每周世界杯在线投注小闻-实现DNS安全

2019年11月29日,
每周世界杯在线投注小闻-实现DNS安全

大多数人都很容易同意,在过去的几个月里,我们的IT世界被网络安全讨论所主导,因为我们每天(有时感觉像是每小时)都看到关于我们国家发生的下一次网络安全事件的报告, 状态, 或者有时和我们的同龄人一起.   下一个跳入我们脑海的问题是“我是下一个吗??以及“我现在能做些什么来帮助我和我的公司将风险降到最低??”

我们已经讨论过,在一个组织中,适当的网络准备不是一个单一的工具或解决方案,而是需要整个组织, 跨人员(领导和员工)的文化转变, 政策, 优先级, 所有的系统都在一起工作,以将风险降到最低,并在网络事件发生时实现快速恢复.

在最近的网络专家的报告中,有一个系统的改变可以帮助最小化风险,这似乎是当今网络组织的“十大”风险管理待办事项的一部分实现DNS安全.   好消息是,实际上实现DNS安全对任何组织来说都是一个相对较小的努力.

您可以开始实现一些非常基本的DNS安全,而不需要任何成本,除了配置时间和努力.   我以前写过这些步骤,由于它的时效性,下面再重复一遍.

然而,网络保护的一个关键原则是,你不能对抗你看不到的东西.   虽然下面列出的基本DNS保护方案很好, 它仍然缺乏我们网络上发生的任何真实可见性.   我们认为防护装置起作用了, 但我们确实没有办法核实它的效果如何或是否有效.   虽然我们已经获得了一些能力来阻止已知的恶意软件相关的DNS请求, 我们不知道在我们的网络上还有什么其他相关的有风险的DNS活动,而我们完全没有意识到这些活动可能会让我们面临其他网络事件.

为实现这一目标, 我们的团队将在接下来的几周内探索一些世界杯预选赛投注更高级的DNS安全产品.   这些产品将为我们所有人提供额外的工具,以查看来自某个组织的所有DNS活动的快照,以及在需要时调整DNS响应以消除某些活动的方法.   请继续关注这方面的更多细节,并倾听我们对这些更高级的DNS安全工具可以添加的额外保护的想法.

与此同时, 以下是DNS安全基础知识,如果实施这些基础知识,将有助于降低你网络中的网络风险:

DNS查找和/或劫持DNS查找是许多恶意软件代理经常使用的工具,以帮助他们的目标攻击成功.   恶意软件可以使用专门设计的DNS查找到特定的基于internet的DNS服务器,该服务器旨在为恶意软件的下载或命令和控制活动返回适当的信息.   钓鱼网站攻击使用DNS可以看到劫持的DNS响应,把受害者带到一个网站,乍一看和感觉像是预期的合法网站,但实际上, 钓鱼网站是否在等待受害者输入他们的证书或其他机密信息.

加强您的组织并保护它不受使用DNS来促进恶意软件攻击的世界杯在线投注的最简单方法之一是严格控制网络内DNS的配置和使用.   如果恶意软件不能正确解决如何“打电话回家”的问题,预谋的攻击就会被钝化.

CSI在过去几年里分享的一些最佳实践:

  1. 分离你的域名的权威DNS服务器(那些告诉互联网你的网络位置的服务器), 邮件和其他服务器)从您的内部设备用于DNS查找的DNS服务器. 您的授权服务器应该只执行该功能,而不执行其他任何查询.
  2. 内部设备DNS查找应该被限制为仅在组织内部使用指定的DNS服务器. 对于我们大多数生活在窗户世界的人来说, 这意味着将DNS查找限制在您定义的Active Directory域控制器上.
  3. 适用于所有内部DNS服务器, 应该禁止使用默认的DNS根服务器进行外部查找.
  4. 而不是使用根服务器进行外部查找, 定义DNS转发器的使用, 然后只使用公开可用的Cisco Umbrella(前OpenDNS) DNS解析器作为您的内部DNS服务器的转发器. 这些服务器的IP地址是208.67.222.222年和208年.67.220.200.   顺便说一下,这些IP不是单一的主机,但会自动映射你到最近的运行服务器位置通过anycast路由.
  5. 使用您的防火墙禁用所有出站DNS查找请求,这些请求不是来自您定义的内部DNS服务器,也不是两个伞DNS解析器的目的地.

使用保护伞DNS解析器的一个主要优势除了速度之外,是他们不会解析已知恶意软件网站的DNS.   这些服务器不断更新新的信息,以拒绝解析已知的坏地址到新发现的恶意软件网站,在持续的基础上.

虽然上面的步骤1 -4已经很容易为我们的大多数世界杯预选赛投注实现, 真正需要完成保护工作的是第五步,但在许多地点,这一步骤仍然难以完成.

你们中的许多人仍然有使用其他外部DNS服务器的独立设备, 例如, 一直流行的谷歌DNS服务器.8.8.8 or 8.8.4.我怀疑主要是因为它们很容易记住.   在步骤5中实现防火墙块将使DNS在这些设备上停止工作,直到它们被重新配置.   但是完成这个步骤对于提供完整的DNS控制和您可以从中获得的所有保护来说是至关重要的.

我们仍然看到偶尔的DNS请求,而不是伞DNS解析器在许多日常火力IPS报告,我们审查,所以我们知道,在许多情况下,最后一步的过程仍然没有完成.

虽然不是万无一失的方法, 适当的DNS控制是一个经常被忽视的,但相对简单的方法,为您的组织添加一些额外的恶意软件保护.   在今天的互联网上,我们可以利用我们所能得到的一切保护.