Менш ніж 31% організацій повністю впевнені у безпеці своєї інфраструктури DNS, повідомляє Network World.
Атаки, пов’язані з інфраструктурою системи доменних імен, такі як викрадення DNS, тунелювання DNS та атаки посилення DNS, зростають, і багато ІТ-організацій сумніваються в безпеці своєї інфраструктури DNS.
Більшість ІТ-організацій підтримують різноманітну інфраструктуру DNS для загальнодоступних служб (вебсайти та служби, доступні в Інтернеті) і приватних служб (Active Directory, обмін файлами, електронна пошта).
Захист як внутрішньої, так і зовнішньої інфраструктури DNS має вирішальне значення через зростання кількості загроз і вразливостей. На жаль, дуже мало організацій впевнені у своїй безпеці DNS.
Enterprise Management Associates (EMA) нещодавно дослідила питання безпеки DNS і опублікувала звіт «DDI Directions: DNS, DHCP and IP Address Management Strategies for the Multi-Cloud Era». На основі опитування 333 ІТ-фахівців, відповідальних за DNS, DHCP і керування IP-адресами (DDI), дослідження виявило, що лише 31% менеджерів DDI повністю впевнені у безпеці своєї інфраструктури DNS.
Основні проблеми безпеки DNS
EMA попросила учасників дослідження визначити проблеми безпеки DNS, які завдають їм найбільшого клопоту.
Найпопулярнішою відповіддю (28% усіх респондентів) є викрадення DNS. Також відомий як перенаправлення DNS, цей процес передбачає перехоплення DNS-запитів від клієнтських пристроїв, щоб спроби підключення спрямовувалися на неправильну IP-адресу. Хакерам це часто вдається: вони заражають користувачів зловмисним програмним забезпеченням, щоб запити надходили на фальшивий DNS-сервер, або зламують законний DNS-сервер і викрадають запити у більшому масштабі.
Останній метод може мати значні наслідки, що робить захист інфраструктури DNS від хакерів критично важливим для підприємств.
Другим найбільш серйозним питанням безпеки DNS є DNS-тунелювання й ексфільтрація (20% відповідей). Хакери зазвичай використовують цю проблему, коли вони вже проникли в мережу.
Тунелювання DNS використовується, щоб уникнути виявлення під час отримання даних. Хакери приховують витягнуті дані у вихідних запитах DNS. Таким чином, для інструментів моніторингу безпеки важливо уважно стежити за трафіком DNS на наявність аномалій, зокрема аномально великих розмірів пакетів.
Третя найбільш актуальна проблема безпеки – це атака посилення DNS (20% відповідей). Це різновид розподіленої атаки на відмову в обслуговуванні (DDoS), за допомогою якої хакер змушує сторонні DNS-сервери із загальною адресацією заповнювати цільовий DNS-сервер небажаними підробленими відповідями на запити, перешкоджаючи цьому серверу відповідати на законні запити. Ця атака може зробити вебсайти недоступними, оскільки DNS-запити кінцевих користувачів до сайту не можуть бути вирішені.
Як покращити безпеку DNS
Брандмауери DNS
ІТ-організації можуть зменшити ризик безпеки DNS, встановивши брандмауер DNS. Майже 47% експертів DDI повідомили EMA, що вони розгорнули брандмауер DNS для захисту своєї інфраструктури.
Брандмауери DNS – це спеціалізовані пристрої безпеки мережі, які повністю зосереджені на перевірці запитів DNS і блокуванні з’єднань на основі аналізу загроз і політики безпеки. Вони мають набагато більш детальну видимість та інтелектуальні дані про трафік DNS, ніж стандартний брандмауер.
DNSSEC
Іншим важливим заходом є використання розширень безпеки DNS (DNSSEC) – набору специфікацій, створених Engineering Task Force (ETF).
DNSSEC передбачає налаштування DNS-серверів для цифрового підпису записів DNS за допомогою криптографії з відкритим ключем. Це дозволяє іншим DNS-серверам перевіряти автентичність запису DNS і захищає від підроблених і маніпульованих даних.
Понад 47% організацій, які беруть участь у дослідженні EMA, широко використовують DNSSEC.
Однак DNSSEC створює деякі проблеми. Менеджери DDI повідомили EMA, що це може призвести до збільшення накладних витрат на інфраструктуру та підвищення складності управління. Деякі також помітили недоліки в загальній моделі безпеки DNSSEC.
Пріоритетні політики безпеки для DNS
Майже 38% організацій встановлюють автоматичні політики безпеки, які надають пріоритет загрозам безпеки DNS. Наприклад, вони налаштовують систему запобігання вторгненням, щоб блокувати DNS-запити, пов’язані з відомими шкідливими IP-адресами. Організації, які використовують цю техніку, повідомили, що вони більш впевнені у безпеці DNS.
Хмарна співпраця
Будь-яка стратегія безпеки DNS повинна також включати публічну хмару. Багато менеджерів DDI традиційно володіли службами DDI для локальних мереж. Хмарні команди часто ухвалюють власні рішення для керування DNS, DHCP та IP-адресами в публічній хмарній інфраструктурі.
«Ми намагаємося працювати разом із хмарною командою. П’ять років тому цього не було. Було багато ризику. Легко робити речі у хмарі, не співпрацюючи з мережевими інженерами та службами безпеки. Але це може створити проблеми», – сказав інженер DDI із консалтингової компанії зі списку Fortune 500.
Дослідження EMA виявило, що майже 59% команд DDI зараз мають достатній вплив на хмарні стратегії своїх компаній.
Видимість DNS
Нарешті, командам DDI потрібно побачити, що відбувається з інфраструктурою DNS. Багато підприємств зазвичай експортують журнали DNS на платформи безпеки та керування подіями (SIEM), де команди з кібербезпеки можуть шукати аномальну активність.
Крім того, дуже важливий централізований моніторинг усієї інфраструктури DNS. Майже 47% менеджерів DDI можуть контролювати всі DNS-сервери з центральної консолі.
Інструкцію з пересилання запитів на розпізнавання імен AWS до локальної DNS ви можете прочитати на ProIT.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодну публікацію!
