【51CTO.com原創稿件】“DNS是非常重要的互聯網服務基礎核心技術，每天你打開微信查看朋友圈、瀏覽新聞、登錄郵件，或者是操作聯網的公司系統，如果沒有DNS，這一切都無法實現。”Infoblox全球業務部高級副總裁Cherif Sleiman博士近日接受記者采訪時說到。

他還指出，面對數字化浪潮，很多企業都大量投資防火墻、入侵檢測、終端保護等技術方面。然而，要想連接一切，并把以上技術變為現實服務，則都需要DNS來幫助實現。“也就是說，DNS必須是安全可信的。但現實情況卻是，通常情況下我們的DNS本身并沒有受到保護，從而為企業帶來巨大潛在威脅。”

Infoblox全球業務部高級副總裁Cherif Sleiman博士(左)和Infoblox大中華區總經理楊光耀(右)

為什么DNS是不安全的?

作為一個全球性的互聯網重要協議，起初DNS是安全的。因為互聯網誕生之初的網絡環境是友好、干凈的。

但是大約十年前開始，大量企業開始使用DNS，DNS不再像最初那樣作為一款軟件而是作為一項服務來提供。可以說，2010年以前，DNS僅僅是服務器上的一個服務功能，但隨著大家對互聯網要求的提高，則出現了專門的DNS應用服務體系。與此同時，十年來，安全產業界在HTTP協議下研發了諸多安全技術，比如下一代防火墻、過濾器代理等。因此，HTTP方面的安全保障措施十分全面。

近五年來，隨著網絡交易的增多，網絡上存在的大量數據日漸成為網絡攻擊者的目標。越來越多的黑客開始挖掘數字技術的漏洞，希望從中牟利。此時，DNS安全問題開始被人們所重視。

近三年來，DNS成為網絡攻擊主要目標之一。“這就給黑客提供了可乘之機，他們無須‘黑’防火墻或其他設備和系統，而是躲藏在DNS協議中繞過各類工具的檢測然后再發動攻擊。” Cherif Sleiman說道,“最近發生的黑客通過DNS對企業發起進攻的事件逐漸增多。DNS已經成為黑客攻擊使用的第一大協議，對企業數字化及生產力造成巨大傷害。”

如今，DNS已成為應用層攻擊的頭號目標服務，放大攻擊中使用的頭號協議，是攻擊者理想的攻擊手段。利用DNS將網絡用戶導引到相應網站并將他們納入攻擊行動的節點，已經成為惡意攻擊的一個重要途徑。

DNS為什么不安全?Infoblox大中華區總經理楊光耀強調，企業的安全設施就像是一座城堡，給城堡修了很高、很厚的墻，給上面加了堡壘，修了護城河，可以保證城墻沒有問題，"但是，如果你的門有問題，一腳就能踹開，那么這座城池還是不安全的。而現在企業最大的安全問題就是門的問題，DNS就是這道門!"

據Cherif Sleiman介紹，DNS通過53端口進行通信，且不受防火墻/下一代防火墻、入侵檢測系統、入侵防御系統、沙盒等眾多安全工具的保護。因此，企業需要通過專業的安全防護工具實現DNS防御，守住企業安全的這道門。

但現實情況是，盡管針對DDoS攻擊、DNS緩存病毒、DNS劫持、DNS嗅探等有關DNS的攻擊逐漸增多，DNS安全依然沒有引起企業足夠的重視并對其實施安全防護。究其原因，主要還是因為企業本身對DNS存在的安全隱患意識不高。對很多企業來說，他們對DNS的態度還停留在“能用就行”的水平上，而忽視了不安全的DNS可能會給自己帶來的巨大損失。另外一個原因則是，企業沒有任何有效的可視化的手段來監控并管理DNS的安全狀態，對于是否正在受到威脅或者攻擊，企業不得而知。

如何拯救DNS?

面對安全威脅，如何拯救DNS，提升企業安全防御能力，已經成為企業所不得不面對和解決的課題。對此，楊光耀認為，首先企業需要提升DNS安全防護意識，七次要做好DNS本身的安全防護，并且阻止攻擊者利用DNS植入惡意軟件，防止DNS被用作竊取企業數據的工具。

他表示，Infoblox是一家擁有20年歷史的公司，在過去的十余年中一直專注于DNS和智能安全分析。針對DNS威脅，Infoblox提供了一套全面的高級DNS防護解決方案，該方案主要有四大特點：

基于特征的DNS攻擊檢測：針對已知的攻擊模式，Infoblox的防護方案采取針對特征進行檢測，對攻擊進行攔截和響應。確保在面對已知威脅時，DNS服務器能夠維持運作，并且不被篡改。

威脅情報：面對不斷變化和更新的攻擊手段，Infoblox的TIDE系統提供威脅情報整合并同時進行實時防御。通過對新技術的研究和分析，以及客戶自身的網絡環境的變化，威脅情報系統可以自動升級來應對新的攻擊。重要的是，TIDE系統的安全升級是不需要進行補丁或者下線才能做到，極大保證了業務的連續性。

可視化中心管理：Infoblox為客戶提供了一整套可視化的威脅管理平臺。安全人員可以從這個平臺中，通過圖表查看整個網絡環境的攻擊方向以及攻擊趨勢來把握情況。同時，安全人員可以使用內置或者自定義的報告框架來更快速地對事件進行追溯排查。

硬件防護：Infoblox也提供硬件形態的數據包檢測系統，在攻擊抵達DNS服務器前進行攔截。

Infoblox：一家專注于下一代網絡安全的供應商

“我們是一家專注于下一代網絡安全的供應商。” Cherif Sleiman如是說。

數字轉型時代，很多企業已經意識到IT工作的重要性，IT技術正在成為新的商業模式的主要驅動因素，企業必須改變傳統運營模式，實現IT創新。比如： Uber、Netflix、滴滴、攜程、愛奇藝等公司，他們并沒有自己的實體資產，但他們能用一種無縫的方式，通過網絡和云服務，把用戶、設備和應用都連接起來。

“而安全是連接的基礎，只有在保證安全的前提下，才能使更多企業更加愿意擁抱數字化。” Cherif Sleiman表示：“Infoblox所提供的就是這樣一種將用戶、設備、應用順暢地連接起來的技術。我們的宗旨是保護我們的企業客戶、企業數據、企業基礎設施和企業的用戶不受安全風險的影響，我們能夠以智能的方式確保DNS的安全。Infoblox提供的智能分析，可以更好地獲得對用戶狀況的洞察，了解他們的情況，從而提供相應的安全、穩定、可靠的服務。”

楊光耀表示，Infoblox不是傳統意義上的DDI廠商， Infoblox可為客戶帶來分析服務、連接性以及個性化的客戶服務，從而幫助客戶成功實現數字化轉型。當客戶使用Infoblox下一代智能DNS服務的時候，安全絕不是唯一的目的，更重要的是，企業客戶可以獲得真正的現代化的網絡功能，這樣他們才能在自動化的世界里保持競爭力，提供更好的客戶體驗，擁抱新的機遇。

據悉，在過去三年中，Infoblox的業務一直保持著良性發展，且一直追加在中國的投資，包括員工、市場、渠道伙伴在內都在不斷增長。在中國區的業務增長十分迅速，相較于2017財年，2018財年實現業務增長30%的驕人成績，而與其他市場向比，中國市場一會保持著三倍于全球市場的平均增速。目前用戶覆蓋銀行、保險、證券、汽車制造和高科技制造、航空、教育等重點行業。

[[246296]]

談及2019財年Infoblox的策略，楊光耀表示：“未來一年，我們的主要發力點在于：一是，我們將面向用戶繼續重點推動安全整體解決方案的應用，幫助他們更安全的擁抱數字化技術;二是，聚焦訂閱服務，增加客戶選擇靈活度;三是，重點行業縱深發展;四是，渠道生態體系建設。”

最后，楊光耀向記者透露：“在未來三年，Infoblox的目標是實現業務翻番。其中，我們希望DNS安全業務能夠占比超過30%。同時，我們將繼續促進本地化進程縱深發展，并針對中國市場投入包括技術、銷售、專業服務在內的更多專業人員。”

【51CTO原創稿件，合作站點轉載請注明原文作者和出處為51CTO.com】