在扩展企业中使用DNS:这是危险的业务

  • 时间:
  • 浏览:29
  • 来源:it300
在扩展企业中使用DNS:这是危险的业务

这一年是1983年;微软发布了Microsoft Word,McDonald's推出了Chicken McNugget,可以说是互联网最重要的发展 - 域名系统或DNS的实施。如果没有DNS,互联网本可以成长和繁荣是值得怀疑的。每当我们收到或发送电子邮件,访问网页,进行互联网协议语音(VoIP)呼叫或完成涉及互联网的许多其他任务时,我们都会使用DNS。

因为互联网有促进和鼓励联系,它又导致了另一个重要的发展:扩展企业的发展。由于企业已将其大部分业务转移到网上,从支付交易到电子邮件再到内容,他们已经转向网络寻求帮助合作伙伴:软件即服务(SaaS)供应商,支付系统提供商,互联网服务提供商(ISP)等。这些组织(统称为扩展企业)已成为在线开展业务的重要框架。随着电子商务和网上银行现在在客户自己的计算机上进行,扩展的企业甚至延伸到人们的家中。但是,为了使这个相互关联的生态系统顺利运作,这些组织和公司的DNS保持一致和安全至关重要。

基于信任的系统发展

1983年来自南加州大学信息科学研究所的Jon Postel和Paul Mockapetris设计了一种新的方式来分配和记录互联网地址分配DNS。他们的解决方案是革命性的,因为虽然它仍然使用了数字指定的基础系统,但它也允许人们按名称访问计算机。它也是分层的和分布式的。顶级域名将标记出各种类型的用户,例如.mil(军事组织)或.edu(教育组织)。

当这两个用户(在许多其他人的帮助下)创建DNS时,它被设计有帮助,它是基于信任。它现在成为使所有互联网交易发生的关键技术。从本质上讲,DNS是网站和连接所有人和每个人的IP地址之间的目录协助 - 相信人们和组织是他们所说的人。

当DNS首次实施时,有犯罪分子针对互联网进行非法活动的激励和信息很少。然而,今天,DNS协议存储了超过10亿个网址的位置,并且几乎可以路由世界上每一个互联网流量 - 网站,电子邮件,即时消息,金融交易,文件共享等等。对于网络罪犯而言,这是一个非常有利可图的目标。

随着时间的推移,随着DNS的使用爆炸式增长,对其初级设置的利用也随之爆发。最明显的例子是DNS缓存中毒,最近因发现DNS设计的根本缺陷而臭名昭着。缓存中毒是通过用另一个“rog”替换合法的Internet地址来破坏Internet服务器的DNS表“地址。当Web用户在合法地址处搜索页面时,该请求将被表中的恶意条目重定向到不同的地址。此时,蠕虫,间谍软件,Web浏览器劫持程序或其他形式的恶意软件(恶意软件)可以从恶意位置下载到用户的计算机。但网站重定向只是问题的一部分。因为DNS不仅用于控制网站,还用于控制电子邮件,即时消息,金融交易,绝密电子数据等,如果域名的DNS中毒,它可能会对业务本身产生不利影响,这意味着网络犯罪分子可能会获得所有这些数据。

令人不安的统计数据

DNS中毒变得多么广泛和具有破坏性? 2010年1月安全软件公司McAfee的一项民意调查显示,全球57%的领先公司发生了DNS中毒攻击。此外,据IT和安全管理人员质疑,每家公司因网络基础设施攻击而造成的停机成本每天超过六百万美元。

美国国土安全部(DHS)发布了2008年8月的114页报告中提出了几个针对关键IT基础设施元素的精选攻击可能导致全国范围内中断的情景。其中,国土安全部警告说,网站目录系统最容易受到攻击。更进一步,该报告称,攻击者利用DNS中的漏洞可以取消顶级域名,例如.com(公司)或.gov(政府组织) - 对依赖此类服务的消费者,企业和政府实体产生级联效应。

例如,如果网络犯罪分子可以访问.com的通用顶级 - 由VeriSign运营的级域(gTLD),它基本上可以接管所有.com域名。这可能会使所有这些组织停止运作,同时对数据/电子邮件/客户等进行刑事控制。涓滴效应可能是灾难性的。

虽然这似乎不太可能在最近几个月,我们已经看到了针对某些TLD的此类攻击的实例,无论是通过注册表中的黑客还是域名注册商(例如新西兰.nz和波多黎各.pr)。它甚至没有对kn进行恶意攻击熄灭互联网基础设施的大部分内容。最近,瑞典(.se)的注册管理机构错误地在一个关键文件中留下了一段时间,使整个TLD无法读取,有效地将瑞典和.se空间内的所有组织从互联网上移除了几个小时。

]

扩展企业使多角度的网络攻击成为可能

在过去几年中,有许多高知名度的公司和组织成为DNS劫持的受害者。这些包括CheckFree,Comcast,百度,Twitter,甚至是域名本身的国际监督机构ICANN,通过利用与合作伙伴,供应商,客户和扩展企业中的其他主要参与者的联系,黑客可以并且确实获得了访问权限。促进业务的核心交易。

随着越来越多的企业在线运营,企业安全的重要性日益扩展到扩展的企业。对于当今互联的生态系统,最大的剩余安全风险不是企业,而是企业的合作伙伴:SaaS供应商,支付系统提供商,ISP,外包服务等。例如,企业将客户转发给交易提供商直接支付账单 - 将他们的DNS与账单支付提供商联系起来。通过这样做,组织经常使他们的客户面临“在他们的墙外”的进一步危险。

对于全国最大的电子账单支付系统CheckFree,黑客能够通过窃取劫持公司的域名用户名和CheckFree域名注册商Network Solutions进行帐户更改所需的密码和密码。然后,黑客使用这些凭据登录,更改了CheckFree的权威DNS服务器的地址,并将访问者的所有CheckFree域指向加载了恶意软件并由乌克兰服务器控制的Internet地址。这些黑客将2470万CheckFree客户中的大量客户暴露在试图在他们的计算机上安装恶意软件的网址上。

犯罪分子可能不仅使用恶意软件来访问CheckFree的重要数据,而且还要从依靠CheckFree支付账单支付服务的数百个交易伙伴那里窃取信息。如果公用事业提供商直接从其网站向CheckFree发送客户支付账单,客户将接触到CheckFree的虚假DNS。 CheckFree被劫持的DNS突然不仅仅是CheckFree的问题,而且还有该实用程序提供商的问题。同样的情况也适用于美国超过70%的银行将自己的网上银行系统与CheckFree的账单支付系统联系起来。

作为最后的侮辱,CheckFree域名的所有电子邮件都被关闭为DNS劫持还影响了DNS控制的电子邮件服务器配置。这意味着没有人可以向CheckFree发送电子邮件以提醒他们或发现正在发生的事情。一个更坚定的攻击者可能在接管期间截获了所有CheckFree的电子邮件,使CheckFree的所有客户和合作伙伴面临进一步的损失风险。

虽然CheckFree能够o在大约8小时内重新获得对域名的控制权,DNS的性质意味着,在CheckFree重新控制其域名后,恶意服务器仍然会向其发送流量长达48小时。

[123 ]

当发生劫持或黑客攻击时,由于DNS缓存,时间至关重要。如果DNS条目被黑客攻击(与CheckFree一样),DNS系统的分布式特性有助于虚假条目在全球范围内传播和挖掘,就像ISP和企业中的病毒一样,所有这些都会缓存DNS设置。 TTL(生存时间)缓存设置的本质是为了使互联网更加稳定,这意味着更正通常需要48小时才能解决。生存时间与听起来完全一样。这基本上是DNS重新开放的时间电缆被缓存或保存在解析域服务器或路由器上。如果DNS具有较长的TTL,则您对DNS条目所做的任何更改(如重定向到另一台服务器)可能需要数小时(如果不是几天)更新 - 这意味着错误的DNS条目可能需要数小时或数天才能更改回到良好的DNS设置。

2009年4月,Domainz.net(新西兰主要的DNS注册商控制大多数.nz域名)发生DNS中毒攻击,导致主要.nz域名被恶意重定向。谷歌,微软,雅虎,可口可乐和其他大公司的本地网站被重定向到破坏网站。这些网站和其他本地网站,包括PayPal,耐克,戴尔和诺基亚,被重定向到黑色的网站,除了黑客行话中的消息说这些网站已被黑客入侵。这些“partner“网站没有遭到攻击,但由于网络犯罪分子侵入了注册商的DNS,他们基本上可以控制所有其他品牌的互联网交易 - 从网站到消息(电子邮件,即时消息等)等等。

在这些和许多其他情况下,黑客通过密码窃取恶意软件获得了对DNS的控制权,或者可能是通过网络钓鱼骗局欺骗提供这些凭据的员工。其他案例涉及通过SQL注入攻击等基本黑客技术从域管理系统本身窃取用户名和密码。这意味着即使那些在自己的密码保护政策中非常勤奋的公司也会接触到DNS收购,仅仅因为注册r或注册管理机构有曝光。只需要一个简单的密码即可为数百家公司更改互联网生命线。更令人不安的是,到目前为止,世界绝大多数域名的情况仍然存在。

找到问题的根源

您是否允许提供商进行不受控制的控制在你的域名和DNS服务器上 - 基本上是你公司城堡的钥匙?大多数公司都是这样做的,不是在注册商和DNS提供商处独立观看自己的DNS条目。通过他们的域直接连接到扩展的企业合作伙伴,他们授予这些提供商对他们自己的客户,电子邮件和交易的潜在不安全访问权限。如果您没有监控他们的DNS,您可能会打开yoursel不仅可以直接通过合作伙伴,还可以通过合作伙伴的合作伙伴等进行网络犯罪攻击。这就是为什么保护您的扩展企业如此重要的原因。

然而,监控您的扩展企业只是战斗的一部分。 DNS问题和错误的快速修复可能会在错误数据传播到长期缓存之前彻底切断传播。这一事实使得快速识别和修复变得更加重要。因此,必须找到DNS中毒的根源,无论是ISP,域名注册商还是DNS服务提供商。否则,欺诈性条目将遍布整个网络甚至整个互联网。根除中毒的网络条目可能非常困难

行动胜于雄辩

随着内容和交易伙伴关系变得越来越普遍,越来越多的业务通过互联网完成,需要一个安全的互联网存在扩展的企业变得至关重要。因为互联网存在的第一道防线在于DNS,所以保护互联网的目录服务是任何组织必须采取的关键安全措施。

具体而言,企业必须监控,警报和修复不仅仅是它的DNS,还有它的合作伙伴的DNS。如果一家利用CheckFree支付账单支付服务的公司已经意识到CheckFree的DNS正在被重新路由,它可能已经识别出该攻击,联系CheckFree提醒他们,并关闭或重新启动立即获得自己的账单支付服务。相反,如果CheckFree一直在积极监控其DNS,它可能会向数百个交易伙伴发出关于劫持事件的警报,并且几乎立即解决了所有人的情况。

行动计划

与任何威胁,在实施保护措施之前,必须首先确定您的DNS暴露并确定范围。对于扩展的企业DNS,需要根据风险暴露来识别您自己组织的关键资产并确定其优先级。例如,您的交易系统的域比用于将流量重定向到主网站的产品名称域更重要。您还需要评估您的主要合作伙伴。与谁一起进行自动金融交易ns,交换敏感电子邮件或接受内容到您的公司网站?您是通过链接或广告系列向谁发送客户的?如果其中一个合作伙伴的互联网存在被意图窃取电子邮件,安装恶意软件或拦截交易的犯罪分子接管,会对您的组织产生什么影响?需要对这些关键合作伙伴进行监控以确保其DNS按预期持续配置。

一旦您知道什么是重要的,您就需要锁定自己的域名。不幸的是,锁定事情并不容易 - 很少有注册商或外包DNS提供商实施了诸如访问控制的多因素身份验证之类的东西,但确实存在选项。例如,VeriSign针对.com域名推出的新计划ides是名称服务器更改的注册表级后备。有些提供商也会提供名称服务器或DNS映射更改的带外确认。

除了锁定内容之外,还需要建立一个监控程序,监视DNS条目中的更改为您自己的密钥的意外值域和您的合作伙伴遍布整个扩展企业。当事情出错时,您会很快得到通知,并且可以开始采取措施来缓解问题,无论是在您自己的系统中修复某些内容,还是关闭对合作伙伴的访问权限,直到他们将自己的房屋整理好。在注册表级别和DNS服务器本身查找更改非常重要,这样您就可以了解任何问题的真实性质。观看关键ISP解析器也是明智之举为了发现可能影响大部分客户群的主要缓存中毒或黑客攻击。如果确实出现问题,您需要一个应急计划来修复每种类型的问题,并与任何缓存了错误数据的ISP进行通信,以便他们能够快速修复。

DNS值得信赖,但不值得信赖 - 时间改变方程

随着扩展企业的持续快速扩张,确保DNS需要立即关注,以保持组织所依赖的整个互联网生态系统的信任。通过缓解扩展企业中DNS内不断变化的动态安全威胁,组织可以专注于他们的工作,消费者可以毫无顾虑地进行购买。扩展的企业域名系统是一项风险很高的业务,长期以来一直被忽视。-RR

Rod Rasmussen是互联网身份的总裁兼首席技术官,互联网身份是一家技术和服务提供商,致力于确保互联网的存在。组织及其扩展企业。

相关阅读:

扩展企业的演变:前瞻性思维组织的安全策略任播 - 您的DNS网络应该使用它的三个原因

猜你喜欢

希腊最高法院批准俄罗斯对比特币嫌疑人的请求

希腊最高法院批准俄罗斯对比特币嫌疑人的请求希腊最高法院上周五表示,一名据称使用比特币数字货币洗钱40亿美元的俄罗斯人应该被引渡到俄罗斯,一位法院消息人士说。AlexanderV

2019-02-01

塑造美国网络防御的创造性破坏和自满情绪

塑造美国网络防御的创造性破坏和自满情绪创造性的破坏,思维的范式转换取代现有的秩序,可能是一个难以捉摸的概念,但它作为人类行为驱动力的力量是不可否认的。在硅谷和其他美国的高层科技

2019-02-01

为什么我(非常)担心PRISM

为什么我(非常)担心PRISM美国国家安全局正在利用我们的数字生活,监控语音电话,电子邮件,社交媒体以及谁知道什么。美国国家安全局方面的人说,这是为了国家安全;它已经停止了恐怖

2019-02-01

先发优势:为什么新的恶意软件最初会打败反恐

先发优势:为什么新的恶意软件最初会打败反恐虽然反病毒解决方案可以有效对抗广泛使用的恶意软件,但是有一个很好的机会,新的恶意软件会躲过那些解决方案。最近有重大安全事件的报告激增,

2019-02-01

台湾银行抢劫与朝鲜黑客有关

台湾银行抢劫与朝鲜黑客有关最近针对台湾一家银行的网络抢劫事件已被安全研究人员联系到一个据信在朝鲜境外活动的臭名昭着的威胁组织。黑客利用SWIFT全球金融网络大致窃取来自台湾远东

2019-02-01