组织、服务提供商和域名注册商的网络和安全管理员收到了另一个关于保护其域名服务器基础设施的重要性的警告。
本周,安全记者布赖恩·克雷布斯(Brian Krebs)在一篇专栏文章中详细介绍了最近针对DNS基础设施的劫持行动,这些基础设施通过临时捕获网络流量,从政府和私人公司窃取大量电子邮件密码和其他敏感数据。迄今为止,大部分袭击集中在中东。然而,北美各组织也应该意识到这一危险。
很严重的是,一月份美国。克雷布斯指出,美国国土安全部发布了一项罕见的紧急指令,命令所有美国联邦民事机构为其互联网域名记录提供登录凭据。
域名服务器将域名(如itworldcanada.com)转换为数字互联网地址。劫持一个域,在子域下运行的所有流量-包括VPN流量-都可以转移到另一个地址。为一个政府妥协一个顶级领域,结果可能是灾难性的。
这些域名是如何被接管的还不清楚。在2018年12月的一篇文章中,思科系统公司的Talos情报部门说,最初的攻击涉及到来自加拿大Suncor能源公司网站的一份合法文件的副本,但这份文件包含了一个恶意的宏。最终,一个远程访问工具将被下载,这将导致DNS感染。
他们说在数量上是安全的,因为作为一个大团体的一部分,你不太容易受到攻击...
我们依靠执法成为我们在线上和线下抵御犯罪分子的第一线..但大多数执法部门...
今年1月,Fire Eye发布了一份后续报告,将这些攻击描述为“规模上的DNS劫持”。它还指出,攻击是通过登录DNS提供商的管理面板来实现的,该面板先前的凭据以及伪造的证书。
然后Crowdstrate在博客上列出了迄今为止间谍活动所使用的几乎所有互联网地址。
毫无疑问,如果DNS管理员使用多因素身份验证来保护其登录凭据,则可以部分检查攻击。
正如Krebs所指出的,DNS劫持还有另一个防御措施:DNSSEC(DNS安全扩展),它通过要求对给定域或一组域的所有DNS查询进行数字签名来保护应用程序不使用伪造或操纵的DNS数据。
然而,DNSSEC必须由服务提供商及其客户正确配置。克雷布斯写道,即便如此,据一位消息人士估计,世界上只有20%的主要网络和网站启用了这一功能。
克雷布斯发现,一个受害供应商承认攻击者针对的是不受DNSSEC保护的公司服务器。当攻击者能够短暂地禁用保护时,第三个受到保护的系统受到了破坏,因为他们已经访问了其注册官的系统,并获得了两个内部电子邮件服务器的SSL证书。由于某种原因,黑客未能施加他们的攻击,或者他们本来可以获得更多的信息。
克雷布斯还指出,DNS监控服务显然没有抓住这些攻击。
那么CISO应该做什么呢?克雷布斯引述负责监管全球域名行业的首席安全、稳定和弹性官员约翰·克莱恩的话说:
-使用DNSS EC(签署区域和验证答复);
-使用注册功能,如注册表锁,以帮助保护域名记录不被更改;
-对应用程序、因特网流量和监测使用访问控制清单;
-使用双重认证,并要求所有相关用户和分包商使用这种认证;
在使用密码的情况下,选择唯一的密码并考虑密码管理器;
-与登记员和其他提供者重新审查账户;
通过日志或其他进程的监视器证书。