Основні проблеми безпеки DNS

EMA попросила учасників дослідження визначити проблеми безпеки DNS, які завдають їм найбільшого болю. Найпопулярнішою відповіддю (28% усіх респондентів) є викрадення DNS. Також відомий як перенаправлення DNS, цей процес передбачає перехоплення DNS-запитів від клієнтських пристроїв, щоб спроби підключення спрямовувалися на неправильну IP-адресу. Хакери часто досягають цього, заражаючи клієнтів зловмисним програмним забезпеченням, щоб запити надходили на фальшивий DNS-сервер, або вони зламують законний DNS-сервер і викрадають запити в більшому масштабі. Останній метод може мати великий радіус вибуху, що робить критично важливим для підприємств захист інфраструктури DNS від хакерів.

Другим найбільш серйозним питанням безпеки DNS є DNS-тунелювання та ексфільтрація (20%). Хакери зазвичай використовують цю проблему, коли вони вже проникли в мережу. Тунелювання DNS використовується, щоб уникнути виявлення під час отримання даних із зламаного. Хакери приховують витягнуті дані у вихідних запитах DNS. Таким чином, для інструментів моніторингу безпеки важливо уважно стежити за трафіком DNS на наявність аномалій, як-от аномально великих розмірів пакетів.

Третє найбільш актуальне занепокоєння безпеки – це атака посилення DNS (20%). Це різновид розподіленої атаки на відмову в обслуговуванні (DDoS), за допомогою якої хакер обманом обманює сторонні DNS-сервери з загальною адресацією, щоб вони заповнили цільовий DNS-сервер небажаними підробленими відповідями на запити, перешкоджаючи цьому серверу відповідати на законні запити. Ця атака може зробити веб-сайти недоступними, оскільки DNS-запити кінцевих користувачів до сайту не можуть бути вирішені.
 

---

Як покращити безпеку DNS

Брандмауери DNS

ІТ-організації можуть зменшити ризик безпеки DNS, встановивши брандмауер DNS. Майже 47% експертів DDI повідомили EMA, що вони розгорнули брандмауер DNS для захисту своєї інфраструктури, і ці організації відкрили нам, що вони були набагато впевненішими у своїй загальній безпеці DNS. Брандмауери DNS — це спеціалізовані пристрої безпеки мережі, які повністю зосереджені на перевірці запитів DNS і блокуванні з’єднань на основі аналізу загроз і політики безпеки. Вони мають набагато більш детальну видимість і інтелектуальні дані про трафік DNS, ніж стандартний брандмауер.

DNSSEC

Іншим важливим заходом є використання розширень безпеки DNS (DNSSEC), набору специфікацій, створених Інженерною робочою групою Інтернету (ETF). DNSSEC передбачає налаштування DNS-серверів для цифрового підпису записів DNS за допомогою криптографії з відкритим ключем. Це дозволяє іншим DNS-серверам перевіряти автентичність запису DNS і захищає від підроблених і маніпульованих даних. Понад 47% організацій, які беруть участь у дослідженні EMA, широко використовують DNSSEC. Ті, хто це робить, сказали нам, що вони набагато впевненіші у своїй загальній безпеці DNS.

Однак DNSSEC створює деякі проблеми. Менеджери DDI повідомили EMA, що це може призвести до збільшення накладних витрат на інфраструктуру та підвищення складності управління. Деякі також помітили недоліки в загальній моделі безпеки DNSSEC.

Пріоритетні політики безпеки для DNS

Майже 38% організацій встановлюють автоматичні політики безпеки, які надають пріоритет загрозам безпеки DNS. Наприклад, вони налаштовують систему запобігання вторгненням, щоб блокувати DNS-запити, пов’язані з відомими шкідливими IP-адресами. Організації, які використовують цю техніку, повідомили EM, що вони більш впевнені в безпеці DNS.

Хмарна співпраця

Будь-яка стратегія безпеки DNS повинна також включати публічну хмару. Багато менеджерів DDI традиційно володіли службами DDI для локальних мереж. Хмарні команди часто приймають власні рішення для керування DNS, DHCP та IP-адресами в публічній хмарній інфраструктурі. В останні роки команди DDI заявили про себе в хмарі, щоб забезпечити безпеку та стабільність хмарних мереж.

«Ми намагаємося працювати разом із хмарною командою», — сказав інженер DDI з консалтингової компанії зі списку Fortune 500. «П'ять років тому цього не було. Було багато ризику. Легко робити речі в хмарі, не співпрацюючи з мережевими інженерами та службами безпеки. Це може створити проблеми.

Дослідження EMA виявило, що майже 59% команд DDI зараз мають достатній вплив на хмарні стратегії своїх компаній. Професіонали DDI, які мали такий вплив на хмару, були набагато впевненіші у своїй безпеці DNS.

Видимість DNS

Нарешті, командам DDI потрібно побачити, що відбувається з інфраструктурою DNS. Багато підприємств зазвичай експортують журнали DNS на платформи безпеки та керування подіями (SIEM), де команди з кібербезпеки можуть шукати аномальну активність. Крім того, дуже важливий централізований моніторинг усієї інфраструктури DNS. Майже 47% менеджерів DDI можуть контролювати всі DNS-сервери з центральної консолі. Ці люди були набагато впевненішими у своїй безпеці DNS.