众所周知,当今的恶意攻击大多受利益驱动,劫持合法网络资源发动攻击。其中一个重要途径,就是利用域名服务(DNS)将网络用户导引到恶意网站并将他们纳入攻击行动的节点。
DNS对黑客的意义有三:
1. 传输命令与控制指令
2. 偷渡数据
3. 重定向流量
但由于极少有公司会出于安全目的监测DNS状态,DNS如今已成为攻击者理想的攻击手段。
在DNS层实施安全防御,可以有效检测和控制此类恶意软件感染。在恶意连接建立之前将威胁扼杀在摇篮里是做好安全的第一要务。要做到这一点,就必须监控网络,跟踪员工及其使用设备的网络位置和接入方式。
恶意IP跟踪,以及恶意基础设施连接阻断技术,可以挫败攻击者利用这一常见安全盲点的企图。危险连接阻断得越多,我们需要应对的内部网络威胁就越少。而且,即使网络被成功突破,DNS监测也可以帮助连接各个节点,确定攻击所用基础设施的类型和源头,深化调查取证。
以Angler漏洞利用工具包为例,DNS监测技术就在调查中提供了对所用IP基础设施更好的可见性。Angler操作者以线性跳转方式不停转换IP地址,隐藏他们的威胁行为,防止外界对他们的不法捞钱行为进行干预。但通过对与其关联的域名行为进行监测分析,我们对他们所用的技术有了更深入的了解,也就知晓了如何阻止他们。
随着攻击者不断创新攻击技战术,比如结合直连命令与控制来绕过域名解析等,防御者也在发展自己的新技术来更快地识别和响应这些攻击。
基于IP的预测性威胁情报便是防御新技术的一种。这种技术应用算法分析流量模式,关注并检测恶意活动,而不是对内容进行扫描。这种基于数据科学的新技术与Pandora的音乐服务所用的技术如出一辙。但与使用当前在听的声波模式来推断你可能喜欢的其他音乐不同,这种新技术采用网络流量模式来识别恶意攻击。
有些域名一直保持很大的入站流量,其他域名可能在某几个特定时段会出现流量高峰,又或者,还有其他完全不同的模式。但被用来实施攻击的域名,一般情况下流量模式都是瞬发性的,流量出现时间更短,也更快。毕竟,作为见不得光的行为,还得保持低调隐蔽。若能发现并将这些状态模式与其他数据进行交叉对比,则有助于快速检测出正在进行中的攻击行为并采取行动予以遏制。
而预测攻击的能力则又将此数据分析拉升到了更高的层级。从分析流量模式得出的线索开始,网络罪犯在劫持基础设施过程中所用到的每一步,都在攻击预测中有用到。比如:托管主机提供商的选择、服务器镜像的部署等等。对托管基础设施更深更全面的分析将使你拥有预测并防止突发威胁的能力。
因为网络罪犯利用互联网发动攻击,我们便需要对DNS基础设施和IP网络上正在发生的事拥有更清晰的视野。这就要求安全团队和DNS专家采用合适的技术通力合作。无论如何,连接更多的节点并不断修正威胁情报是能够更快识别并阻止网络攻击的。
攻击者总在持续地改进攻击方法,因此我们也需要不断提高数据分析技术,以在攻击发生之前将其锁定。
本文转自d1net(转载)
