DNS 安全问题近来又受到了网络安全界的关注,但此趋势并未出现在中国大陆。
一份美国顶级网络安全提供商的调研报告显示,DNS 安全性问题已引起人们的高度关注。该报告表明,超过四分之三的网络安全人士预计 DNS 攻击将会增多,尤其是在疫情期间有更多人网上购物的情况下,而假期进一步加剧了此趋势。但只有近 30% 的人打算采取进一步措施以应对此类攻击。
他们最关心的问题是:
- 域名劫持(41%)
- DNS诈骗/缓存投毒(28%)
- 在近一年里,60%的受访者遭到过至少一次DNS攻击。
CSC 对于全球顶级电商和购物网址域名的研究也呈现出类似的结果。我们发现 70% 以上的仿冒域名由第三方持有,其中至少 40% 呈现出恶意仿冒的特征。
从最近的网络攻击事件中,我们可以看出域名在网络安全中的重要性。在 Liquid.com 事件中,黑客通过破解域名从而进入内部系统和数据库。在无关联的另一个 SolarWinds 事件中,一个 “avsvmcloud[.]com” 的域名被用于全球性的恶意活动中,旨在分发恶意软件,从而对全球的公共和私营机构产生影响。在此事件中,攻击随后被微软解决,它将 “avsvmcloud[.]com” 域名作为 killswitch 进行了查封。这些案例表明,域名和DNS可能被用于网络攻击,但也可用于网络安全。
我们可采用多种安全管控措施来应对域名和DNS威胁,避免公司品牌声誉和营收受影响。
我们建议采取纵深防御措施:
使用企业级提供商
各组织应确认其域名注册商获得互联网名称与数字地址分配机构(ICANN)和注册局的认证,并在系统和安全方面进行了投资。这包括对员工的网络安全培训以及各种管控措施、流程、安全手段,确保纵深防御的有效性。
安全域名和 DNS 门户访问
各组织应当将域名和 DNS 集中在一家提供商名下。在单一步骤登录环境中,该提供商应当提供双重认证、IP验证、联合身份识别功能。
控制用户权限
各组织应当定期审核员工访问域名和 DNS 门户的权限。安全提供商应当能够提醒企业更改权限设置,并实施经其授权的联络政策。只有受信任的个人才能够获得更高的权限。
利用高级域名安全功能,例如:
- DNSSEC,它可对发往互联网提供商的询问进行加密,作为对网络罪犯们的警示。此外,DNSSEC 会在根域添加数字签名,这意味着组织可放心访问合法网站。
- 注册局锁定可阻止 DNS 记录的自动变更,从而防止执行未授权的请求。
- 根据具有证书颁发机构授权(CAA)记录的数字证书政策,只有有资质的证书颁发机构方可向您的域名发放证书。
- DMARC 可帮助防止其域名遭到未授权的使用,即通常所称的邮件诈骗。
- 主动且持续的监督和提醒,确保域名注册商或 DNS 主机提供商采用了持续性的监控和警告措施,例如 CSC Security CenterSM
点击了解更多关于域名安全的信息。>>
来源:freebuf.com 2021-01-07 14:56:07 by: CSCDigitalBrandServices
请登录后发表评论
注册