這家企業專注高階DNS防護
如今的防護裝置越來越多,曾經作為主流攻擊點的物件都逐漸被各種防火牆、入侵防禦系統、沙箱等各種技術手段保護起來。
然而,對於攻擊者而言,不斷嘗試尋找現有主流目標的新漏洞固然是一種方式;從尚未被建立保護措施的有效目標中找到新的攻擊點也很重要。近年來,針對http協議的漏洞逐漸被挖掘殆盡,攻擊者的目光也早已轉向了其他網際網路關鍵協議——其中之一就是DNS。
Infoblox是一家位於美國矽谷地區的自動化網路控制公司,成立於1999年。公司致力於管理和確認連入網路的裝置——尤其針對DNS,DHCP以及IP管理的環境(合稱為DDI)。在2015年,Infoblox的DDI產品佔全球市場總額的49.9%,遠遠超過其他廠商。
近日,Infoblox在北京召開了媒體見面會,介紹了DNS相關的安全問題,以及Infoblox自身針對DNS的安全防護方案。
DNS的威脅
DNS是網路連線的重要一環。其任務是將域名轉化為網路地址,然後根據轉化後的地址進行連線。然而,在這一過程中,攻擊者卻有豐富多樣的攻擊手段,各種常見攻擊手法都能在DNS協議上做到複製。以下是幾種極其常見的針對DNS的攻擊方式:
1. DDoS攻擊
攻擊者可以偽造自己的DNS伺服器地址,同時傳送大量請求給其他伺服器。其他伺服器的回覆會被髮送到被偽造伺服器的真實地址,造成該伺服器無法處理請求而崩潰。攻擊者同樣可以通過利用DNS協議中存在的漏洞,惡意創造一個載荷過大的請求,造成目標DNS伺服器崩潰。
2.DNS快取中毒
攻擊者可以通過攻破DNS伺服器,對伺服器中的地址快取進行修改、偽造。將域名重新導向一個不正確的地址,從而可以實行釣魚攻擊、網站木馬等其他攻擊方式。這種攻擊極具傳播性:如果其他DNS伺服器從該伺服器中獲取快取資訊,那麼錯誤的資訊會傳播到其他DNS伺服器上,擴大受害範圍。
3.DNS劫持
區別於DNS快取中毒,DNS劫持不修改DNS伺服器的快取記錄,而是直接將請求導向偽造的惡意DNS伺服器,從而實現將域名地址導向惡意IP地址的目的。
4.DNS嗅探
一旦DNS配置不當,攻擊者可以對DNS的配置資訊獲取網路環境的資訊,為之後的攻擊做好的準備。
顯然,無論攻擊者是直接利用DNS發起攻擊,造成業務的中斷又或者是對企業內部人員進行釣魚攻擊;還是僅僅利用DNS對整個網路環境嗅探,來為下次更有威脅性的攻擊行為收集情報,都會對企業帶來巨大的利益損失。
然而,面對這樣一個威脅,很多企業卻並沒有對DNS伺服器進行保護——究其原因,除了市面上缺乏對DNS的防護裝置之外,企業本身也對於DNS存在的安全隱患瞭解較少。對於大部分企業而言,對於DNS的瞭解依然停留在了“能用就行”的地步,忽略了不安全的DNS會給自己帶來的巨大損失。
提供高階DNS防護的Infoblox
針對於DNS面臨的這些威脅,Infoblox有自己的一套高階DNS防護方案,主要有四大特點:
1. 基於特徵的DNS攻擊檢測
針對已知的攻擊模式,Infoblox的防護方案採取針對特徵進行檢測,對攻擊進行攔截和響應。確保在面對已知威脅時,DNS伺服器能夠維持運作,並且不被篡改。
2.威脅情報
面對不斷變化和更新的攻擊手段,Infoblox的Threat Adapt(威脅適應)技術藉助威脅情報進行防禦。通過對新技術的研究和分析,以及客戶自身的網路環境的變化,Threat Adapt可以自動升級來應對新的攻擊。重要的是,Threat Adapt的安全升級是不需要進行補丁或者下線才能做到,極大保證了業務的連續性。
3.視覺化的中心管理
Infoblox為客戶提供了一套視覺化的威脅管理平臺。安全人員可以從這和個平臺中,通過圖表檢視整個網路環境的攻擊方向以及攻擊趨勢來把握情況。同時,安全人員可以使用內建或者自定義的報告框架來更快速地對事件進行追溯排查。
4.硬體防護
Infoblox也提供硬體形態的資料包檢測系統,在攻擊抵達DNS伺服器前進行攔截。
高階DNS防護方案
安全牛評
我們常說:攻擊只需要一個點,而安全要做到整個面。面對越來越多的攻擊,我們不僅不能習慣於防護的手段,更不能習慣於防護的物件上。攻擊者在不斷地尋找新的攻擊點,而我們對於防禦是否也需要更多地思考防禦的物件?Infoblox的特點其實並不在於給DNS提供了一套安全解決方案;對他們而言,他們更偏向於他們提供了一套優秀的DNS系統——高效、易管理,而在這之上,安全——只是他們DNS系統的一個很重要特點。他們的理念,不是給一個產品附加了安全的能力,而是他們的產品本身就具有強大的安全能力。