多年来,大规模域名系统劫持(通常以域名系统攻击或分布式拒绝服务攻击的形式)一直在稳步增长。然而,2019年前所未有的域名劫持事件促使英国国家网络安全中心提醒相关组织注意这一威胁,并提供建议:学习如何保护您的域名系统免受劫持。
1. DNS劫持的后果
DNS攻击比其他攻击更能摧毁用户对互联网的信任。从数据盗窃到金融欺诈和其他后果,任何受到域名系统攻击的人都会对互联网保持警惕,尤其是怀疑攻击的域名来源。众所周知,被域名劫持伤害的客户将会放弃大量受影响的服务,也会损害收入和品牌声誉。
(1)通过劫持域名,黑客可以有效地使用武器为公司提供在线服务。
域名劫持将对组织及其品牌形象造成灾难性后果。当一家公司成为域名劫持的受害者时,其客户将面临欺诈、数据窃取、侵犯隐私和财务损失的风险。公司的品牌声誉受损,导致客户流失和收入下降。此外,公司还可能受到监管机构的罚款或其他处罚。
(2)个人和企业可能成为攻击目标,但网站所有者面临最严重的后果。
互联网用户相信他们访问的网站是安全、可靠和加密的,可以保护他们的在线数据。
监管机构如《通用数据保护条例》也将为此付出代价。英国航空公司最近因泄露与域名劫持相关的数据而被罚款2.3亿美元,域名劫持将流量重定向至欺诈网站。当用户将信用卡数据输入他们认为合法的英国航空公司网站时,超过40万名客户受到影响。
域名劫持造成的收入、客户和品牌声誉损失将直接影响公司的利润和资本价值。
2. 为什么DNS容易受到攻击
考虑到大多数组织的在线服务和运营规模,域名系统是一个充满潜在漏洞的巨大网络不足为奇。被遗弃的域名、薄弱的密码控制和繁重的管理流程加剧了这些弱点。
(1)黑客经常使用过期或被遗忘的域名,而公司忽略了这些域名的管理。
一个被遗忘的域名允许戴尔放弃对它的控制,允许用户一键将他们的计算机备份到在线服务。黑客发现这一疏忽后,盗用了该域名,并将世界各地的戴尔计算机用户重定向到一个充满显式内容和危险下载的网站。对戴尔品牌声誉的损害是巨大的。
(2)未使用或“孤立”的域名是另一个问题:当一家公司管理数百甚至数千个域名时,很容易忽略损坏的域名。
在一次名为“垃圾熊”的攻击中,黑客利用GoDaddy的域名系统窃取了600个所有者的4000个孤立域名,其中包括荷兰国际集团银行、希尔顿、麦当劳和万事达卡。这些域名特别容易受到攻击,因为它们被排除在主服务器之外,并且没有得到有效管理。
(3)域名系统管理和访问容易受到攻击。
DNS控制系统的访问权限应仅限于授权人员,但是,由于密码管理不善,他们容易受到攻击。未经授权的团体经常进入公司的域名系统控制系统,劫持域名和域名系统,甚至隐藏他们的踪迹以避免被发现。因为域名系统控制可能涉及域名系统所有者和域名服务提供商的操作,所以这两个系统都需要安全的密码控制,例如双因素身份验证。
(4)低效和无效的变更管理过程削弱了域名系统的安全性。
微小的更改可能会危及域名,因此管理员必须尝试跟踪更改的时间、地点、原因和方式。这项工作通常是手动完成的,这增加了出错和疏忽的风险,并危及域名系统的安全。
(5)无效的更改管理会导致域名系统安全设置被忽略或无效。
设置(例如用于验证用户和目的地的域名系统安全扩展)和基于域名的邮件验证、报告、审核电子邮件用户的一致性,以及发件人策略框架,被广泛认为是强制性和必要的安全措施。一项针对0103011000家顶级公司的持续调查显示,这些保护措施要么全部丢失,要么部署不当,从而对受影响组织的域名系统网络和客户造成严重损害。
为了保护每个人的利益,公司必须通过全面有效的管理来加强域名系统的安全性。
3. 如何保护您的域名系统免受劫持
防止域名系统攻击主要是管理
(1)集成到一个平台
将所有域名注册商和域名服务提供商合并到一个企业注册商和域名服务提供商中。在一个平台上工作可以使控制和访问更加容易,实现更强的密码保护,并使用相同的最佳实践来管理所有流程。单一平台还允许用户激活“自动更新”和“注册锁定”功能,以减少域名更新失败和未经授权的域名更改的机会。
(2)消除不必要的域名
所有域名(包括未使用的域名)应以与高级域名相同的方式管理和维护。主动消除隔离域名并管理可能容易被滥用的域名系统设置,如未使用的IP地址和缺乏授权启动(SoA)的域名。
(3)集成变更管理
实现基于系统的变更管理平台,该平台依赖于自动化而不是手动输入。自动化可防止未经授权的更改,通知管理员已授权的更改,并对系统内的所有活动进行防篡改审计。理想情况下,该平台集成了所有与域名系统相关的管理任务,包括用于加密和安全设置(如DNSSEC)的顶级域名系统证书。
(4)自动化管理过程
通过自动化过程克服了重要域名系统安全功能的复杂性。DNSSEC、DMARC和SPF管理起来既困难又昂贵,这对许多公司来说在经济上是不可持续的。自动化域名系统安全性使其在财务上可行且易于管理,同时确保完全合规。
客户和用户会避开他们认为不安全的网站。每个提供在线服务的组织都需要将域名系统的安全性作为一个优先事项,互联网的安全性取决于此。
极牛网精选文章《如何保护您的域名系统免遭劫持?》文中所述为作者独立观点,不代表极牛网立场。如若转载请注明出处:https://geeknb.com/4827.html