“DoH不是万能的,这个协议给公司带来了一种虚假的安全感。”)技术是DNSoverHTTPS(DoH)。DHS将域名转换为Internet上的IP地址,正日益成为攻击者的流行攻击媒介。此前,伊朗的Oilrig黑客组织甚至成为第一个将DNS-over-HTTPS(DoH)协议纳入其攻击武器的威胁参与者。在此背景下,美国国家安全局(NSA)发布了有关安全部署DoH、在企业环境中采用加密DNS的新指南。企业DNS系统工作方式的一个常见威胁是DoH不能完全阻止威胁行为者查看用户流量,当部署在网络内部时,它甚至可以用来绕过许多依赖嗅探明文DNS流量来检测威胁的威胁。安全工具。此外,许多支持DoH的DNS解析服务器在公司控制和审计之外的外部托管。GitHub上发布的免费工具也让攻击者很容易劫持加密的DoH连接以隐藏被盗数据并绕过经典的基于DNS的防御软件。因此,NSA强调,企业应避免使用第三方解析器,而应仅将其指定的DNS解析器用于DNS流量。因为第三方解析器可能会将他们的数据置于风险之中。如果部署不当,攻击者可以利用此技术。对于加密或未加密的DNS流量,仅使用组织指定的公司DNS服务器是最安全的途径,同时应禁用和阻止所有其他DNS解析器。企业DNS控制可以防止网络威胁行为者用于初始访问、命令和控制以及过滤的众多威胁向量。对DoH等加密DNS持谨慎态度的不只是NSA。早在去年,美国网络安全和基础设施安全局(CISA)就发出警告,要求所有美国联邦机构因存在安全风险而在其网络内禁用DoH。和DoT,并采用由政府托管的官方DoH/DoT解析器。
