办公网络的第一道防线是谁?有的说是上网行为管理,有的说是杀毒软件。但这个答案只适用于十年前。 时代变了。在管理员工上网行为、对员工电脑进行杀毒之前,首先要掌握DNS解析是一件很重要的事情。 为什么选择DNS?在厘清这个问题之前,我们还得回顾一下过去十年间发生的事情。 网络安全环境的十年变迁:多重损失,夜深人静 十年前,谈办公网络运维,来的只有网络结构、员工行为、带宽等IT管理任务去提醒。如果你担心员工电脑有病毒,再装一个杀毒软件,然后你一年半载都记不住更新规则库了。只要做到合规,做好数据中心防护,隔离内网,网络安全就万事大吉——即使员工电脑中有很多木马病毒,也不会影响核心业务。 然而,这十年来网络安全环境急剧恶化。 过去十年,钓鱼邮件、勒索软件横空出世。与此同时,我们也看到了APT攻击的猖獗。黑帽子从散兵游勇发展为黑帮,形成了一条黑色产业链。“软件即服务”的商业模式——不需要新进入者对技术有太多了解,只要手上有恶意软件,就可以在犯罪边缘反复试探。 人类的贪婪是无法计算的。十年来,恶意软件也在不断自我升级。现在的恶意软件不仅可以从办公网络潜入,还可以通过提权利用、利用漏洞等方式横向移动,直达核心业务领域,然后开始干坏事,比如窃取数据、破坏系统,甚至直接盗用公司账号。资金。 环境恶化到99%的安全从业者一提到办公网络防护,第一反应就是上网行为管理和杀毒软件。但是,如果办公网络只有这两个防护,那基本上就相当于只穿内衣裸奔了。上网行为管理和反软件没有错,但时代不允许他们站在前线。 上网行为管理与反软件:千浪 上网行为管理就像是建筑物的属性。在管理员工行为和网络带宽方面可以说是不可或缺的。但归根结底,它只是一款以“管理”为主要功能的软件。面对木马、后门、勒索、钓鱼等网络威胁,上网行为管理束手无策——当一群伪装良好的窃贼潜入大楼之时,物业公司只能抓瞎员工。 杀毒软件就像电影里无助的Sir。即使你面对的是伪装的小偷,你也无法认出这就是你要抓的人,因为杀毒软件是基于传统的行为签名技术,无法立即识别和应对新型网络威胁,当此类威胁最终出现在规则库中时,办公室网络中可能已经有大量机器被招募并受害。 因此,尽管这两种软件在国内大中型企业中得到了广泛应用,但当WannaCry、Petya等勒索病毒席卷全球时,全国仍悲痛欲绝,无人能逃。 于是我们又回到了开头的问题:为什么一定要是DNS呢? DNS解析控制:轻量级,容易控制,已忽略 DNS解析将我们要访问的域名解析成ip,这是访问互联网的第一步,为了保证可用性在企业网络中,DNS流量通常不受管理。这部分流量不超过企业日常网络流量的5%,但正是这种被人们忽视的小流量,却产生了巨大的作用。任何终端上网时,如果在DNS端拦截恶意域名,可以有效防止员工下载恶意软件,阻断钓鱼链接,防止被骗机器与攻击者通信,防止基于DNS的隧道技术从数据中获取数据破口等等。 就好像小偷一边吃着火锅一边唱着歌开车去目标现场。不料,某种神秘力量不仅预知了他们的犯罪行为,还洞悉了他们的行车路线,在他们的必经之路和关卡上设置了路障。等待盗贼的不是一夜暴富,而是Sir手中的一对玫瑰金手镯——DNS解析控制,就是这种神秘的力量。 至于具体的效果,我们来看一组对比数据: 根据Cisco的报告,91.3%的恶意软件都是通过DNS协议传播的。 全球网络联盟(GCA)在2019年发布了《DNS安全的经济价值》报告,称保护性DNS的安全控制每年可以为美国节省19-370亿美元的损失,而在全球范围内,这个数字是1500-2000一亿美元。 为什么DNS保护会有如此明显和可量化的效果?事实上,这种具有安全保护能力的DNS被称为DNS安全保护产品,在国外已经相当成熟。 那么,一款合格的DNS安全防护产品应该具备哪些能力呢? 一是拦截阻断恶意软件、钓鱼、挖矿等网络攻击。一方面可以有效阻断办公网络终端下载恶意文件和访问钓鱼网站的过程。另一方面,一旦企业终端安装了恶意软件,DNS安全防护产品就会阻断这些恶意软件与攻击者远程控制终端的通信,防止恶意软件进一步运行或下载更多恶意模块。此外,还可以有效防止以DNS为通道的数据泄露。 之后是屏蔽不良网站。合格的DNS安全防护产品应具备即时捕获识别全球任何新域名的能力,如色情暴力、非法内容、赌博、文件共享、游戏、广告等,用户可以自主选择是否屏蔽这些类别的网站。 另外,作为企业级安全产品,还应该具备安全管控功能,支持企业安全运维人员配置不同的工作场所、管理员、用户、漫游终端,并为每个人配置防护策略工作场所。提供相应威胁的拦截结果和上下文信息,供进一步分析。 目前国外代表性DNS防护产品是思科的Umbrella,国内标杆产品是知名公共DNS解析服务OneDNS的企业版。值得一提的是,这两款产品的背后都有威胁情报的影子。思科早在2014年就收购了威胁情报公司ThreatGrid,并组建了自己的威胁情报团队Talos;OnlineRevenue接入微步威胁情报云,分钟级更新的威胁情报与OneDNS对恶意域名和软件的识别和拦截能力相得益彰。 DNS安全防护产品部署简单,成本低。它们不仅适用于拥有多个工作场所和分支机构的中大型企业,也非常适合处于快速成长期的中小企业和IT团队。如果您需要为办公网络添加第一把锁,不妨从DNS入手。
