三项基本安全实践降低DNS和BGP相关危害的可能性
时间 : 2019-03-25 编辑 : DNS智能解析专家
年初,FireEye 发布了一项研究,指出了全球DNS劫持攻击,该攻击被认为是两年前开始的大规模且不断增长的间谍活动的一部分。该报告称,黑客攻击活动通过黑客的恶意服务器重定向全球公司的网络流量,记录未来攻击的公司凭据。由于目标组织的性质,主要是电信、互联网基础设施、政府和商业实体等大多数都是攻击者感兴趣的。
尽管此活动的范围看起来很重要,但所使用的方法肯定不是唯一或复杂的。与我们在网络犯罪分子中越来越受欢迎的其他策略一样,这些攻击是低成本且易于执行的,依赖于不采取基本安全措施的受害者。
在DNS劫持攻击中,不良参与者接管属于DNS提供商和注册人的登录,并操纵受害者的DNS记录以重定向其传入流量。结果提供DNS查询(试图访问网站或访问应用程序)的最终用户设备被提供虚假信息,将用户发送到伪装成合法网站的虚假网站。
DNS劫持和其他中间人攻击(如DNS缓存中毒和边界网关协议(BGP)劫持)并不总是显而易见的。它们可以长时间未被发现,经常导致数据被盗和直接经济损失。在2018年末,一项多年广告欺诈计划曝光,该计划利用BGP劫持攻击超过一百万个IP地址以及其他策略,以产生近3000万美元。然而这是一项非常复杂和不寻常的操作。在大多数情况下,这些攻击往往是针对性的,因为它们难以大规模执行。通常,某些站点是为特定目的而识别的,例如经济利益。
幸运的是,DNS安全的基本分层方法可以大大降低DNS和BGP相关危害的可能性。以下是组织应实施的三项基本预防措施:
对权威DNS和注册商登录使用多因素身份验证
组织应实施严格的访问控制,以限制对负责修改DNS设置的合法用户的访问。如果公司有多个DNS管理员,它可以根据用户的角色为不同的用户分配不同的功能,并限制对他们完成工作所需的区域和记录的更新访问。通过实施多因素身份验证和单点登录来加强访问控制非常重要。如果公司使用脚本或API来更新DNS,则应使用强身份验证密钥并将密钥使用限制为仅有效源(即IP白名单)。最后,组织应使用安全实践与其域名注册商进行交互,并使与注册商的授权联系人列表保持最新。
监控权威DNS活动日志以快速发现问题
考虑跟踪每个DNS响应可能看起来势不可挡。但是,通过监控DNS活动和IDS日志,公司可以更轻松地观察DNS配置变化并改变流量模式,这可以揭示妥协的关键指标。例如,DNS记录配置的意外和计划外更改或流量突然变化可能表示恶意DNS活动。
启用DNSSEC(域名安全扩展)和区域签名
DNSSEC通过提供递归DNS解析器的机制来检查在将DNS答案返回给用户所需的一系列查找中检查从先前的权威DNS服务器接收的信息的真实性。由于许多企业处理财务,健康或个人数据,因此组织有责任保护客户免受这种形式的攻击。DNSSEC通过对顶级域进行数字签名和验证的DNS的每个区域来保护DNS信息的完整性。
DNS是一种关键技术,它连接IT基础架构,应用程序和在线服务的所有方面,服务器和用户之间的所有内容,这使其成为网络犯罪分子极具吸引力的目标。随着全球各地的组织更加积极地开展连接,数字化转型的运营,这种攻击媒介将会越来越重要。采取快速行动来实施和维护这些基本的预防措施对于防止攻击以及保护公司和客户数据免受网络犯罪分子攻击至关重要。
