多年来,大规模域名系统劫持(通常以DNS攻击或DDoS攻击的形式)一直在稳步增加。但2019年前所未有的DNS劫持事件促使英国国家网络安全中心向相关组织发出威胁警报,并提供建议:了解如何保护您的域名系统不被劫持。一、DNS劫持的后果DNS攻击比其他任何攻击都更能破坏用户对互联网的信任。由于从数据盗窃到金融欺诈的后果,任何受到DNS攻击影响的人都会对Internet保持警惕,尤其是对发起攻击的域名持怀疑态度。众所周知,受DNS劫持伤害的客户会放弃大量受影响的服务,并损害收入和品牌声誉。(1)通过劫持域名,黑客可以有效地使用武器为企业提供在线服务。DNS劫持会对组织及其品牌形象造成灾难性后果。当一家公司成为DNS劫持的受害者时,其客户将面临欺诈、数据盗窃、隐私侵犯和经济损失的风险。公司的品牌声誉受损,导致客户流失和收入下降。此外,公司可能会受到监管机构的罚款或其他处罚。(2)个人和企业都可能成为目标,但网站所有者面临的后果最严重。互联网用户相信他们访问的网站是安全、可靠和加密的,以保护他们的在线数据。《通用数据保护条例》等监管者也会付出代价。英国航空公司最近因涉及将流量重定向到欺诈网站的DNS劫持的数据泄露而被罚款2.3亿美元。当用户将他们的信用卡数据输入他们认为是合法的英国航空公司网站时,超过400,000名客户受到影响。DNS劫持造成的收入、客户和品牌声誉的损失将直接影响公司的利润和资本价值。2.为什么DNS容易受到攻击鉴于大多数组织在线服务和运营的规模,DNS是一个充满潜在漏洞的庞大网络也就不足为奇了。废弃的域名、薄弱的密码控制和繁琐的管理流程加剧了这些弱点。(1)黑客经常利用公司疏于管理的过期或遗忘的域名。戴尔正在放弃对一个被遗忘的域的控制,该域使用户可以通过单击将其计算机备份到在线服务。当黑客发现疏忽时,他们接管了域名并将世界各地的戴尔计算机用户重定向到一个充满露骨内容和危险下载的站点。对戴尔品牌声誉的损害是巨大的。(2)未使用或“孤立”的域是另一个问题:当公司管理数百甚至数千个域时,很容易忽略受感染的域。在被称为“垃圾熊”的攻击中,黑客使用GoDaddy的DNS系统从600个所有者那里窃取了4,000个孤立域名,其中包括ING银行、希尔顿、麦当劳和万事达卡。这些域特别容易受到攻击,因为它们被排除在主服务器之外并且没有得到有效管理。(3)域名系统的管理和访问存在漏洞。对DNS控制系统的访问应仅限于授权人员,但是,由于密码管理不善,他们很容易受到攻击。未经授权的团体通常会获得对公司DNS控制系统的访问权限,劫持域名和DNS,甚至掩盖他们的踪迹以逃避检测。由于DNS控制可能涉及DNS所有者和DNS服务提供商的操作,因此这两个系统都需要安全的密码控制,例如双因素身份验证。(4)低效和无效的变更管理流程削弱了DNS安全性。较小的更改可能会使域名面临风险,因此管理员必须努力跟踪更改的时间、地点、原因和方式。这项工作通常是手动完成的,增加了错误和疏忽危及DNS安全的风险。(5)无效的更改管理导致DNS安全设置被忽略或失效。用于验证用户和目的地的域名系统安全扩展、基于域的消息验证、报告和合规性以及用于审计电子邮件用户的发件人策略框架等设置被广泛认为是强制性和必要的安全措施。对《财富》前1000家公司的一项持续调查显示,这些保护措施要么完全缺失,要么部署不当,导致受影响组织的DNS网络和客户受到严重损害。为了保护每个人的利益,企业必须通过全面有效的管理来加强DNS安全。3.如何保护您的域名系统不被劫持防止DNS攻击主要是管理日益扩大的DNS网络运营规模,避免劫持,并使用以下策略来保护DNS。(一)整合为一将所有域名注册商和DNS服务商合并为一个企业级注册商和DNS服务商。在一个平台上工作可以更轻松地控制和访问、更强大的密码保护以及管理所有流程的相同最佳实践。单一平台还允许用户激活自动续订和注册商锁定功能,以减少域续订失败和未经授权的DNS更改的可能性。(2)淘汰不必要的域名所有域名(包括未使用的域名)的管理和维护都应与优质域名相同。主动消除孤立域名并管理可能容易被滥用的DNS设置,例如未使用的IP地址和缺少授权启动(SoA)的域。(3)集成变更管理实施基于系统的变更管理平台,该平台依赖于自动化而不是人工输入。自动化阻止未经授权的更改,将授权更改通知管理员,并提供对系统内所有活动的防篡改审计。理想情况下,该平台集成了所有与DNS相关的管理任务,包括用于加密的TLS证书和DNSSEC等安全设置。(4)自动化管理流程通过流程自动化克服重要DNS安全功能的复杂性。DNSSEC、DMARC和SPF管理起来既困难又昂贵,这使得它们在经济上对许多公司来说是不可持续的。自动化DNS安全使其在财务上可行且易于管理,同时确保完全合规。客户和用户会避开他们认为不安全的网站。每个提供在线服务的组织都需要优先考虑DNS安全,互联网的安全取决于此。
