当你说域名系统(DNS),你可能会想,很自然地,域名和运行您的Internet连接的技术细节。你可能会担心您的网站的拒绝服务攻击,或者有人劫持和丑化它。
虽然这些都很重要,但DNS不再只是用来查找网址;它被软件用来检查许可证,被视频服务用来绕过防火墙,而且经常被黑客从你的企业窃取数据。另外,你的员工可能会高兴地在他们的设备上添加免费的DNS服务,这至少意味着你不能完全控制你的网络配置。它是基础设施的基本部分,是业务生产力的关键,也是主要的攻击途径,您可能对发生的事情知之甚少。
DNS是互联网上最普遍的协议,但它也可能是最容易被忽视。数据泄漏防护(DLP),该检查通过电子邮件使用的协议,Web浏览器系统,对等网络软件,甚至Tor的,往往忽视DNS。“没有人看起来会在DNS数据包,即使DNS强调了一切,” Cloudmark公司首席技术官尼尔·库克说。“有Web和电子邮件,但DNS坐在那里,敞开做了很多DLP的。”
数据丢失Sally Beauty breach去年被exfiltrated伪装成DNS查询报文,但库克指出一些意想不到虽然合法用途;“Sophos的使用DNS隧道获得签名;我们甚至可以用它发牌。”
许多供应商开始提供DNS工具,从Infoblox的设备到OpenDNS的安全DNS服务;帕洛阿尔托网络公司开始提供DNS检查服务,英国域名注册公司Nominet刚刚推出了其图灵DNS可视化工具,以帮助企业发现DNS流量中的异常情况,Cloudmark分析DNS行为模式,以帮助检测电子邮件中指向恶意软件站点的链接。还有许多用于常见监视工具的插件,可以让您对正在发生的事情有基本的可见性。
很少有企业做自己的DNS流量的任何监控尽管它是许多攻击的来源。这不只是恶意软件的销售点系统的运行,获取客户信用卡像那些在莎莉美容,家得宝和Target的攻击,使用DNS隧道。DNS是恶意软件被用来从您的企业受到恶意软件窃取的数据中最普遍的命令和控制通道,以及。
“DNS是经常使用的一种渠道进出公司的秘密隧道的数据,”板球刘,在Infoblox的首席DNS建筑师说,“和人的原因谁写的恶意软件正在使用DNS隧道出这个流量是因为它是所以监控很差,大多数人不知道什么样的查询会在他们的DNS基础设施。”
还有的使用DNS来绕过网络安全控制人的问题;这可能是员工避免网络限制,安全策略或内容过滤,也可能是攻击者避开检测。
DNS攻击是一个普遍存在的问题
在Vanson Bourne最近对美国和英国企业的研究中,75%的企业表示他们遭受过DNS攻击(包括拒绝服务、DNS劫持以及通过DNS窃取数据),49%的企业在2014年经历过一次攻击。令人担忧的是,44%的人表示,很难证明在DNS安全方面的投资是合理的,因为高级管理层没有认识到这个问题。
Nominet的CTO Simon McCalla表示,这是因为他们认为DNS是一种实用工具。“对于大多数cio来说,DNS是在后台发生的事情,对他们来说不是一个高优先级。只要它能工作,他们就很高兴。然而,他们大多数人没有意识到,他们的DNS中有丰富的信息,可以告诉他们网络内部正在发生什么。”
刘则直言不讳地说:“让我惊讶的是,很少有组织费心对他们的DNS基础设施进行任何形式的监控。DNS没有得到任何尊重,但TCP/IP网络不能工作没有DNS;这是一个不为人知的林奇别针。刘坚持说:“监控你的DNS基础设施并不是什么高深莫测的事情;有很多机制可以用来理解DNS服务器正在处理的查询和它们的响应。你真的应该这样做,因为这种基础设施的重要性不亚于在网络中实际移动数据包的路由和交换基础设施。”
通常情况下,他发现证明了威胁足以让管理层的关注。“大多数CIO - 一旦他们看到与您可以设置终端和互联网上的服务器之间的双向信道的网络内一个被感染机器 - 意识到,他们需要为此做些什么。这只是一个被面临着冷酷的现实问题。”
处理DNS安全
首先,你需要停止思考DNS为关于网络和公正的“管道的一部分,” OpenDNS的首席执行官(思科在收购的过程中)戴维·维奇说。
“过去运行DNS的是网络运营商,他们关注的是确保防火墙是开放的,而不是阻止他们认为是连接的关键因素,而不是安全政策、访问控制和审计的关键组成部分。”但在我们生活的今天,每个网络运营商都必须成为安全从业者。”
如果您积极地管理您的DNS,您可以在雇员(和攻击者)无法解决的级别上应用网络控制。你可以在DNS层更有效地检测钓鱼攻击和恶意软件的命令和控制,而不是使用网络代理或做深度包检查,你可以在发生时检测到它,而不是几天后。
“DNS是一个非常好的早期预警系统,”刘说。在这一点上,你可以假设你的网络上有被感染的设备。DNS是一个设置小干扰线的好地方,所以当恶意软件和其他恶意软件进入你的网络时,你可以很容易地检测到它的存在和活动,并且你可以做一些事情来最小化它所造成的损害。“通过寻找相似的行为模式,你甚至可以看到这种感染有多广泛。
[相关:如何为你的小企业建立亚马逊网络服务]
像OpenDNS和Infoblox的服务也可以看看在超过您的网络。“这是很容易建立的是什么正常的样子基准,并做异常检测” Ulevitch说。“假设你是一个石油和天然气业务在得克萨斯州和新域名在中国指向弹出在欧洲的IP地址,并没有其他的石油公司正在研究这个领域。为什么你应该是豚鼠?”
你还需要监控你的网络上的常见地址是如何解析的——黑客可以尝试将Paypal等网站的链接发送到他们自己的恶意网站——以及你的外部域名指向何处。当特斯拉的网站最近被重定向到一个恶搞页面由黑客,也控制了公司的Twitter账户(和用它来洪水一家电脑维修店在伊利诺斯州与来电人他们相信了会赢得免费的汽车),攻击者也改变了名称服务器用来解析域名。监控他们的DNS可能会让特斯拉在用户开始在推特上发布被黑网站的图片之前就知道有什么地方出了问题。
最起码,请记住,DNS贯穿所有的在线服务,Ulevitch指出。“酒吧是提高DNS很低。通常情况下,DNS被视为成本进入;人们不投资于足够可靠的基础设施和足够高的性能的设备,所以很难应付高交易量“。
这不仅关系到你是否成为DNS攻击的目标。“组织应该关注DNS的性能,因为它会对你在网上做的所有事情产生实质性的影响。每次你发送电子邮件或打开一个应用程序,你都在做DNS请求。如今,web页面非常复杂,加载一个页面需要超过10个DNS请求并不少见。光是处理加载一个页面的DNS组件,就可能要多花一秒甚至更多的时间。”
跟踪业务行为
监测DNS也可以给你很多关于什么是整个企业的事情远远超出了网络信息。“我们生活在一个世界里,网络边界正在成为短暂的,这里的服务很容易采取” Ulevitch指出。“一位营销经理可以登录到Salesforce;如果你正在寻找的DNS,你可以看到这一点。你可以看到有多少员工正在使用Facebook的。你可以看到设备的显示你的网络中,无论是因为他们正在检查许可证或做数据泄露。如果你有一百个办事处,你仍然可以看到谁在连接装置“。
他指出,这也不只是个人电脑;打印机、电视和物联网设备越来越多地连接到你的商业网络。“我要我的电视打电话回家吗?”如果你看看三星的隐私政策,它说这款电视机有一个麦克风,可以随时收听;我真的希望在公司的董事会里出现这种情况吗?也许我想应用DNS策略,这样我的电视就不能打电话回家了。”
刘Infoblox的赞同。“物联网设备在设计时往往没有考虑到很多安全问题。你需要确保设备连接到他们应该在的地方,如果有人扔了一些其他东西到你的物联网网络,他们不能访问你的内部网络。DNS是监视和控制访问的一个有用的地方。”
Ulevitch指出,因为你已经在使用DNS,所以对它进行监控并不会造成干扰。“通常在安全方面,大多数东西没有被使用的原因是需要努力确保它们不会对用户性能造成不利影响。”
事实上,你需要一个好的理由不要这样,他说。“有安全的基本最佳实践,其中之一是网络可见性。不能够看到你盲目飞行网络手段的流量。寻找一种方法来检查DNS流量是一个强大的安全性的基本要求。不知道发生了什么你的网络上是边缘废弃“。
这篇文章,“为什么你需要更关心DNS”最初是由首席信息官 。