攻擊者采用了哪些DNS攻擊技術,哪些組織可以幫助事件響應團隊檢測、緩解和預防這些技術?FIRST近日釋出的DNS攻擊與防禦矩陣提供了答案。
DNS作為網際網路基礎架構的一項核心服務,安全問題嚴峻,各種攻擊層出不窮。F5釋出的資料顯示,DNS/DDoS攻擊已經成為主要網絡安全威脅之一。并且攻擊手段逐漸變得複雜和隐蔽,如DNS隧道、DNS流量劫持攻擊等,對網絡安全和資料隐私提出了更高的要求。
不僅是攻擊技術的多樣化和複雜化,DNS攻擊的檢測、緩解和預防所涉及的實體和措施同樣趨于複雜化,這給處理DNS攻擊事件的企業事件響應團隊帶來不小難度。
面對以上挑戰,由來自政府、商業和教育組織的計算機安全事件響應團隊(CSIRT)組成的協會FIRST推出了DNS攻擊與防禦矩陣。
FIRST目前在全球擁有600多名成員。在衆多特殊興趣小組(SIG)中,DNS濫用興趣小組負責編制了DNS攻擊與防禦矩陣。
“CERT不斷接到雪片般飛來的DNS濫用報告,同時又嚴重依賴DNS分析和基礎設施來保護網絡。”DNS濫用興趣小組指出:“DNS攻擊與防禦矩陣從全球事件響應社群的角度解讀檢測和緩解DNS濫用的國際習慣規範,這對于開放網際網路的穩定性、安全性和彈性至關重要。
21種DNS攻擊技術
DNS攻防矩陣定義了21種DNS濫用技術,包括DNS欺騙、本地遞歸解析器劫持、DNS作為拒絕服務攻擊載體或指令控制通信通道、二級域名惡意注冊等。
為幫助使用者、事件響應團隊和不同利益相關者提升DNS安全事件響應效率,DNS攻擊防禦矩陣提供了“檢測”、“緩解”和“預防”三個版本。例如,在DNS緩存中毒事件中,事件響應團隊可以通過“緩解矩陣”檢視哪些實體可以幫助緩解事件。”
以下為三個版本的局部截圖:
檢測:
緩解:
預防:
DNS攻防矩陣涉及的實體(利益相關者)包括從注冊商、注冊管理機構和各種提供商(托管、應用程式服務、威脅情報)到CSIRT和ISAC(資訊共享和分析中心)以及執法和公共安全機構的所有DNS安全利益相關者。
值得注意的是,DNS攻防矩陣目前不包括攻擊者可能與DNS攻擊技術結合使用的其它技術,也沒有涵蓋事件響應者在處理DNS攻擊時可以探索的相關政策、政府和司法途徑。
DNS安全五大趨勢
未來,DNS安全将呈現以下五大發展趨勢:
(1)全球化趨勢:DNS安全問題是全球性問題,需要全球範圍内的安全協作和共享,未來DNS安全将更多呈現國際化、全球化的趨勢。
(2)多元度保護:未來DNS安全需要多種技術手段的協同應用,例如DNSSEC、HTTPS等,将多個安全點的保護形成全面地多元度保護。
(3)智能化趨勢:随着人工智能和機器學習技術的不斷發展,未來DNS安全将更加智能化、自适應和自我防禦。
(4)DANE與DoH趨勢:新興的DNS技術DANE和DoH,它們可以幫助解決DNS緩存污染、欺騙、劫持等問題,未來會越來越多地應用到實際領域。
(5)強調人員教育:未來DNS安全也将越來越重視人員教育,為管理者和使用者提供更好的安全意識和知識,使他們能夠更好地應對DNS安全挑戰。
DNS安全是網際網路安全的重點之一,随着網際網路快速發展,未來DNS将更加全球化、多元度、智能化,DNS安全防禦也需要不斷引入新技術、新手段,加強協作和共享,本文介紹的DNS攻擊與防禦矩陣也将随之更新和擴充,是事件響應團隊必備的參考工具之一。