DNS 成為惡意程式攻擊和資料洩漏的新途徑
全球DNS網域服務及自動化網路控制市場領導者Infoblox今年四月舉辦一場台灣企業高階資安長的分享會,與會來賓分別有Infoblox台灣區總經理李榕茜、Infoblox大中華區資深技術顧問張哲綱,同時也邀請韋萊韜悅台灣分公司企業風險與保險資深協理吳明璋分享從風險的角度看資安。
Infoblox在國內服務政府與民間企業,已經超過十年時間,全面專注核心服務項目,提供DNS網域服務的資安防護與解決方案。分享會中Infoblox台灣區總經理李榕茜開場提到: 「雲端活動愈趨活躍,網路資安威脅事件中DNS經常被攻擊者所利用,滲透進入受害網站內,進行不法的行為,此現象亦趨倍增。」因此,李總經理特別提及DNS是企業的第一道大門,任何資訊的往來均需要經過DNS,然而 DNS安全該做到多安全呢? 這個問題啟動了分享會的序幕。
DNS 為何是駭客所青睞的管道?
DNS(Domain Name System,網域名稱系統)是網際網路的主要索引,類比形容像是電話聯絡簿。對各企業來說DNS是必要的,但卻只有少數企業組織有進行防護與監控的機制。Infoblox大中華區資深技術顧問張哲綱表示,「近幾年來DNS成為惡意程式攻擊和資料洩漏的新途徑,當DNS的安全失守不只是影響使用者上網的行為造成的困擾,而是會整體影響公司的商譽與信譽,當企業官網無法上網瀏覽,企業內部營運郵件無法收發,此刻除了對外進行溝通受阻外,外部對於企業的形象觀感指數也隨之下降。」。
根據去年2021年10月美聯社報導指出,據統計有72%的組織遭受過DNS攻擊,尤其是金融產業遭受DNS 攻擊最為嚴重,經歷DNS 攻擊的受訪者表示,每次被攻擊所引發的成本為 127.5 萬美元,而另一起2020年底知名的威脅攻擊,SolarWinds供應鏈攻擊事件,張哲綱分析說到這事件是透過DNS協定所衍生出來的威脅攻擊,DGA網域生成演算法的手法,被沙箱最後披露出來所有做成Sunburst後門程式DNS的Domain,我們進一步發現是利用DGA的方式所衍生而成,其目的是避免人工的監看與比對,此惡意攻擊手法則是利用DGA為踏板的攻擊,然而DGA會造成很大的問題,因為傳統偵測及防護方式無法能全面防阻此攻擊,他必須要使用精密的AI演算法行為找出來其關聯性和有效性,才能進行有效的阻擋。
Infoblox DNS 服務: 可視性、安全性、自動化
張哲綱進一步分享Infoblox長期觀察惡意程式,是透過 DNS 進行資料洩露,有五個路徑,第一、偵查(Reconnaissance),搜集值得攻擊的點,找出企業DNS弱點 ;第二、 遞送(Delivery), DNS經常成為允許駭客與惡意軟體被利用作為滲透通道的一個大門;第三、開採(Delivery) ;第四、指令與控制 (Command and Control)與第五、行動 (Actions on Objectives)資料透過 DNS 洩露出去的同時傳統資安措施均無法檢測出來。
五個路徑模式如何有效的進行防禦、防護部署,大家可以參考Infoblox所提供的DNS安全服務三大特性:
- 可視性: 快速分析各節點的情況(數據中心,雲端,容器,物聯網,分支機構)。
- 安全性: 完整的DNS 安全,並通過自動數據共享提高安全維運的生產力。
- 自動化: 全方位安全執法中,DNS作為安全事件的“信號”和控制點。
張哲綱長期輔導金融業客戶的經驗分享,關於金融業DNS安全的問題歸納點,分別為管理DNS伺服器、保護DNS通道安全與事件紀錄的缺失。張哲綱說「金融客戶常會問他一個問題 : 當金管會提供網域黑名單,我該如何做有效的運用? 」並且客戶大部分都將黑名單放在其他安全產品上,造成事件追查上不容易。張哲綱說這個問題的關鍵點,是可見度的問題,再者就是管理的問題,因為各地區系統不統一,況且Unix、Window DNS的管理不容易。他特別建議金融業可以採用Infoblox 服務,結合API自動化或手動匯入金管會提供的黑名單,運用Infoblox單一介面集中管理與監控的功能,可以做好有效的管理。
至於,製造業遇到的問題與其產業屬性有關,張哲綱說當時客戶度對他提出:「我在全球有多個廠區,這一個廠區有兩百台DNS,但是DNS對於移動的使用者,以及先前專案移留的老舊DNS,使用者的安全及DNS 系統安全該如何處理?」張哲綱則協助客戶導入Infoblox 的Anycast 提供DNS 本地及異地備援的服務方式,同時整合SIEM 方便追溯有問題的端點和整合API 結合公司自動化流程,產生出有效運作的管理機制與安全的防護。
資安要做多安全才是安全?
Infoblox台灣企業高階資安長的分享會,也邀請韋萊韜悅台灣分公司企業風險與保險資深協理吳明璋分享企業資安的觀察,吳明璋說雲端服務是趨勢,上雲網路資安則不可忽略,同時國內政府去年(2021)對於有價證券上市公司新增修將資通安全事件列入是造成公司重大損害之一。去年11月也要求今年(2022)年底前,公開發行公司是為第一級資本額逾百億上市櫃公司須設資安長及資安專責單位(包含資安專責主管及至少2名資安專責人員)。因此,資安要做多安全才是安全 ? 或許,持續做資安,將企業大門的第一道門DNS顧守住,才是安全。