DNS是一种在考虑安全问题时常被人忽略的核心基础设施组件。坏人常利用它来侵入企业网络。
DNS安全常被认为是要么保护DNS架构和基础设施不受各种攻击侵扰,要么维护白名单黑名单来控制对恶意域名的访问——虽然这确实是很重要的一个方面,但网络安全人员利用DNS获得的安全控制、情报和益处,真心比这要多得多。下面列出了内部和外部DNS能给企业在积极缓解已知和未知威胁上带来的各种好处。
1. 内部和外部可见性
无论是IT基础设施、企业服务器、桌面电脑、笔记本电脑、POS系统、连到来宾网络的非受信设备甚或智能手机之类不受控设备,还是其他随便什么联网的“东西”,它们全都使用DNS来进行内部和外部通信。DNS的普遍性提供了对网络的大量内部和外部可见性,有助于管理恶意内部人士和外部威胁带来的日益增长的风险。
2. 揭示用户或入网设备的意图
DNS服务产生的大量数据,提供了知晓典型用户/客户端行为的机会,可用于识别客户端或用户开始偏离典型行为情况,或者客户端超出企业设定风险容忍度的情况。举个例子,如果某客户端或用户,在凌晨3点之类非正常工作时间,与刚产生的域建立了通信并传输几GB的数据,那就是恶意行为的一个极佳指示器。
3. 实施策略
安全世界的一大挑战,就是在企业范围内的所有设备上实施策略。简单来讲,网络上充斥着太多不同设备类型、操作系统和其他“东西”——其中一些甚至不是企业所有,因而控制代理不能安装在这些上面。通过揭示每个设备试图干些什么,DNS改变了这一模型,且由于DNS处于可允许或拒绝资源访问的特殊位置上,基于已建立的标准设置允许或拒绝特定行为的策略就非常简单了。比如说,使用DNS,可以设置一条规则,允许来宾无线设备访问社交媒体,而公司内部资产不能访问社交媒体。
4. 风险评估和打分
DNS作为安全平台所能提供的一项能力,就是为指定请求带来上下文环境。该上下文可被用于评估允许某行为的整体风险,然后就可基于公司设定的风险承受值予以放行或封锁。比如说,如果某客户端请求 www.yahooX.com ,DNS可被用于询问关于该请求的一系列问题,给出一个风险评分。对这些问题的答案有助于测定风险,该风险值又决定了行动方案,比如封锁该请求、重定向,或其他动作。
5. 强化安全态势
深度防御战略,以及支持该战略每个层次的底层技术,都极其有价值。虽然每个层次都有自己的范围和目的,DNS却能在无需部署新基础设施、重构网络或中断当前操作实践的情况下,强化公司安全态势,甚至成为其中新的一层。
6. 数据泄露鉴证
无处不在的DNS及其产生的数据,不仅仅对网络上所有活动提供了可见性,还能产出可被拿来分析追踪已识别数据泄露之根源的切实数据。这些实实在在的数据包括很多细节,比如发起设备、其类型、操作系统、设备上运行的应用或服务、访问的域等等,是任何数据泄露鉴证都可用的信息金矿。