时代变了。在管理员工上网行为、给员工电脑杀毒之前,先把DNS解析抓起来才是正经事。
为什么是DNS?在讲清楚这个问题之前,我们得先回头看看这十年发生了什么。
网络安全环境的十年变迁:
损招倍出,百鬼夜行
十年前,谈起办公网运维,只能想到网络结构、员工行为、带宽这些IT管理类工作。
如果担心员工电脑中病毒,就再装个杀软,然后一年半载都想不起来更新规则库。
只要搞搞合规,做做数据中心防护,再把内网一隔离,网络安全就万事大吉——就算员工电脑里再多木马病毒,也影响不到核心业务。
然而,这十年是网络安全大环境急剧恶化的十年。
这十年里诞生了钓鱼邮件、勒索软件,同时,我们也看到APT攻击横行,黑帽子们从散兵游勇发展成团伙,形成了黑色产业链,有些黑产团伙甚至发展出了“恶意软件即服务”的商业模式——不需要新入行的人懂多少技术,只要恶意软件在手,就可以在违法犯罪的边缘反复试探。
人类的贪欲无法被计算。
这十年内,恶意软件也不断升级自己。现在的恶意软件不仅能从办公网溜进去,还能通过提权爆破、漏洞利用等手段横向移动,直达核心业务区域,然后开始干坏事,比如窃取数据、破坏系统,甚至直接盗取公司账户中的资金。
环境已经恶化至斯,今天99%的安全从业者在提起办公网防护时,第一反应还是上网行为管理和杀毒软件。
然而,如果办公网只有这两种防护,基本等同于穿着内裤裸奔。上网行为管理和杀软没有错,只是时代已经不允许它们站在前线了。
上网行为管理和杀软:
没犯错的前浪
上网行为管理好比一栋大楼的物业,在管理员工行为和网络带宽上可谓功不可没。
但说到底,它也只是个以“管理”为主要功能的软件,面对木马、后门、勒索、钓鱼等网络威胁时,上网行为管理就束手无策了——当一伙精心伪装过的窃贼混入大楼时,物业只能和员工一起抓瞎。
而杀毒软件就好比电影中束手无策的阿sir,就算和变装的窃贼面对面,也认不出来这就是自己要抓的人,因为杀毒软件基于传统行为签名技术,没法第一时间识别和处理新型网络威胁,等规则库里终于出现这种威胁,可能在办公网里面已经有一大堆机器中招受害了。
所以,即使这两种软件在国内中大型企业中被广泛使用,在WannaCry、Petya等勒索软件席卷全球的时候,国内仍然一片哀鸿遍野,谁都逃不过。
于是我们回到开篇的问题:为什么非得是DNS?
DNS解析管控:
轻量、易控,一直被忽视
DNS解析将我们要访问的域名解析为ip,是接入互联网的第一步,企业中为保证网络的可用性,通常不会对DNS流量进行管理。
这部分流量不超过企业日常网络流量的5%,但正是这部分让人忽视的小流量,就有着大大的作用。
任何终端在接入互联网时,如果在DNS侧对恶意的域名进行拦截,就可以有效的防止员工下载恶意软件、阻断钓鱼链接、防止中招的机器和攻击者进行通信、防止基于DNS隧道技术的数据泄露等。
好比窃贼正吃着火锅唱着歌开往目标现场,没想到某种神秘的力量不仅预知了他们的犯罪行为,更洞悉了他们的行驶路线,在他们的必经之路上设下路障和关卡。
等待着窃贼们的不是一夜暴富,而是阿sir手里的一副玫瑰金手镯——DNS解析管控就是这种神秘的力量。
至于具体效果如何,我们来看一组对比数据:
根据思科的报告,91.3%的恶意软件都通过DNS协议来传播。
全球网络联盟(GCA)在2019年发布的《DNS安全的经济价值》报告称,防护性DNS的安全控制,可以每年为美国省下190-370亿美元损失,全球而言,该数字是1500-2000亿美元。
图片来源:2019年《DNS安全的经济价值》
为什么DNS防护有这么明显且可量化的效果?实际上,这类具备安全防护能力的DNS被称为DNS安全防护产品,在国外已经相当成熟。
那么,一款合格的DNS安全防护产品应该具备哪些能力?
首先是对恶意软件、钓鱼、挖矿等网络攻击的拦截和阻断。
一方面可有效阻断办公网终端下载恶意文件、访问钓鱼网址的过程,另一方面企业内一旦终端被安装了恶意软件, DNS安全防护产品就会阻断这些及其与攻击者远控端的通信,阻止恶意软件进一步运行或者下载更多恶意模块。
此外,也可以有效防止利用DNS作为通道的数据泄露行为。
其次是对不良网站的拦截。
合格的DNS安全防护产品应对全球任意一个新增域名具有即时捕获和识别能力,如色情暴力、违法内容、赌博、文件共享、 游戏、广告等。用户可自主选择是否拦截这些类别的站点。
此外,作为企业级安全产品,它还应具备安全管控功能,支持企业安全运维人员配置不同职场、管理员、用户、漫游终端,并为各职场配置防护策略,在攻击事件发生后提供拦截结果和对应威胁的上下文信息以供进一步分析。
目前,国外较具代表性的DNS防护类产品是思科旗下的Umbrella,国内的对标类产品则是知名公共DNS解析服务OneDNS的企业版。
值得一提的是,这两个产品的背后都有威胁情报的影子,思科早在2014年就收购了威胁情报公司ThreatGrid,组建了自己的威胁情报团队Talos;而OneDNS被国内威胁情报厂商微步在线收入旗下,接入了微步的威胁情报云,分钟级更新的威胁情报补足了OneDNS对恶意域名和软件的识别和拦截能力。
DNS安全防护产品部署简单,成本较低,既适用于多职场、多分支机构的中大型企业,也很适合在快速成长期的中小型企业和IT团队。如果你的办公网需要加上第一道锁,不妨从DNS开始下手试试。