大多数人都很容易同意,在过去的几个月里,我们的IT世界一直被网络安全讨论所主导,因为我们每天(有时感觉像是每小时)都能看到关于我们国家发生的下一个网络安全事件的报道, 状态, 或者有时和我们的同伴. 很明显,我们所有人都会想到的下一个问题是“我是下一个吗??以及“我现在能做些什么来帮助最小化我和我的组织所面临的风险。?”
我们一直在讨论,组织中适当的网络准备不是单一的工具或解决方案,而是需要整个组织的网络准备, 跨人员(领导和员工)的文化转变, 政策, 优先级, 所有系统都协同工作,以最大限度地降低风险,并在发生网络事件时实现快速恢复.
一个有助于降低风险的系统变更,似乎是最近每个网络专家关于当今网络就绪组织的“十大”风险管理待办事项的演讲的一部分 实现DNS安全. 好消息是,实际实现DNS安全性对任何组织来说都是相对较小的工作量.
您可以开始实现一些非常基本的DNS安全性,除了配置时间和精力之外,不需要任何成本. 我以前已经写过这些步骤,由于其时效性,我将在下面再次重申.
然而,网络保护的一个关键原则是,你不能与你看不到的东西作斗争. 虽然下面概述的基本DNS保护方案很好, 它仍然对我们的网络上正在发生的事情缺乏任何真正的可见性. 我们假设保护措施起作用了, 但我们确实没有办法验证它的效果如何. 虽然我们已经获得了一些能力,以阻止已知的恶意软件相关的DNS请求, 我们不知道在我们的网络上可能会发生什么其他相关的风险DNS活动,我们完全没有意识到这可能会使我们陷入其他网络事件.
为此目的, 在接下来的几周内,我们的团队将探索一些客户更先进的DNS安全产品. 这些产品将为我们所有人提供额外的工具来查看来自组织的所有DNS活动的快照,以及调整DNS响应以消除某些活动(如果需要)的方法. 请继续关注更多细节,并听取我们对这些更高级的DNS安全工具可以添加的额外保护的想法.
与此同时, 以下是一些DNS安全基础知识,如果实施这些基础知识,将大大有助于降低网络中的网络风险:
DNS查找和/或劫持DNS查找是许多恶意软件代理经常使用的工具,以帮助成功实现其预期的攻击. 恶意软件可以使用特制的DNS查找到特定的基于互联网的DNS服务器,旨在为恶意软件下载或命令和控制活动返回适当的信息. 网络钓鱼网站攻击使用DNS可以在劫持DNS响应中看到,将受害者带到第一眼看起来和感觉像是合法网站的网站,但实际上, 钓鱼网站是否等待受害者输入他们的凭据或其他机密信息.
帮助强化您的组织并防止使用DNS来促进恶意软件攻击的最简单方法之一是严格控制网络中DNS的配置和使用. 如果恶意软件不能正确解决如何“打电话回家”的问题,那么有意的攻击就被削弱了.
CSI在过去几年中分享的一些最佳实践:
- 将你的域名的权威DNS服务器(那些告诉互联网你的网站位置的服务器)分开, 邮件和其他服务器)从您的内部设备用于DNS查找的DNS服务器. 您的授权服务器应该只执行该功能,而不执行其他功能-不进行其他查找.
- 内部设备DNS查找应仅限于使用组织内指定的DNS服务器. 对于我们大多数在窗户。世界的人来说, 这意味着限制DNS查找到您定义的Active Directory域控制器.
- 对于所有内部DNS服务器, 应该禁止使用默认DNS根服务器进行外部查找.
- 而不是使用根服务器进行外部查找, 定义DNS转发器的使用, 然后只使用公开可用的Cisco Umbrella(以前的OpenDNS) DNS解析器作为内部DNS服务器的转发器. 这些服务器位于IP的208.67.222.222和208.67.220.200. 顺便说一句,这些IP不是单个主机,而是通过任意cast路由自动将您映射到最近的操作服务器位置.
- 使用防火墙禁用所有不是来自您定义的内部DNS服务器且不是以两个Umbrella DNS解析器为目的地的出站DNS查找请求.
除了速度之外,使用Umbrella DNS解析器的主要优点之一是它们不会解析已知恶意软件站点的DNS. 这些服务器不断更新新信息,以拒绝解析已知的坏地址到新发现的恶意软件站点.
虽然上面的步骤1 -4对于我们的大多数客户来说都很容易实现, 第五步是真正需要完成的保护,但在许多地点仍然难以完成.
你们中的许多人仍然有使用其他外部DNS服务器的独立设备, 例如, 广受欢迎的谷歌DNS服务器.8.8.8 or 8.8.4.我怀疑主要是因为它们容易记住. 在步骤5中实现防火墙块将使DNS停止在这些设备上工作,直到它们被重新配置. 但是,完成这一步对于提供完整的DNS控制和您可以从中获得的所有保护至关重要.
在我们审查的许多日常火力IPS报告中,我们仍然看到偶尔向伞式DNS解析器以外的DNS请求,因此我们知道在许多情况下,该过程的最后一步仍未完成.
虽然不是万无一失的方法, 适当的DNS控制是一种经常被忽视但相对简单的方法,可以为您的组织添加一些额外的恶意软件保护. 在今天的互联网上,我们可以使用我们能得到的所有保护.
最近的评论