DNS：CISO在打击网络攻击时可能忽视的秘密武器

随着威胁形势日益复杂，首席信息安全官 (CISO) 不断寻求创新方法来保护其组织。然而，他们武器库中最强大的工具之一——DNS（域名系统）——却尚未得到充分利用。

但首先，我们来谈谈 DNS 在每个网络中扮演的重要角色。域名是用户、设备和工作负载与互联网资源进行通信时首先要查询的内容。DNS 就像互联网的电话簿，将诸如 www.*anydomainname*.com 之类的域名解析为计算机和服务器能够理解的 IP 地址。

DNS 虽然通常被归类为纯粹的功能性角色，但它却为先发制人地防御网络攻击提供了无与伦比的机会。如果运用得当，DNS 将成为第一道防线。它能够在攻击得逞之前将其阻止，中断命令与控制 (C2) 通信和数据泄露，并在事件响应期间为安全运营中心 (SOC) 提供宝贵的洞察。事实上，DNS 还可以扩展到保护网络的每个部分，从端点到云工作负载以及物联网/运营技术 (IoT/OT)。

事实上，美国国家安全局在 2020 年启动了一项保护性 DNS 试点项目（当时他们使用术语“安全 DNS”），并得出结论，他们能够降低92% 的恶意软件攻击在给定网络上成功部署恶意软件的能力。

人工智能网络威胁的演变

如今，大多数安全解决方案都走在“Boom”的正轨上——仅在攻击发生后才做出反应。当初始感染（零号病人）发生时，安全团队会分析恶意软件、域名或漏洞，并根据攻击生成签名或入侵指标 (IOC)。该签名或 IOC 会被分发到端点检测工具、防病毒解决方案或入侵检测系统，并显示在 VirusTotal 和 OSINT（开源情报）工具中。由于有了第一个受害者或感染，业内其他公司现在可以阻止此类攻击。

人工智能在网络犯罪分子手中的崛起极大地改变了威胁格局。威胁行为者现在利用人工智能来：

• 生成多态恶意软件：人工智能驱动的恶意软件不断发展其代码以逃避基于签名的检测，使得传统的安全工具无法有效抵御快速变化的威胁。
• 自动化网络钓鱼活动：人工智能制作高度个性化的网络钓鱼电子邮件，并以惊人的准确度生成模仿合法网站的虚假网站，从而提高攻击的成功率。
• 扩展恶意基础设施：人工智能工具使网络犯罪分子能够快速创建新的域名、IP 地址和托管服务，从而大大增加检测和清除工作的难度。注册域名生成算法 (RDGA) 是一种程序化机制，允许威胁行为者一次性或分阶段创建多个域名，并将其注册用于其基础设施。

因此，每种威胁和恶意软件变种都可能独一无二，且针对性极强，迫使安全团队不得不应对数十万甚至数百万个“零号病人”。现有的解决方案根本无法应对这种变化——这就像玩一场网络安全“打地鼠”游戏。这种转变需要我们采取不同的网络安全方法。

DNS 作为先发制人的网络安全武器

DNS 是所有网络威胁的最早检测和预防点，因为它几乎总是始于对恶意域名的 DNS 查询。防护型 DNS 能够监控、分析并预先阻止首次查询，从而提供一种强大的“Boom”方法，有效阻止网络威胁。

让我们来看看典型的勒索软件杀伤链以及保护性 DNS 如何提供帮助：

• 网络钓鱼——初始攻击可能始于网络钓鱼电子邮件和恶意广告。防护型 DNS 可以阻止访问这些与网络钓鱼、路过式下载和漏洞利用工具包相关的恶意域名。通过主动阻止访问这些域名，组织可以降低初始入侵的可能性，确保没有端点成为零号病人。
• C2 通信 –虽然最初的入侵可能通过阻止对恶意域名的访问而得到阻止（如上所述），但网络上可能已经存在恶意软件。为了获取加密密钥、额外的有效载荷和攻击指令，恶意软件会访问称为命令和控制 (C2) 的外部服务器。保护性 DNS 通过阻止对用于命令和控制的域名的访问来中断 C2 通信。
• 数据泄露——在杀伤链的最后阶段，威胁行为者经常使用 DNS 隧道技术来窃取敏感数据。通过在 DNS 查询中对数据进行编码，攻击者可以绕过传统的安全措施。防护 DNS 工具可以分析查询模式并检测异常，从而阻止数据泄露的企图。

随着机器学习和人工智能 (AI) 的进步，DNS防护技术也在不断发展。首席信息安全官 (CISO) 和安全领导者应寻求将DNS防护技术与以DNS为中心的威胁情报和AI相结合的解决方案，以发现威胁行为者使用的流量分发系统 (TDS)，从而大规模破坏其基础设施，而不是一次关闭一个域名。创新的解决方案还可以识别零日DNS威胁——新注册的域名在注册后几分钟内即可激活；以及域名生成算法（DGA和注册DGA），恶意软件会在多个伪随机域名之间循环。

下一步：评估保护性 DNS

我们正处于一个人工智能驱动的网络威胁和非对称战争时代，它赋予威胁行为者前所未有的速度、规模和适应性。DNS通常被视为一项普通的网络功能，但实际上却是一项极其强大的武器，可以主动防御网络钓鱼、恶意软件和数据泄露。对于首席信息安全官 (CISO) 而言，其价值显而易见：是时候将 DNS 从幕后角色提升为抵御网络攻击的前线先发制人的武器了。进行评估，以确定最佳解决方案和最佳部署平台。