每周og体育app官网小闻-实现DNS安全

2019年11月29日,
每周og体育app官网小闻-实现DNS安全

大多数人都很容易同意,在过去的几个月里,我们的IT世界被网络安全讨论所主导,因为我们每天(有时感觉像是每小时)都看到关于我们国家发生的下一次网络安全事件的报告, 状态, 或者有时和我们的同龄人一起.   下一个跳入我们脑海的问题是“我是下一个吗??以及“我现在能做些什么来帮助我和我的公司将风险降到最低??”

我们已经讨论过,在一个组织中,适当的网络准备不是一个单一的工具或解决方案,而是需要整个组织, 跨人员(领导和员工)的文化转变, 政策, 优先级, 所有的系统都在一起工作,以将风险降到最低,并在网络事件发生时实现快速恢复.

在最近的网络专家的报告中,有一个系统的改变可以帮助最小化风险,这似乎是当今网络组织的“十大”风险管理待办事项的一部分 实现DNS安全.   好消息是,实际上实现DNS安全对任何组织来说都是一个相对较小的努力.

您可以开始实现一些非常基本的DNS安全,而不需要任何成本,除了配置时间和努力.   我以前写过这些步骤,由于它的时效性,下面再重复一遍.

然而,网络保护的一个关键原则是,你不能对抗你看不到的东西.   虽然下面列出的基本DNS保护方案很好, 它仍然缺乏我们网络上发生的任何真实可见性.   我们认为防护装置起作用了, 但我们确实没有办法核实它的效果如何或是否有效.   虽然我们已经获得了一些能力来阻止已知的恶意软件相关的DNS请求, 我们不知道在我们的网络上还有什么其他相关的有风险的DNS活动,而我们完全没有意识到这些活动可能会让我们面临其他网络事件.

为实现这一目标, 我们的团队将在接下来的几周内探索一些客户更高级的DNS安全产品.   这些产品将为我们所有人提供额外的工具,以查看来自某个组织的所有DNS活动的快照,以及在需要时调整DNS响应以消除某些活动的方法.   请继续关注这方面的更多细节,并倾听我们对这些更高级的DNS安全工具可以添加的额外保护的想法.

与此同时, 以下是DNS安全基础知识,如果实施这些基础知识,将有助于降低你网络中的网络风险:

DNS查找和/或劫持DNS查找是许多恶意软件代理经常使用的工具,以帮助他们的目标攻击成功.   恶意软件可以使用专门设计的DNS查找到特定的基于internet的DNS服务器,该服务器旨在为恶意软件的下载或命令和控制活动返回适当的信息.   钓鱼网站攻击使用DNS可以看到劫持的DNS响应,把受害者带到一个网站,乍一看和感觉像是预期的合法网站,但实际上, 钓鱼网站是否在等待受害者输入他们的证书或其他机密信息.

加强您的组织并保护它不受使用DNS来促进恶意软件攻击的影响的最简单方法之一是严格控制网络内DNS的配置和使用.   如果恶意软件不能正确解决如何“打电话回家”的问题,预谋的攻击就会被钝化.

CSI在过去几年里分享的一些最佳实践:

  1. 分离你的域名的权威DNS服务器(那些告诉互联网你的网络位置的服务器), 邮件和其他服务器)从您的内部设备用于DNS查找的DNS服务器. 您的授权服务器应该只执行该功能,而不执行其他任何查询.
  2. 内部设备DNS查找应该被限制为仅在组织内部使用指定的DNS服务器. 对于我们大多数生活在窗户世界的人来说, 这意味着将DNS查找限制在您定义的Active Directory域控制器上.
  3. 适用于所有内部DNS服务器, 应该禁止使用默认的DNS根服务器进行外部查找.
  4. 而不是使用根服务器进行外部查找, 定义DNS转发器的使用, 然后只使用公开可用的Cisco Umbrella(前OpenDNS) DNS解析器作为您的内部DNS服务器的转发器. 这些服务器的IP地址是208.67.222.222年和208年.67.220.200.   顺便说一下,这些IP不是单一的主机,但会自动映射你到最近的运行服务器位置通过anycast路由.
  5. 使用您的防火墙禁用所有出站DNS查找请求,这些请求不是来自您定义的内部DNS服务器,也不是两个伞DNS解析器的目的地.

使用保护伞DNS解析器的一个主要优势除了速度之外,是他们不会解析已知恶意软件网站的DNS.   这些服务器不断更新新的信息,以拒绝解析已知的坏地址到新发现的恶意软件网站,在持续的基础上.

虽然上面的步骤1 -4已经很容易为我们的大多数客户实现, 真正需要完成保护工作的是第五步,但在许多地点,这一步骤仍然难以完成.

你们中的许多人仍然有使用其他外部DNS服务器的独立设备, 例如, 一直流行的谷歌DNS服务器.8.8.8 or 8.8.4.我怀疑主要是因为它们很容易记住.   在步骤5中实现防火墙块将使DNS在这些设备上停止工作,直到它们被重新配置.   但是完成这个步骤对于提供完整的DNS控制和您可以从中获得的所有保护来说是至关重要的.

我们仍然看到偶尔的DNS请求,而不是伞DNS解析器在许多日常火力IPS报告,我们审查,所以我们知道,在许多情况下,最后一步的过程仍然没有完成.

虽然不是万无一失的方法, 适当的DNS控制是一个经常被忽视的,但相对简单的方法,为您的组织添加一些额外的恶意软件保护.   在今天的互联网上,我们可以利用我们所能得到的一切保护.