如今,网络中的恶意行为者或恶意软件无时无刻地都在试图利用组织的DNS基础设施。无论是用于泄漏数据还是命令和控制服务器通信,DNS在启用网络上的恶意活动方面都发挥着至关重要的作用。
为什么这么重要?
作为一个关键的网络服务,网络罪犯可以合理地期望任何网络具有DNS可用。此外,它几乎总是提供一个走出网络的路径:找到主机的IP地址,恶意软件必须与互联网上的域名服务器通信,并听取答案。而且对于大多数网络允许某种类型的互联网访问,对于这些DNS查询往往会有一个路由。
最后,由于DNS没有内在安全性,它本身容易受到入侵。因为在最初设计的30多年前,互联网是一个非常不同的领域。更糟糕的是,传统的安全解决方案往往没有考虑DNS或解决其漏洞。
简单来说:这个网络虽然无处不在,但其本质上是不安全的,DNS往往被组织的安全投资所忽视。但它并没有逃过网络罪犯的注意…
最终,经济学的问题意味着黑客现在使用DNS作为控制平台将恶意软件植入到组织中。
作为一个行业,人们已经成功地保护HTTP,它被广泛应用于多层次的现代网络安全电子商务协议。人们投资了端点安全,入侵防御系统,下一代防火墙,以及现在的网络应用防火墙。
因此,网络犯罪分子越来越难以逾越组织设置越来越多的障碍。与此同时,黑客行业也在以更快的速度创新,通过利用DNS作为新的隐蔽渠道,增加入侵成功的机会。 DNS被所有网络和安全设备所信任,因此可以静默地遍历任何网络设备,安全系统,数据丢失防护功能(DLP),甚至应用服务器。
通过在DNS查询或在从DNS协议的角度看起来“正确”的相关联响应中可以编码任意数据,使得数据过滤的检测变得困难。
例如,如果为名为Jane-doe-2000-11-25.domainownedby badguys.com的域发出查询,可能是主机被称为jane-doe-2000-11-25,或者它是某人的姓名和出生日期的组织。无论响应是什么,其数据已经被过滤。如果它是二进制数据,它可以在ASCII编码,将其分离成200字节块的流,然后通过多个查询发送出去。
基本上,当不是智能部署时,DNS风险单独消耗了组织在安全技术方面的数百万美元的投资,并造成严重后果。
使用DNS进行网络防御
虽然具有固有的脆弱性,DNS可以安全管理,也是组织保护其网络的一个最佳武器。
使DNS成为有用工具的第一步是通过查看其数据,如果不是这样做的话。但是查看日志只会让工作人员知道发生了什么。相反,重要的是智能地使用数据,因此组织首先可以防止恶意活动发生。
将威胁情报放入DNS服务器是DNS武器化的关键步骤。有三种技术可以应用于DNS基础设施,以确定其流量是否为“差”。
第一个是声誉,声誉可用列表将已知的恶意域名在互联网上列出:因此如果DNS服务器正在查询这些域,就会有一个强有力的指示。通过配置服务器,以中断与这些域的通信,它可以消除恶意软件,或者使网络管理员能够记录它,以备将来调查。
第二是签名。有在线可用的套件设置DNS隧道,通常在设置查询时具有可检测的签名。虽然签名可能没有被人们看过,因此也不会出现在信誉列表上,签名检测软件可能仍然能够识别恶意活动并阻止它。
第三是分析。互联网的地址簿,DNS将人们知道并识别的主机名转换为机器可以引导到的位置。因此,“合法”DNS流量具有某些属性,例如使用元音,字母频率和长度,这些属性不会出现在以文本格式编码的任意数据中。分析还可以查看请求和响应的词法分析,数据响应的大小和频率,以确定什么是合法的DNS查询,以及什么是黑客攻击。
保护DNS需要对这种脆弱的基础设施应如何工作的复杂理解。没有能够真正保护它的传统解决方案,防御从问题的核心开始是重要的。
通过使用DNS作为一种战略安全武器,组织可以中断恶意软件的链条,防止未经授权泄露敏感数据和保护基础设施,而无需在端点,网络设备或服务器上安装任何特殊软件。这就是为什么利用DNS将其从易受攻击的基础设施转变为网络防御的主要原因。
本文转自d1net(转载)
