网络安全可能是一项令人筋疲力尽的工作。今天网络上有信号和控制点。从网络角度来看，这些信号和控制点未得到充分利用，而不是添加新功能并利用现有功能。
攻击者使用盲点专注于安全团队不监控的确切位置，其中一个是DNS。不幸的是，直到最近，该协议甚至被降级为IT基础架构团队，并被视为纯粹的网络管道。
现在，您需要再次提醒您需要将DNS理解为威胁向量。这是政府，企业组织和通信公司等各种互联网相关企业需要关注的话题。
您的DNS日志中已显示5种网络安全威胁
DNS相关的安全问题必将发生，因为大约90％的恶意软件依赖DNS进行攻击。它用于远程命令和控制恶意软件，将数据泄漏到外部以及一系列活动。您可以通过以下几种方式在DNS日志中查看网络安全威胁。
威胁1  - 计算机执行通常不会执行的操作
示例：像Emotet一样的Spambot恶意软件
大多数专用设备（例如工厂机器，销售点（POS）机器和打印机）产生相当可预测的DNS查询模式。即使它看起来很温和，任何与这些设备不同的东西都可能意味着麻烦。例如，如果商店POS机的DNS查询正在寻找Google.com，则表示您遇到了问题。
即使是更广泛的设备也可以产生特定的行为模式。例如，用户的笔记本电脑通常不会像邮件服务器那样生成MX查询类型。如果用户的笔记本电脑看起来像邮件服务器，这可能是因为感染发送了垃圾邮件。
威胁2  - 使用DNS传输信息，而不仅仅是建立连接
示例：DNSMessenger Trojan，DNSpionage，Pisloader特洛伊木马以及任何其他基于隧道的威胁
隧道的工作原理是将信息编码到查询域名中，然后由恶意收件人服务器对其进行解码。从DNS日志的角度来看，有一些关键迹象表明这种行为正在发生。
由于编码信息通常会导致看起来像一系列字符的混淆，因此查询域名通常缺少实际字典中的单词，看起来更像是随机生成的字符串。隧道查询通常也是TXT和其他查询类型，通常不会生成典型计算机使用期间员工使用所需的频率和周期。隧道查询通常定期生成或可疑突发。能够将查询归因于其源以查看常规和突发模式非常重要。威胁3  - 以算法方式动态更改查询的发送位置
示例：Nymain，Locky Ransomware，Qadars Banking Trojan，Qbot Trojan以及任何其他基于DGA的恶意软件
域生成算法（DGAs）是对手黑名单的解决方案。他们创建了一系列防火墙无法识别阻止并尝试使用它们的域。
您的DNS日志中已显示5种网络安全威胁
换句话说，DGAs要求反对者实际注册某些域名。为了节省成本，攻击者倾向于从不太流行的注册商中选择不太常见的顶级域名（TLD），例如.biz，.work，.hello等。像隧道查询一样，DGA查询看起来也像非字典单词，并尝试结合多个TLD。例如，asdf.biz，asdf.work，asdf.hello等。
威胁4  - 隐藏的DNS查询
示例：基于HTTPS的DNS（DoH）通过HTTPS DNS执行
DoH通过加密DNS查询并绕过正常的DNS服务器链以私密方式上网。在企业网络中，解决DoH是危险的，因为它破坏了安全团队的可见性。突然间，风险行为变得更加难以找到。
威胁5  - 基础设施劫持
由于劫持涉及攻击者将自己插入DNS解析链并更改传递信息，因此检查查询的DNS日志及其各自的响应可能会有所帮助。如果对查询的响应发生更改，现在将客户端指向通常不应发送的位置，则可能是劫持的迹象。 DNS查询答案显然会随着时间的推移而改变，但在完全不相关的网络上将会有更少的IP地址。
学习聆听DNS日志中的更改
DNS已存在于每个网络中。问题是，安全团队是否正在倾听他们告诉他们的内容？
您的DNS日志中已显示5种网络安全威胁
当组织使用其日志进行保护时，它会打开一个富有洞察力的世界。虽然有些工具可以帮助以更智能的方式处理所有数据，但任何安全团队都可以采取基本步骤，即使在今天。
当特殊设备尝试执行非典型操作时要特别小心，特别要注意随机生成的查询，尤其是在突发或定期执行时。

• 上一篇: 蓝盟IT外包，元宇宙：四梁八柱是什么
  下一篇: 为什么61％的CIO认为员工会恶意披露数据

• 分享到：