网络安全宣传周 | 域名安全的“庙算之法”和“三种武器”260
发表时间:2023-09-13 17:45 本文转载自“IT大嘴巴” “15分钟后,我们就中断了实验,并销毁了数据。”在对 2019 年流向 corp.com 的企业内部流量进行了八个月分析后,面对测试结果,安全专家杰夫·施密特(Jeff Schmidt)惊出一身冷汗。 corp.com——堪称史上最危险域名,任何人拥有后就能访问全球数十万个企业信息系统中的海量密码、电子邮件和其他敏感数据。为何如此?众所周知,Windows系统会以其自有的方式处理本地网络上的域名解析。在企业内网上,所有Windows PC都会使用 Active Directory(活动目录)服务来验证该网络上的其他内容。作为平台的核心组件,A D存储了有关网络对象的信息,对象间彼此查找要借助DNS name devolution(DNS名称传递)功能,从而能轻松查找其他计算机或服务器。而支持A D的Windows早期版本默认或示例路径就是“corp”,导致了重名,即namespace collision(名词空间冲突)问题,也就意味着企业内网上的所有敏感数据,都能在开放互联网corp.com上被看到。 在错误的环境中“盖大楼”,无数企业的日积月累下,安全问题自然空前严重。施密特发现,有超过 375,000 台 Windows PC 正在尝试发送信息,包括尝试登录公司内网以及访问网络上的特定共享文件。 “庙算之法”和“三种武器”:将域名安全基座再升高一寸 事实上,这个走在钢丝上的故事有个不错的结局。2020年,域名所有者迈克·奥康纳,也是最早期的互联网域名投资人之一,他深知其中风险,以及网络犯罪组织对其的渴望,最终卖给了微软,起拍价格为170万美金,具体成交价格并未披露。 但当故事落幕,王子和公主是否从此过上了幸福的生活?答案恐怕是否定的。 数据显示,近91.3%的恶意程序被发现使用DNS作为主要入侵手段,因DNS本身的协议脆弱性导致其很容易被利用,且攻击者可以很好地隐藏自己,且FW、IDS/ IPS等常规安全设备未能保护DNS的安全。“......一种艰难的尝试,它是一场终日面对新挑战的战争”——传统DNS在设计之初的考虑不周与先天不足,决定了它从诞生之日起就将永无安日,也将全球互联网置于了一个巨大的危险蛋壳上。 “没有网络安全就没有国家安全”,习近平总书记高度重视网络安全工作,多次强调网络安全的关键意义。面对网络安全的第一道关隘,互联网关键基础资源服务机构——互联网域名系统国家工程研究中心(ZDNS)从全局认知出发,针对域名安全,提出了中国企业的“庙算之法”和“三种武器”。 庙算之法:抢滩顶级域名,“君子不立危墙之下” 静观近几年全球的动荡起伏,环看四邻,国际形势急转直下,绝大多数关键资源掌握在少数人手中;回顾自身,竟惊喜地发现,中国企业早已起步,造出了属于自己的“护城河”。 作为全球互联网运行的关键基石,顶级域名安全的利剑一直高悬于顶。2021年,美国司法部以散播虚假消息为由查封伊朗媒体域名,造成后者服务中断,引发普遍争议;2022年2月,乌克兰向全球域名管理机构ICANN提出申请,希望取消俄罗斯的顶级域名,协助撤销相关域名的SSL证书,以及关闭俄罗斯境内的DNS服务器。ICANN虽以政策与技术为由拒绝,称其作为互联网公益组织,没有权利和能力对俄罗斯乃至任意国家进行断网制裁。但此后,部分互联网服务提供商随即宣布暂停对俄业务;俄政府亦要求将重要域名和服务迁回至俄境内,并着手构建自主的互联网基础设施。 可见,科技改变了战争的维度,硝烟不止弥漫在两军对垒的前线,顶级域名的争夺无疑正是其中的关键一城。2012年新通用顶级域名首次开放申请注册,各国展开了争夺战。但由于当时中国企业对此了解有限、重视程度不够,在大战中丧失了先机。目前,全球约1500个顶级域名,中国境内拥有管理权的仅不足3%。 多年来,ZDNS始终积极呼吁中国企业应及早进行布局,不要与有限的资源再次失之交臂,积极地参与进互联网顶级域名的申请中,包括尽可能多地将企业域名注册在我国顶级域名如.cn之上规避风险,通过掌握更多的互联网关键基础资源,推动中国企业形成合力,助力数字经济发展,为中国品牌出海筑牢网络空间底座。 不仅坐而论道,更是起而行之。ZDNS自主研发的下一代DNS系统“红枫”(Maple),打破国外软件一统天下的局面,采用全新架构设计,在高性能解析、多线路智能调度、快速数据更新、扩展性等多方面实现了大幅领先,可实现百万级查询能力,相比国外同类软件获得数十倍性能提升。在红枫基础上,ZDNS建成亚洲第一大新顶级域服务平台,托管运行全球60个顶级域名;已助力全球22个顶级域名的成功申请和资质认证;研发了DDI(DNS、DHCP、IPAM)核心网络设备,服务金融、政府、教育、大型企业、广电、互联网等全球1200多家企业,连续八年达成DDI市场占有率第一,在门槛最高的金融行业市场占有率更是超过80%。在网络根基治理领域,中国力量正变得不可或缺,不可忽视,不可限量。 “三种武器”之入口“门神”:Safeguard,万物新生下的安全底色 中国互联网从羊肠小道走来,已越过了万重山。万物上云、虚拟资产......网络安全也随之成为了一场非黑即白的攻防战,数据资产不同于实物资产,被窃的那一秒就意味着永久的丢失,如果当下未发现泄露,事后追索也是覆水难收。作为互联网服务的入口,DNS也成为了网络攻击的“阿克琉斯之踵”,往往是传统安全防护的盲点。因此,DNS安全防护不但要提升解析服务安全,更应保护网络通信安全,坚守互联网访问的“城门”不失。 凭借深耕DNS行业的丰富经验和前瞻目光,ZDNS完整分析DNS攻击链条,精准制定防御策略。在对抗初期,网络攻击者进行扫描侦查,ZDNS-Safeguard通过内置威胁情报资源对进入企业内部的威胁进行检测感知,一旦发现威胁访问立即停止解析,从而达到了隔离威胁对外连接的目的,病毒和木马等威胁“出不去”,掐断了敏感信息对外泄漏的途径。在对抗白热化阶段,攻击者利用漏洞发起猛烈攻击,ZDNS-Safeguard内置了全功能深度DNS协议防护技术,具备反射攻击、隧道攻击、放大攻击和泛域名攻击等多种攻击防护策略,实现攻击威胁阻断,其防护能力是多数企业现有域名系统所不具备的。而在对抗中后期,ZDNS-Safeguard的监测审计功能,能够迅速整理出维度丰富的威胁监控报表,包括失陷终端地址、恶意事件域名/背景、解析类型、QPS等,全面复盘整个攻击事件,有效控制威胁,推动监管合规。同时,Safeguard系统持续强化功能属性,将安全防护前移,实现精准防御,以事前预防代替事后补救,消减DNS安全事故造成的危害。 作为网络服务的入口,DNS是所有业务访问的必经之路。ZDNS-Safeguard通过DNS协议深度防护和威胁情报检测技术,守护网络通信的咽喉要道,保护合规业务正常通信,阻断网络攻击外联,成为保障网络应用安全访问的“门神”。总体而言,相较于传统安全防护,ZDNS-Safeguard服务更及时、更精准、更轻量、更全面;而相较于同类智能安全防护产品,ZDNS-Safeguard则可以为客户提供DNS服务+数据双维度的安全防护,加固DNS完整链路;内置精度高、范围广、更新及时的情报资源,形成威胁解析的动态监测+精准阻断,让恶意请求无处遁形,最终助力客户将威胁阻断在内网中,避免为外部探查到。 目前,ZDNS-Safeguard安全威胁管控系统已覆盖企业、教育、金融、运营商等头部客户,客户群体近300余家。 三种武器之云端瞬移:ShieldDNS,左手攻击防护,右手应急逃生 作为目前最凶猛、最难防御的网络攻击之一,DDoS的攻防可谓是一个世界级难题。 什么是DDOS攻击?也许我们可以形象地这样理解:张三为了让李四办不成业务,叫来100个人在他前面排队,来者左顾右盼东拉西扯,从而达到造成拥塞、挤走真流量“李四”的目的。全球有史以来最大的DDoS攻击发生在2018年2月,知名开发者平台GitHub一瞬间遭到了高达 1.35Tbps的带宽攻击。仅仅一周后,攻击又针对Google、亚马逊等网站展开,后续攻击带宽峰值也达到了 1Tbps。 拥有10年抗D服务经验和用户的实际使用体验反馈基础,ZDNS自主开发了云端ZDNS ShieldDNS,其最大的特点是企业完全不需要做配置迁移,在云端无感地部署在企业自建DNS集群之前,以达到防泄露、防攻击,且运维成本低的效果。仍以排队为例:产品的大容量能力,采用Anycast国内多高仿节点分布,超过2000万并发DNS流量清洗能力,来者不惧,尽可能提升服务能力,有再多“人”排队,也能轻松应对;在安全性能力加持下,系统具备黑白名单、限速、格式过滤等多种防护手段,为本地架构重塑金身,如同采用了“人脸识别”功能,标记恶意“排队者”,禁止他们再次进入,同时避免“错杀好人”的可能;同时,系统具备持续性能力,实现了配置数据不出网,基于缓存云端重建解析配置,本地异常云端接管,就像将“业务窗口”移到了线上,让“排队者”找不到“大厅”,攻击自然也就无从下手。 在常态情况下,ZDNS ShieldDNS“重剑无锋”,可启用攻击防护模式,将所有DNS解析请求透传至用户自建解析服务器,本身不参与解析。而当自建设备故障无法提供解析服务时,该服务又能“以巧破劲”,自动接管DNS权威解析服务,通过快速将DNS请求全部迁移到云端,实现解析服务快速逃生,保障服务的可用性。实现100%的互联网权威DNS防攻击效果,2022年全年防御达400余万次。 当然,防御不代表根除,关于抗D的世界级难题,彻底的消灭办法还远未出现。好在魔高一尺,道高一丈,攻击一日不绝,对抗的决心也一日不会休止。 三种武器之大象无形:NWAF,解决危机的最后一公里 不知你还是否记得“时空伴随者”这一概念? 过去被亲情、爱情、友情等社会关系所限定下的自我,在特定情况下,又被手机终端与基站构成的电信网络重新定义。手机似乎已成为新的“人体器官”,而漂浮在半空中的电子信号,也成为社会系统正常运行的重要基础,成为我们须臾不可离的生存媒介。 正如当代技术哲学家唐·伊德所说,技术纳入人身体的程度越高,二者之间的具身性就越强,最大程度地实现“透明性”(transparency)。在全球高度互联网化的语境下,网络安全也是如此“理所当然”、易受忽视,在日常使用中,往往处于隐身的状态。对于用户来说,一般只有直面风险页面——触达危机的“最后一公里”,才会意识到安全问题的出现。因此,用户特别是企业用户,往往希望不但DNS要安全,WEB网站安全也同样存在需求。 有趣的是,在投出/产出性价比上,据统计,IDS/IPS,WAF等产品一般占企业安全设备投入70%以上,但仍有50%的应用层攻击成功“绕过”WAF,0Day攻击可以轻松得逞;即使一半以上的安全事件是“误判”,企业也不得不持续追加,投入更多沉没成本。 针对于此,ZDNS采用全新数据隔离技术打造出新一代WEB应用防护服务,ZDNS NWAF。在不影响互联网WEB业务服务的情况下,系统能够对客户真实WEB业务系统进行攻击隔离 及战术隐蔽,重点解决WEB服务的“多、散、旧”问题,能够有效地防止源码泄露及网络爬虫,屏蔽网站漏洞及自动化攻击,监测有害信息、重要数据脱敏,从而实现在web层面上高效、智能的网络安全、数据安全、信息安全等全面防护能力。 “在荒岛上迎接黎明”,沿着中国互联网近三十年的生长脉络,早在万众目光聚焦之前,ZDNS就已深扎于域名、IP等互联网基础技术领域耕作,基于市场需求演进成了集基础网络服务、应用发布、网络安全、监测分析、资源管理5大应用场景,14个细分产品的完整产品体系,助力中国80% Top100金融机构、68%中央和国家级政务用户、70%中国五百强企业、80%的省级广电运营商和500+智慧校园进行数字化转型。 未来,ZDNS将继续面向未来网络基础设施升级和数字经济发展需要,深入下一代DNS核心技术和产品研发,从域名服务整体底座出发,助力所有行业守护住自己的成长梦想。 声明:此篇为ZDNS-国家工程研究中心原创文章,转载请标明出处链接:https://www.zdns.cn/h-nd-370.html
|