99%的网络安全人都没想到!办公网的第一道防线应该是它
谁才是办公网的第一道防线?有人说是上网行为管理,有人说是杀毒软件。不过这种答案只适用于十年前。
时代变了。在管理员工上网行为、给员工电脑杀毒之前,先把DNS解析抓起来才是正经事。
为什么是DNS?在讲清楚这个问题之前,我们得先回头看看这十年发生了什么。
网络安全环境的十年变迁:损招倍出,百鬼夜行
十年前,谈起办公网运维,只能想到网络结构、员工行为、带宽这些IT管理类工作。如果担心员工电脑中病毒,就再装个杀软,然后一年半载都想不起来更新规则库。只要搞搞合规,做做数据中心防护,再把内网一隔离,网络安全就万事大吉——就算员工电脑里再多木马病毒,也影响不到核心业务。
然而,这十年是网络安全大环境急剧恶化的十年。
这十年里诞生了钓鱼邮件、勒索软件,同时,我们也看到APT攻击横行,黑帽子们从散兵游勇发展成团伙,形成了黑色产业链,有些黑产团伙甚至发展出了“恶意软件即服务”的商业模式——不需要新入行的人懂多少技术,只要恶意软件在手,就可以在违法犯罪的边缘反复试探。
人类的贪欲无法被计算。这十年内,恶意软件也不断升级自己。现在的恶意软件不仅能从办公网溜进去,还能通过提权爆破、漏洞利用等手段横向移动,直达核心业务区域,然后开始干坏事,比如窃取数据、破坏系统,甚至直接盗取公司账户中的资金。
环境已经恶化至斯,今天99%的安全从业者在提起办公网防护时,第一反应还是上网行为管理和杀毒软件。然而,如果办公网只有这两种防护,基本等同于穿着内裤裸奔。上网行为管理和杀软没有错,只是时代已经不允许它们站在前线了。
上网行为管理和杀软:没犯错的前浪
上网行为管理好比一栋大楼的物业,在管理员工行为和网络带宽上可谓功不可没。但说到底,它也只是个以“管理”为主要功能的软件,面对木马、后门、勒索、钓鱼等网络威胁时,上网行为管理就束手无策了——当一伙精心伪装过的窃贼混入大楼时,物业只能和员工一起抓瞎。
而杀毒软件就好比电影中束手无策的阿sir,就算和变装的窃贼面对面,也认不出来这就是自己要抓的人,因为杀毒软件基于传统行为签名技术,没法第一时间识别和处理新型网络威胁,等规则库里终于出现这种威胁,可能在办公网里面已经有一大堆机器中招受害了。
所以,即使这两种软件在国内中大型企业中被广泛使用,在WannaCry、Petya等勒索软件席卷全球的时候,国内仍然一片哀鸿遍野,谁都逃不过。
于是我们回到开篇的问题:为什么非得是DNS?
DNS解析管控:轻量、易控,一直被忽视
DNS解析将我们要访问的域名解析为ip,是接入互联网的第一步,企业中为保证网络的可用性,通常不会对DNS流量进行管理。这部分流量不超过企业日常网络流量的5%,但正是这部分让人忽视的小流量,就有着大大的作用。任何终端在接入互联网时,如果在DNS侧对恶意的域名进行拦截,就可以有效的防止员工下载恶意软件、阻断钓鱼链接、防止中招的机器和攻击者进行通信、防止基于DNS隧道技术的数据泄露等。
好比窃贼正吃着火锅唱着歌开往目标现场,没想到某种神秘的力量不仅预知了他们的犯罪行为,更洞悉了他们的行驶路线,在他们的必经之路上设下路障和关卡。等待着窃贼们的不是一夜暴富,而是阿sir手里的一副玫瑰金手镯——DNS解析管控就是这种神秘的力量。
至于具体效果如何,我们来看一组对比数据:
根据思科的报告,91.3%的恶意软件都通过DNS协议来传播。
全球网络联盟(GCA)在2019年发布的《DNS安全的经济价值》报告称,防护性DNS的安全控制,可以每年为美国省下190-370亿美元损失,全球而言,该数字是1500-2000亿美元。
为什么DNS防护有这么明显且可量化的效果?实际上,这类具备安全防护能力的DNS被称为DNS安全防护产品,在国外已经相当成熟。
那么,一款合格的DNS安全防护产品应该具备哪些能力?
首先是对恶意软件、钓鱼、挖矿等网络攻击的拦截和阻断。一方面可有效阻断办公网终端下载恶意文件、访问钓鱼网址的过程,另一方面企业内一旦终端被安装了恶意软件, DNS安全防护产品就会阻断这些及其与攻击者远控端的通信,阻止恶意软件进一步运行或者下载更多恶意模块。此外,也可以有效防止利用DNS作为通道的数据泄露行为。
其次是对不良网站的拦截。合格的DNS安全防护产品应对全球任意一个新增域名具有即时捕获和识别能力,如色情暴力、违法内容、赌博、文件共享、游戏、广告等。用户可自主选择是否拦截这些类别的站点。
此外,作为企业级安全产品,它还应具备安全管控功能,支持企业安全运维人员配置不同职场、管理员、用户、漫游终端,并为各职场配置防护策略,在攻击事件发生后提供拦截结果和对应威胁的上下文信息以供进一步分析。
目前,国外较具代表性的DNS防护类产品是思科旗下的Umbrella,国内的对标类产品则是知名公共DNS解析服务OneDNS的企业版。值得一提的是,这两个产品的背后都有威胁情报的影子,思科早在2014年就收购了威胁情报公司ThreatGrid,组建了自己的威胁情报团队Talos;而OneDNS被国内威胁情报厂商微步在线收入旗下,接入了微步的威胁情报云,分钟级更新的威胁情报补足了OneDNS对恶意域名和软件的识别和拦截能力。
DNS安全防护产品部署简单,成本较低,既适用于多职场、多分支机构的中大型企业,也很适合在快速成长期的中小型企业和IT团队。如果你的办公网需要加上第一道锁,不妨从DNS开始下手试试。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
黑客攻击移民局,要求赎金400万美元,让移民停止4个小时
阿根廷官方移民局Dirección Nacional de Migraciones遭遇Netwalker勒索软件攻击,暂时停止了出入该国的边境。 虽然针对城市和地方机构的勒索软件攻击已经非常普遍,但这可能是已知的第一次针对联邦机构的攻击,它已经中断了一个国家的运作。 根据阿根廷网络犯罪机构Unidad Financial Specializada en Ciberdelincuencia发布的刑事投诉,阿根廷政府在8月27日早上7点左右接到多个检查站的技术支持电话后,首次得知勒索软件攻击事件。 “在上文段落所述的当天上午7时左右,本组织信息系统和技术总局下属的技术和通信局接到许多来自各检查站的请求技术支助的电话。” “这意识到这不是一个普通的情况,因此对中央数据中心的基础设施和分布的服务器的情况进行了评估,注意到病毒活动已经影响到基于MS Windows的文件(主要是ADAD SYSVOL和SYSTEM Center DPM)和Microsoft Office文件(Word、Excel,“存在于用户的工作和共享文件夹中,”一份投诉的翻译说明。 为了防止勒索软件感染其他设备,移民局和控制...
- 下一篇
Hitachi Vantara吴卫平:以非结构化数据存储管理解决方案,推动企业数字化转型
【51CTO.com原创稿件】数字时代的今天,企业的生产经营离不开数据的支撑。随着5G、云计算、物联网等新兴技术的发展,企业获取数据的方式变得更加简单、高效,数据的类型也变得更加多样化,结构化数据已经不再是企业数据库中的主要组成部分,爆炸式增长的非结构化数据取而代之,成为企业数据库中的主力军。根据IDC的预测,到2020年企业的数据总量将达到44ZB,其中80%的数据将会是非结构化数据。 可以预见,海量数据在给企业带来无限可能的同时,也给企业的数据管理和数据存储等带来巨大的压力,如何有效存好、管好数据,在充分挖掘数据价值的同时,确保数据的安全,保证业务的正常运营,成为大部分企业未来面临的主要难题。为此,对象存储走入了人们的视野当中,并引发了用户的关注,而在数据存储与管理领域耕耘多年的Hitachi Vantara,其HCP解决方案也一直在业内广受用户和分析公司好评。 在近期的一次媒体沟通会上,Hitachi Vantara首席技术官吴卫平与媒体详细分享了Hitachi Vantara在非结构化数据方面的最新产品和解决方案。他表示,在非结构化数据存储管理上,Hitachi Vantara...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- CentOS7,8上快速安装Gitea,搭建Git服务器
- CentOS6,CentOS7官方镜像安装Oracle11G
- CentOS8安装Docker,最新的服务器搭配容器使用
- CentOS7设置SWAP分区,小内存服务器的救世主
- CentOS7安装Docker,走上虚拟化容器引擎之路
- CentOS6,7,8上安装Nginx,支持https2.0的开启
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- Linux系统CentOS6、CentOS7手动修改IP地址
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装