99%的網(wǎng)絡(luò)安全人都沒(méi)想到!辦公網(wǎng)的第一道防線應(yīng)該是它
誰(shuí)才是辦公網(wǎng)的第一道防線?有人說(shuō)是上網(wǎng)行為管理,有人說(shuō)是殺毒軟件。不過(guò)這種答案只適用于十年前。
時(shí)代變了。在管理員工上網(wǎng)行為、給員工電腦殺毒之前,先把DNS解析抓起來(lái)才是正經(jīng)事。
為什么是DNS?在講清楚這個(gè)問(wèn)題之前,我們得先回頭看看這十年發(fā)生了什么。
網(wǎng)絡(luò)安全環(huán)境的十年變遷:損招倍出,百鬼夜行
十年前,談起辦公網(wǎng)運(yùn)維,只能想到網(wǎng)絡(luò)結(jié)構(gòu)、員工行為、帶寬這些IT管理類工作。如果擔(dān)心員工電腦中病毒,就再裝個(gè)殺軟,然后一年半載都想不起來(lái)更新規(guī)則庫(kù)。只要搞搞合規(guī),做做數(shù)據(jù)中心防護(hù),再把內(nèi)網(wǎng)一隔離,網(wǎng)絡(luò)安全就萬(wàn)事大吉——就算員工電腦里再多木馬病毒,也影響不到核心業(yè)務(wù)。
然而,這十年是網(wǎng)絡(luò)安全大環(huán)境急劇惡化的十年。
這十年里誕生了釣魚郵件、勒索軟件,同時(shí),我們也看到APT攻擊橫行,黑帽子們從散兵游勇發(fā)展成團(tuán)伙,形成了黑色產(chǎn)業(yè)鏈,有些黑產(chǎn)團(tuán)伙甚至發(fā)展出了“惡意軟件即服務(wù)”的商業(yè)模式——不需要新入行的人懂多少技術(shù),只要惡意軟件在手,就可以在違法犯罪的邊緣反復(fù)試探。
人類的貪欲無(wú)法被計(jì)算。這十年內(nèi),惡意軟件也不斷升級(jí)自己。現(xiàn)在的惡意軟件不僅能從辦公網(wǎng)溜進(jìn)去,還能通過(guò)提權(quán)爆破、漏洞利用等手段橫向移動(dòng),直達(dá)核心業(yè)務(wù)區(qū)域,然后開(kāi)始干壞事,比如竊取數(shù)據(jù)、破壞系統(tǒng),甚至直接盜取公司賬戶中的資金。
環(huán)境已經(jīng)惡化至斯,今天99%的安全從業(yè)者在提起辦公網(wǎng)防護(hù)時(shí),第一反應(yīng)還是上網(wǎng)行為管理和殺毒軟件。然而,如果辦公網(wǎng)只有這兩種防護(hù),基本等同于穿著內(nèi)褲裸奔。上網(wǎng)行為管理和殺軟沒(méi)有錯(cuò),只是時(shí)代已經(jīng)不允許它們站在前線了。
上網(wǎng)行為管理和殺軟:沒(méi)犯錯(cuò)的前浪
上網(wǎng)行為管理好比一棟大樓的物業(yè),在管理員工行為和網(wǎng)絡(luò)帶寬上可謂功不可沒(méi)。但說(shuō)到底,它也只是個(gè)以“管理”為主要功能的軟件,面對(duì)木馬、后門、勒索、釣魚等網(wǎng)絡(luò)威脅時(shí),上網(wǎng)行為管理就束手無(wú)策了——當(dāng)一伙精心偽裝過(guò)的竊賊混入大樓時(shí),物業(yè)只能和員工一起抓瞎。
而殺毒軟件就好比電影中束手無(wú)策的阿sir,就算和變裝的竊賊面對(duì)面,也認(rèn)不出來(lái)這就是自己要抓的人,因?yàn)闅⒍拒浖趥鹘y(tǒng)行為簽名技術(shù),沒(méi)法第一時(shí)間識(shí)別和處理新型網(wǎng)絡(luò)威脅,等規(guī)則庫(kù)里終于出現(xiàn)這種威脅,可能在辦公網(wǎng)里面已經(jīng)有一大堆機(jī)器中招受害了。
所以,即使這兩種軟件在國(guó)內(nèi)中大型企業(yè)中被廣泛使用,在WannaCry、Petya等勒索軟件席卷全球的時(shí)候,國(guó)內(nèi)仍然一片哀鴻遍野,誰(shuí)都逃不過(guò)。
于是我們回到開(kāi)篇的問(wèn)題:為什么非得是DNS?
DNS解析管控:輕量、易控,一直被忽視
DNS解析將我們要訪問(wèn)的域名解析為ip,是接入互聯(lián)網(wǎng)的第一步,企業(yè)中為保證網(wǎng)絡(luò)的可用性,通常不會(huì)對(duì)DNS流量進(jìn)行管理。這部分流量不超過(guò)企業(yè)日常網(wǎng)絡(luò)流量的5%,但正是這部分讓人忽視的小流量,就有著大大的作用。任何終端在接入互聯(lián)網(wǎng)時(shí),如果在DNS側(cè)對(duì)惡意的域名進(jìn)行攔截,就可以有效的防止員工下載惡意軟件、阻斷釣魚鏈接、防止中招的機(jī)器和攻擊者進(jìn)行通信、防止基于DNS隧道技術(shù)的數(shù)據(jù)泄露等。
好比竊賊正吃著火鍋唱著歌開(kāi)往目標(biāo)現(xiàn)場(chǎng),沒(méi)想到某種神秘的力量不僅預(yù)知了他們的犯罪行為,更洞悉了他們的行駛路線,在他們的必經(jīng)之路上設(shè)下路障和關(guān)卡。等待著竊賊們的不是一夜暴富,而是阿sir手里的一副玫瑰金手鐲——DNS解析管控就是這種神秘的力量。
至于具體效果如何,我們來(lái)看一組對(duì)比數(shù)據(jù):
根據(jù)思科的報(bào)告,91.3%的惡意軟件都通過(guò)DNS協(xié)議來(lái)傳播。
全球網(wǎng)絡(luò)聯(lián)盟(GCA)在2019年發(fā)布的《DNS安全的經(jīng)濟(jì)價(jià)值》報(bào)告稱,防護(hù)性DNS的安全控制,可以每年為美國(guó)省下190-370億美元損失,全球而言,該數(shù)字是1500-2000億美元。
為什么DNS防護(hù)有這么明顯且可量化的效果?實(shí)際上,這類具備安全防護(hù)能力的DNS被稱為DNS安全防護(hù)產(chǎn)品,在國(guó)外已經(jīng)相當(dāng)成熟。
那么,一款合格的DNS安全防護(hù)產(chǎn)品應(yīng)該具備哪些能力?
首先是對(duì)惡意軟件、釣魚、挖礦等網(wǎng)絡(luò)攻擊的攔截和阻斷。一方面可有效阻斷辦公網(wǎng)終端下載惡意文件、訪問(wèn)釣魚網(wǎng)址的過(guò)程,另一方面企業(yè)內(nèi)一旦終端被安裝了惡意軟件, DNS安全防護(hù)產(chǎn)品就會(huì)阻斷這些及其與攻擊者遠(yuǎn)控端的通信,阻止惡意軟件進(jìn)一步運(yùn)行或者下載更多惡意模塊。此外,也可以有效防止利用DNS作為通道的數(shù)據(jù)泄露行為。
其次是對(duì)不良網(wǎng)站的攔截。合格的DNS安全防護(hù)產(chǎn)品應(yīng)對(duì)全球任意一個(gè)新增域名具有即時(shí)捕獲和識(shí)別能力,如色情暴力、違法內(nèi)容、賭博、文件共享、游戲、廣告等。用戶可自主選擇是否攔截這些類別的站點(diǎn)。
此外,作為企業(yè)級(jí)安全產(chǎn)品,它還應(yīng)具備安全管控功能,支持企業(yè)安全運(yùn)維人員配置不同職場(chǎng)、管理員、用戶、漫游終端,并為各職場(chǎng)配置防護(hù)策略,在攻擊事件發(fā)生后提供攔截結(jié)果和對(duì)應(yīng)威脅的上下文信息以供進(jìn)一步分析。
目前,國(guó)外較具代表性的DNS防護(hù)類產(chǎn)品是思科旗下的Umbrella,國(guó)內(nèi)的對(duì)標(biāo)類產(chǎn)品則是知名公共DNS解析服務(wù)OneDNS的企業(yè)版。值得一提的是,這兩個(gè)產(chǎn)品的背后都有威脅情報(bào)的影子,思科早在2014年就收購(gòu)了威脅情報(bào)公司ThreatGrid,組建了自己的威脅情報(bào)團(tuán)隊(duì)Talos;而OneDNS被國(guó)內(nèi)威脅情報(bào)廠商微步在線收入旗下,接入了微步的威脅情報(bào)云,分鐘級(jí)更新的威脅情報(bào)補(bǔ)足了OneDNS對(duì)惡意域名和軟件的識(shí)別和攔截能力。
DNS安全防護(hù)產(chǎn)品部署簡(jiǎn)單,成本較低,既適用于多職場(chǎng)、多分支機(jī)構(gòu)的中大型企業(yè),也很適合在快速成長(zhǎng)期的中小型企業(yè)和IT團(tuán)隊(duì)。如果你的辦公網(wǎng)需要加上第一道鎖,不妨從DNS開(kāi)始下手試試。
