为什么 DNS 是新规范中最大的单点故障

网络安全领域的许多人可能熟悉这句话：“始终是 DNS”。这是业内流行的模因，经常提到内部域名系统 (DNS)，即公司在线网络的动态主机配置协议 (DHCP) 部分，每当出现网络问题时，它始终是一个问题DNS。

然而，在新规范中，有一些比 DNS 的内部方面更大、更重要的东西，我们都应该注意。专注于内部网络反映了在防火墙内保护网络的网络安全方面的主要关注点。在新规范下，这种方法可能被证明是不够的，因为大多数网络威胁来自可控网络之外。

网络安全方面的更好做法是什么——设计安全还是默默无闻？

在大流行期间，多个政府发布了不同的 COVID 跟踪应用程序。有些被称赞为设计安全的，例如 Google ^®和 Apple ^{® 的}暴露通知，以及引发不同程度隐私问题的那些。在香港，当地社区呼吁开放源代码进行独立检查，政府声称这会导致应用程序出现安全问题。这个回复引发了两个安全原则之间的讨论：设计安全和默默无闻的安全。

设计安全是一种广为接受的网络安全最佳实践，而其对应的安全概念早在 1851 年就已被拒绝。尽管这一概念受到谴责，但我们都知道，默默无闻是一种非常普遍的做法。在现实世界中，保密是首选，因为几乎没有任何系统值得称其为设计安全。

为了说明这一点，区块链经常被错误地吹捧为通过设计来保护。区块链在设计上可能被认为是安全的，并且是具有高拜占庭容错能力的分布式计算系统的例证。

然而，在实践中发生了什么？2017 年，Ethereum Classic 的某人注意到几乎每个人都停止在他们的平台上进行交易。核心系统本身似乎没有受到损害。然而，在 2017 年 6 月 30 日的一段时间内，访问该网站并登录其帐户的每个人都暴露了其钱包的私钥。不到一年后，XLM 货币的加密货币应用程序 BlackWallet 的团队不得不通过社交媒体向所有人公开警告，暂时停止使用他们的服务。黑客接管了 BlackWallet 的 DNS，并将资金从用户转移到黑客的账户。

对加密货币黑客历史的简要回顾揭示了更多网络设计没有妥协的案例，但是，黑客却进来了。人们可能会问，如何在不损害系统本身的情况下入侵安全系统。答案在于系统从来都不是独立的。虽然网络本身可能具有最高的安全性，但一旦网络连接到 Internet 进行外部交互——从网络到网络间——即使是最安全的系统也会变得不安全。这是因为网络间的设计是不安全的。

网络间通信依赖于我们称之为数字资产的几个关键基石——资产定义了公司在互联网上的身份，几乎用于所有外部通信。

DNS就是这样一种数字资产。当有人能够控制公司的 DNS 时，他们就可以破坏连接到它的任何东西。作为资产的域名和 DNS 定义了品牌是谁以及人们在哪里可以找到它。一旦某个品牌的网站被劫持，用户就不会知道他们正在连接到由黑客控制的服务器。

新规范中的威胁加剧

在互联网时代，设计的安全性并不总是有效，因为互联网在设计上是不安全的，这个问题可能会在 COVID-19 后的新规范中加剧。在传统的网络安全实践中，安全是通过预防和检测由价值数百万美元的安全投资来保护的网络入侵来实现的。在新规范中，所有员工设备都成为连接到网络的端点资产，它们现在驻留在网络之外。网络安全问题不再存在于您的网络中，它已日益成为网络间的安全问题。

2018年的文章在哈佛商业评论，如何重新组织你的网络安全战略，提到了这个残酷的事实：“这不要紧，你的组织花多少钱在最新的网络安全硬件，软件，培训和工作人员...如果你的使命- 关键系统是数字化的，并以某种形式或方式连接到互联网，它们永远无法完全安全。时期。”

有些人试图通过将系统迁移到云端并专注于端点安全来应对这一新趋势。人们相信，云基础设施的大佬们应该有足够的知识和投资来应对互联网时代日益严重的安全问题。不幸的是，这可能不是正确的方法。云迁移的目的是将您的内部部署网络移动到由其他人运营的更大网络。它取代并提高了网络安全性，但并非旨在解决网络间安全问题。

那么什么是网络间安全呢？

为了回答这个问题，我们首先需要看看网络间是如何工作的。互联网旨在将数据传输给合适的人。因此，为了保护数据，公司必须：

• 保护数字资产——确保传回公司的数据不被窃取
• 防止身份伪造 - 确保没有人冒充您的公司
• 确保无法查看或更改传输的数据

在传输控制 协议/互联网 协议（TCP/IP）模型下，企业是否将数据传输到正确的地方和从正确的地方传输数据的最终定义是获取正确的IP地址。一个IP地址定义了一个公司的在线身份，如果过程出错，一切都会出错。现代互联网变得如此复杂，以至于需要多台服务器和多个 IP 地址才能成功运行在线服务。因此，在实践中，DNS是IP地址的电话簿，已经成为最关键的互联网基础设施之一。

2020 年，Liquid.com 因简单的域劫持而遭到黑客攻击。Liquid.com 的 CEO 承认，域名劫持造成了基础设施的破坏，泄露了私人信息，还导致 Liquid.com 失去了对其内部电子邮件的控制。在对 perl.com 域劫持的研究中，Bleeping Computer发现该域实际上指向了一个已知与恶意软件相关的恶意 IP 地址，更糟糕的是，该 IP 地址甚至可能与命令和控制服务器相关联. 这两个示例突出了域名和 DNS 的关键性质，以及如何通过数字资产使安全系统变得不安全。

即使域名是安全的并且无法被劫持，欺诈者仍然可以通过冒充品牌来欺骗公司客户和业务合作伙伴传输关键信息。这是网络间安全最有趣的方面之一——网络间安全妥协通常是社会工程的结果，根本不需要对网络妥协。

网络安全领域已经将此问题称为网络钓鱼攻击。一项研究表明，网络钓鱼或鱼叉式网络钓鱼是 91% 的网络攻击的幕后黑手。然而，大多数时候，钓鱼是从网络安全的角度来看待的，重点是如何防止钓鱼邮件侵入内部网络。这种范式忽略了这样一个事实，即网络钓鱼本质上是对组织身份和 DNS 基础设施的滥用。2020 年，Cisco Webex ^TM遭到网络钓鱼攻击，数千个 Webex 凭据被泄露。攻击是通过一封电子邮件完成的，该电子邮件旨在与公司向其客户发送的自动安全套接字层 (SSL) 证书错误警报非常相似. 该攻击明确针对 Cisco® 窃取其客户的凭据。显然存在声誉损失，因为新闻报道称这是思科的问题。然而，思科的基础设施绝对没有受到攻击，攻击也没有到达思科的任何防火墙。

需要一种新的范式来看待网络钓鱼攻击，从网络间安全的角度来看待它。从这个角度来看，网络钓鱼也被称为 DNS 滥用。DNS 滥用被互联网名称与数字地址分配机构 (ICANN) 定义为“积极利用 DNS 或用于注册域名的程序的故意欺骗、纵容或主动提供的活动。这包括垃圾邮件、网络钓鱼、恶意软件、僵尸网络和域名欺诈（例如 DNS 劫持），并已成为 ICANN 2021 年的最高优先事项之一。

最后，为了充分解决网络间安全问题，我们需要保护数据本身，并确保数据在传输时不被篡改，并且不会被非预期的各方读取。在大多数情况下，这是通过向 Internet 通信添加加密或数字证书来实现的。然而，这往往说起来容易做起来难，因为 SSL 管理通常是在操作级别上进行管理的，并且没有认识到其关键作用。几乎每年都会有消息称，一家大公司仅仅因为忘记续订 SSL 而导致网络中断。如果拥有丰富资源的大公司无法管理 SSL，想象一下有多少其他公司遇到同样的问题。

需要考虑的四个关键控制

为了构建成熟的网络间安全标准，这里有四个推荐的控件。

1. 将域名视为重要资产

实施注册表锁定并执行第三方风险评估。大多数组织只是让入门级 IT 管理员来管理与最便宜的提供商的注册表。虽然 CIO 没有必要管理 DNS，但如果某些事情会导致您的整个基础设施瘫痪，CIO 应该制定规则，给予应有的重视并进行正确的控制。

DNS 非常重要，以至于许多当局都发出了警告，包括：

网络安全和基础设施安全局 (CISA) 和国土安全部 (DHS)、英国国家网络安全中心 (NCSC)、日本注册服务机构 (JPRS)、香港互联网注册管理机构 (HKIRC)、ICANN、FireEye、 Cisco Talos、CrowdStrike、KrebsOnSecurity 和 CSC 的我们于 2019 年 1 月发布了一项关于海龟黑客组织篡改 DNS 基础设施的罕见紧急指令。

2.避免免费和廉价的DNS，并实施DNS安全扩展（DNSSEC）

许多组织花费数百万美元来保护他们的应用程序、迁移到云并实施两因素身份验证——但只在域和 DNS 上花费几美元——这些应用程序运行的资产。

使用企业级 DNS 时，请确保其受 DNSSEC 支持并实施。此外，在成熟的企业 DNS 设置中，我建议不要将云与 DNS 混合使用。我经常看到组织试图将所有内容整合到一个提供商中。

DNS 几乎适用于您在 Internet 上所做的一切。有时，由于成本以及其他连接不适合 CDN，公司可能只想将其内容交付网络 (CDN) 连接到少数特定服务。在过去几年中，采用多云策略的趋势也越来越大。大多数架构更复杂，如果 DNS 不绑定到单个提供商可能会更好。

无论哪种配置，都避免免费服务，只使用企业级服务。

3. 自动化 SSL 续订

数字证书的寿命越来越短，业界预计它们将进一步缩短至最长 90 天。系统管理员能够管理续订的唯一方法是自动化。

4. 防骗公司和客户

通过实施 DNSSEC 和反网络钓鱼技术，降低客户被重定向流量或欺诈欺骗的风险。被称为互联网之父的 Vint Cerf 写道，迄今为止，我们所看到的大部分互联网安全创新都围绕着在线验证和保护个人和组织的身份展开。他进一步补充说，网络需要防伪。

DNS 并不性感。有关于黑客、企业间谍活动、分发恶意软件以渗透核设施的电影，但从来没有关于 DNS 的电影。最有可能将 DNS 的管理视为一项非常低级的任务。但是，当 DNS 出现问题时，黑客可以将员工引导至恶意软件站点，窃取关键交易信息并访问公司服务器。当其中任何一个发生时，CEO 会问 CIO，CIO 会问 IT 同事——为什么？绝大多数 DNS 和域问题都不是零日攻击；没有人可以说他们不知道 DNS 攻击，并且绝对没有任何借口可以为事件找借口。

在新规范下，网络安全需要涵盖网络安全和网络间安全。当涉及到网络间安全时，始终是 DNS。