多年來，大規(guī)模域名系統(tǒng)劫持(通常以DNS攻擊或DDoS攻擊的形式)一直在穩(wěn)定增長。

但是2019年DNS劫持事件的數(shù)量空前，促使英國國家網(wǎng)絡安全中心就這一威脅向相關組織發(fā)出警報并提供建議：學習如何保護您的域名系統(tǒng)免遭劫持。

1. DNS劫持的后果DNS攻擊比其他攻擊更能破壞用戶對互聯(lián)網(wǎng)的信任。

從數(shù)據(jù)盜竊到財務欺詐等一系列后果，任何受到DNS攻擊的人都會對互聯(lián)網(wǎng)保持警惕，尤其是對攻擊起源地的域名產生懷疑。

眾所周知，遭受DNS劫持而受傷的客戶會放棄大批受影響的服務，同時也會損害到收入和品牌聲譽。

(1) 通過劫持一個域名，黑客可以有效地利用武器為公司提供在線服務。

DNS劫持會對組織及其品牌形象造成災難性的后果。

當一家公司成為DNS劫持的受害者時，其客戶將面臨欺詐、數(shù)據(jù)盜竊、侵犯隱私和財務損失的風險。

公司的品牌聲譽受損，導致客戶流失和收入下降。

此外，公司還可能會受到監(jiān)管機構的罰款或其他處罰。

(2) 個人和企業(yè)都可能成為攻擊的目標，但網(wǎng)站所有者面臨的后果最嚴重。

互聯(lián)網(wǎng)用戶信任他們訪問的網(wǎng)站是安全、可靠和加密的，能夠保護他們的在線數(shù)據(jù)。

諸如《通用數(shù)據(jù)保護條例》之類的監(jiān)管機構也將為此付出代價。

英國航空公司最近因涉及一起DNS劫持的數(shù)據(jù)泄露而被罰款2.3億美元，該DNS劫持將流量重定向到欺詐網(wǎng)站。

當用戶將信用卡數(shù)據(jù)輸入他們認為是合法的英國航空公司網(wǎng)站時，超過40萬名客戶受到了影響。

DNS劫持造成的收入、客戶和品牌聲譽損失將直接影響公司的利潤和資本價值。

2. 為什么DNS容易受到攻擊考慮到大多數(shù)組織的在線服務和運營規(guī)模，DNS是一個充滿潛在漏洞的龐大網(wǎng)絡也就不足為奇了。

廢棄的域名、薄弱的密碼控制和繁重的管理過程更加劇了這些弱點。

(1) 黑客通常會利用公司忽視管理的過期或遺忘的域名。

一個被遺忘的域名讓戴爾在放棄了對它的控制權，該域名使用戶能夠一鍵將其電腦備份到在線服務上。

黑客發(fā)現(xiàn)這一疏忽后，便盜用了該域名，將全球各地的戴爾計算機用戶重定向到一個包含充滿了露骨內容和危險下載內容的網(wǎng)站。

這對戴爾品牌聲譽的損害是巨大的。

(2) 未使用或“孤立”的域名是另一個問題：當公司管理數(shù)百個甚至數(shù)千個域名時，很容易忽略受到損害的域名。

在稱為“垃圾熊”的攻擊中，黑客利用GoDaddy的DNS系統(tǒng)從600家所有者中竊取了4,000個孤立域名，其中包括ING Bank、Hilton、McDonald's和Mastercard。

這些域名特別容易受到攻擊，因為它們被遺忘在主服務器之外并且沒有得到有效的管理。

(3) 域名系統(tǒng)的管理和訪問易受攻擊。

DNS控制系統(tǒng)的訪問應僅限于授權人員，然而，由于密碼管理不良，他們容易受到攻擊。

未經授權的團體經常獲得對公司DNS控制系統(tǒng)，劫持域名和DNS的訪問權，甚至掩蓋其蹤跡以逃避檢測。

由于DNS控件可能涉及DNS所有者和DNS服務提供商的操作，所以這兩個系統(tǒng)都需要安全的密碼控制，例如雙因素身份驗證。

(4) 低效、無效的變更管理流程削弱了DNS的安全性。

較小的變化可能會使域名面臨風險，因此管理員必須努力地跟蹤何時、何地、為什么以及如何進行更改。

這項工作通常是手動完成的，增加了錯誤和疏忽，危及DNS安全的風險。

(5) 無效的更改管理導致DNS安全設置被忽略或失效。

設置(例如用于驗證用戶和目的地的域名系統(tǒng)安全擴展)以及用于審核電子郵件用戶的基于域名的郵件驗證、報告和一致性以及發(fā)件人策略框架，被廣泛認為是強制性和必要的安全措施。

正在進行的對《財富》1000強公司的調查顯示，這些保護要么全部丟失，要么部署不正確，使受影響組織的DNS網(wǎng)絡和客戶遭受嚴重的破壞。

為了保護每個人的利益，公司必須通過全面有效地管理來加強DNS的安全性。

3. 如何保護您的域名系統(tǒng)免受劫持預防DNS攻擊主要是管理不斷增長的DNS網(wǎng)絡操作規(guī)模，避免劫持并使用以下策略保護來DNS。

(1) 整合到一個平臺將所有域名注冊商和DNS服務提供商合并為一個企業(yè)級注冊商和DNS服務提供商。

在一個平臺上工作可以更輕松地控制和進行訪問，實現(xiàn)更強大的密碼保護以及使用相同的最佳實踐去管理所有進程。

單一平臺還允許用戶激活“自動續(xù)訂”和“注冊商鎖定”功能，以減少失敗的域名續(xù)訂和未經授權的DNS更改的機會。

(2) 消除不必要的域名對所有域名(包括未使用的域名)的管理和維護都應與高級域名相同。

積極主動地消除孤立的域名并管理可能容易被濫用的DNS設置，例如未使用的IP地址和缺少授權起始(SoA)的域名。

(3) 整合變更管理實施基于系統(tǒng)的變更管理平臺，該平臺依賴自動化而不是手動輸入。

自動化阻止未經授權的更改，將已授權的更改通知給管理員，并對系統(tǒng)內的所有活動進行防篡改審核。

理想情況下，該平臺集成了所有與DNS相關的管理任務，包括用于加密的TLS證書和DNSSEC之類的安全設置。

(4) 自動化的管理進程通過自動化進程來克服重要的DNS安全功能的復雜性。

DNSSEC、DMARC和SPF的管理難度大且成本高昂，這對許多公司而言在經濟上是不可持續(xù)的。

自動化的DNS安全使其在財務上可行且易于管理，同時確保完全合規(guī)。

客戶和用戶將避開他們認為不安全的網(wǎng)站。

每個具有在線服務的組織都需要將DNS安全視為優(yōu)先事項，互聯(lián)網(wǎng)的安全性取決于此。