybersecurity Ventures最新发布的《2022年网络犯罪报告》,预计2023年网络犯罪将给全世界造成8万亿美元的损失。
DNS成重点攻击对象之一
域名系统(Domain Name System)是互联网的一项核心基础服务,使用分布式数据库将互联网上的域名与IP地址相互映射,能够使人更方便地访问互联网。
作为网络的第一道大门,有着“全球网络导航”的称谓,在用户对域名发起访问时,DNS可以根据资源名称(域名)来查找和定位互联网上的资源位置(IP地址),因此DNS可以说是用户访问互联网的第一跳。
由于DNS系统在网络互联中的特殊作用,其越来越受到网络攻击行为的关注,域名成为增长最为明显、破坏力最强的攻击方式之一。如果域名系统遭遇攻击或发生故障,用户将无法通过域名访问对应的站点,或者解析错误把用户引导至错误的网站。
据数据显示,全球约有68%的企业忽略对DNS系统的防护,缺乏对DNS解析有效的监测和防御,导致在DNS遭受攻击时,无法及时发现并进行防御和阻断。
EfficientIP与IDC合作发布的《2022年全球DNS威胁报告》指出,在过去一年中,88%的组织遭受了与DNS相关的攻击,平均每家公司有7次,其中包括DNS隧道、DDoS攻击、DNS劫持和云配置错误滥用等技术手段。
IDC在北美、欧洲和亚太地区进行的全球研究还发现,通过DNS窃取数据的事件急剧增加,26% 的组织报告敏感客户信息被盗,而在22年这一比例为16%。
DNS攻击常规应对方式
针对面向DNS的各种攻击,主要的应对措施可以采用安全DNS工具,在传统DNS服务的基础之上提供一系列安全分析服务。
安全DNS 集域名安全解析、威胁检测和防御、上网行为管理等功能于一体,通过对接威胁情报中心,为用户每次访问的网站进行分类,通过访问域名判断用户网络环境是否存在安全威胁,及时检查域名设置的DNS服务器是否正确,检查所有权威和辅助DNS服务器上的解析记录是否指向正确IP,阻止与大多数现代恶意软件(如勒索软件,漏洞利用,网络钓鱼,命令和控制)有关的活动,增强企业现有的安全能力。
上网行为管控
依托威胁情报中心的内容识别引擎,精确识别实现网站分类,对违法网站实时阻断,结合DNS的前置检测优势和轻量化检测优势,为用户提供强大的上网行为管控能力。
威胁情报检测
通过威胁检测系统+安全情报系统,收集新型威胁及攻击,为安全运营提供决策依据。
依托威胁情报中心多种基于域名威胁情报,近实时同步最新威胁情报,实时展示当前所有威胁告警事件,全面防护恶意软件、勒索病毒、APT 攻击、钓鱼链接、非法站点等。
构建“零信任+”安全防护体系
常规技术手段安全DNS虽然能够缓解DNS攻击造成的危害,但无法真正杜绝层出不穷的DNS攻击,并对已发生的攻击产生有效应对。因此需要借助更安全的零信任防护理念,构建更全面、坚固的DNS安全防护体系。
(1)严格的访问控制
采用零信任系统功能(动态和持续的控制能力),通过“认证链”的方式融合多种认证方式,每次请求均需要验证,会话级别的细粒度访问控制。
(2)DNS日常监控
零信任系统部署后,能多维度感知访问过程中的参数变化,动态调整安全策略;对多分支/多地域实现统一监管;包括网络感知、业务感知、威胁感知,并作为万物智联的网络基础核心服务底座,实现上层应用的感知与建联。
(3)后端业务隐身
“零信任+”方案将网络防御的重心从静态的网络边界转移到了用户、设备和数据资源上,基于Linux内核层防火墙机制,实现敲门的控制面和数据面解耦,提供用户检控能力和应用隐藏能力,确保只有合法用户才能够访问进来。
安全DNS与零信任相辅相成
综上所述,零信任可以有效处理端到业务的安全接入、应用访问安全和数据流转安全;基于安全DNS流量分析能识别出90%以上的恶意行为的特性,可以对所有流量的访问做解析,利用隐藏、混淆、加密等方式躲避杀毒软件和入侵检测技术。
二者结合,可以为用户提供一个安全且有弹性的环境,具有更大的灵活性和更好的监控,实现用户访问、多分支机构接入、终端安全性等提供支撑分析保护,做好内外的安全防护。
声明:本文来自权说安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
