Bezpieczeństwo DNS stwarza problemy dla IT w przedsiębiorstwie

22

Według EMA mniej niż 31% organizacji ma całkowitą pewność co do bezpieczeństwa swojej infrastruktury DNS.

Ataki związane z infrastrukturą systemu nazw domen – takie jak przejmowanie DNS, tunelowanie DNS i ataki polegające na wzmacnianiu DNS – rosną, a wiele organizacji IT kwestionuje bezpieczeństwo swojej infrastruktury DNS.

Większość organizacji IT utrzymuje różnorodną infrastrukturę DNS dla usług publicznych (stron internetowych i usług dostępnych w Internecie) i usług prywatnych (Active Directory, udostępnianie plików, poczta elektroniczna). Zabezpieczenie zarówno wewnętrznej, jak i zewnętrznej infrastruktury DNS ma kluczowe znaczenie ze względu na rosnącą liczbę zagrożeń i luk w zabezpieczeniach wykorzystywanych przez złośliwe podmioty, aby je obrać za cel. Niestety bardzo niewiele organizacji ma pewność co do bezpieczeństwa swojego DNS.

Firma Enterprise Management Associates (EMA) zbadała niedawno kwestię bezpieczeństwa DNS w swoim nowo opublikowanym raporcie badawczym „DDI Directions: DNS, DHCP and IP Address Management Strategies for the Multi-Cloud Era”. Na podstawie ankiety przeprowadzonej wśród 333 specjalistów IT odpowiedzialnych za zarządzanie DNS, DHCP i adresami IP (DDI) badanie wykazało, że tylko 31% menedżerów DDI ma pełną pewność co do bezpieczeństwa swojej infrastruktury DNS.

Najważniejsze obawy związane z bezpieczeństwem DNS

EMA poprosiła uczestników badania o zidentyfikowanie wyzwań związanych z bezpieczeństwem DNS, które sprawiają im najwięcej bólu. Najczęstszą reakcją (28% wszystkich respondentów) jest przejęcie DNS. Proces ten, znany również jako przekierowanie DNS, polega na przechwytywaniu zapytań DNS z urządzeń klienckich, tak aby próby połączenia kierowane były na niewłaściwy adres IP. Hakerzy często osiągają ten cel, infekując klientów złośliwym oprogramowaniem, dzięki czemu zapytania trafiają do fałszywego serwera DNS, lub włamują się do legalnego serwera DNS i przejmują zapytania na większą skalę. Ta ostatnia metoda może mieć duży promień wybuchu, co sprawia, że ​​dla przedsiębiorstw ochrona infrastruktury DNS przed hakerami ma kluczowe znaczenie.

Drugim najbardziej niepokojącym problemem bezpieczeństwa DNS jest tunelowanie i eksfiltracja DNS (20%). Hakerzy zazwyczaj wykorzystują ten problem, gdy już przenikną do sieci. Tunelowanie DNS służy do uniknięcia wykrycia podczas wydobywania danych z zainfekowanego komputera. Hakerzy ukrywają wyodrębnione dane w wychodzących zapytaniach DNS. Dlatego ważne jest, aby narzędzia do monitorowania bezpieczeństwa uważnie obserwowały ruch DNS pod kątem anomalii, takich jak nienormalnie duże rozmiary pakietów.

Trzecim najpilniejszym problemem związanym z bezpieczeństwem jest atak polegający na wzmocnieniu DNS (20%). Jest to rodzaj ataku typu rozproszona odmowa usługi (DDoS), podczas którego haker oszukuje publicznie adresowane serwery DNS stron trzecich, aby zapełniły docelowy serwer DNS niechcianymi, sfałszowanymi odpowiedziami na zapytania, co przytłacza zdolność tego serwera do odpowiadania na uzasadnione zapytania. Atak ten może sprawić, że strony internetowe będą nieosiągalne, ponieważ nie będzie można rozwiązać zapytań DNS użytkownika końcowego do witryny.

Jak poprawić bezpieczeństwo DNS

Zapory DNS

Organizacje IT mogą zmniejszyć ryzyko bezpieczeństwa DNS, instalując zaporę DNS. Prawie 47% ekspertów DDI powiedziało EMA, że wdrożyło zaporę DNS w celu ochrony swojej infrastruktury, a organizacje te ujawniły nam, że mają znacznie większą pewność co do ogólnego bezpieczeństwa DNS. Zapory DNS to wyspecjalizowane urządzenia zabezpieczające sieć, które skupiają się wyłącznie na sprawdzaniu zapytań DNS i blokowaniu połączeń w oparciu o analizę zagrożeń i zasady bezpieczeństwa. Mają znacznie bardziej szczegółowy wgląd i analizę ruchu DNS niż standardowa zapora ogniowa.

Więcej od autora
1 z 168

DNSSEC

Innym ważnym środkiem jest użycie rozszerzeń zabezpieczeń DNS (DNSSEC), zestawu specyfikacji stworzonych przez grupę zadaniową ds. inżynierii Internetu (ETF). DNSSEC polega na skonfigurowaniu serwerów DNS do cyfrowego podpisywania rekordów DNS przy użyciu kryptografii klucza publicznego. Umożliwia to innym serwerom DNS weryfikację autentyczności rekordu DNS i chroni przed sfałszowanymi i zmanipulowanymi danymi. Ponad 47% organizacji objętych badaniem EMA intensywnie korzysta z DNSSEC. Ci, którzy to zrobili, powiedzieli nam, że są znacznie bardziej pewni swojego ogólnego stanu bezpieczeństwa DNS.

Jednak DNSSEC stwarza pewne wyzwania. Menedżerowie DDI powiedzieli EMA, że może to prowadzić do zwiększenia kosztów ogólnych infrastruktury i większej złożoności zarządzania. Niektórzy dostrzegli także wady ogólnego modelu bezpieczeństwa DNSSEC.

Priorytetowe zasady bezpieczeństwa dla DNS

Prawie 38% organizacji ustawia automatyczne zasady bezpieczeństwa, które priorytetyzują zagrożenia bezpieczeństwa DNS. Na przykład konfigurują system zapobiegania włamaniom, aby blokował zapytania DNS powiązane ze znanymi złośliwymi adresami IP. Organizacje korzystające z tej techniki powiedziały firmie EM, że mają większą pewność co do bezpieczeństwa DNS.

Współpraca w chmurze

Każda strategia bezpieczeństwa DNS musi uwzględniać także chmurę publiczną. Wielu menedżerów DDI tradycyjnie posiadało usługi DDI dla sieci lokalnych. Zespoły chmurowe często adoptują własne rozwiązania do zarządzania DNS, DHCP i adresami IP w infrastrukturze chmury publicznej. W ostatnich latach zespoły DDI sprawdziły się w chmurze, aby zapewnić bezpieczeństwo i stabilność sieci chmurowych.

„Staramy się współpracować z zespołem zajmującym się chmurą” – powiedział inżynier DDI z firmy konsultingowej z listy Fortune 500. „Pięć lat temu coś takiego się nie zdarzało. Ryzyko było duże. Łatwo jest wykonywać zadania w chmurze bez współpracy z inżynierami sieci i bezpieczeństwem. Może powodować problemy.

Badanie EMA wykazało, że prawie 59% zespołów DDI ma obecnie wystarczający wpływ na strategie chmurowe swojej firmy. Specjaliści DDI, którzy mieli taki wpływ na chmurę, byli znacznie bardziej pewni swojego stanu zabezpieczeń DNS.

Widoczność DNS

Wreszcie zespoły DDI muszą zobaczyć, co dzieje się z infrastrukturą DNS. Wiele przedsiębiorstw zazwyczaj eksportuje dzienniki DNS na platformy zarządzania informacjami i zdarzeniami dotyczącymi bezpieczeństwa (SIEM), gdzie zespoły ds. cyberbezpieczeństwa mogą szukać anomalnej aktywności. Ponadto bardzo ważne jest scentralizowane monitorowanie całej infrastruktury DNS. Prawie 47% menedżerów DDI może monitorować wszystkie serwery DNS z konsoli centralnej. Osoby te były znacznie bardziej pewne swojego bezpieczeństwa DNS.

Źródło: networkworld
Komentarz