Οι επιθέσεις κατά του συστήματος ονομάτων τομέα (DNS) είναι πολυάριθμες και ποικίλες, επομένως οι οργανισμοί πρέπει να βασίζονται σε επίπεδα προστατευτικά μέτρα, όπως η παρακολούθηση της κυκλοφορίας, η ευφυΐα απειλών και τα προηγμένα τείχη προστασίας δικτύου, για να ενεργούν συντονισμένα. Με τις επιθέσεις NXDOMAIN να αυξάνονται, οι οργανισμοί πρέπει να ενισχύσουν την άμυνα DNS τους.
Με την κυκλοφορία του Shield NS53, η Akamai εντάσσεται σε μια αυξανόμενη λίστα προμηθευτών ασφαλείας με εργαλεία DNS ικανά να αμυνθούν από επιθέσεις NXDOMAIN. Η νέα υπηρεσία επεκτείνει τις τεχνολογίες DNS Edge της Akamai στο cloud σε αναπτύξεις εντός των εγκαταστάσεων.
Σε μια επίθεση NXDOMAIN — επίσης γνωστή ως επίθεση DNS Water Torture DDoS — οι αντίπαλοι κατακλύζουν τον διακομιστή DNS με μεγάλο όγκο αιτημάτων για ανύπαρκτους (εξ ου και το πρόθεμα NX) ή μη έγκυρους τομείς και υποτομείς. Ο διακομιστής μεσολάβησης DNS καταναλώνει τους περισσότερους, αν όχι όλους, από τους πόρους του για να υποβάλει ερωτήματα στον έγκυρο διακομιστή DNS, σε σημείο που ο διακομιστής δεν έχει πλέον την ικανότητα να χειρίζεται οποιαδήποτε αιτήματα, νόμιμα ή ψευδή. Περισσότερα ανεπιθύμητα ερωτήματα που φτάνουν στον διακομιστή σημαίνει περισσότερους πόρους - CPU διακομιστή, εύρος ζώνης δικτύου και μνήμη - που απαιτούνται για τη διαχείρισή τους και τα νόμιμα αιτήματα χρειάζονται περισσότερο χρόνο για να επεξεργαστούν. Όταν οι χρήστες δεν μπορούν να φτάσουν στον ιστότοπο λόγω σφαλμάτων NXDOMAIN, αυτό μεταφράζεται σε δυνητικά απώλεια πελατών, απώλεια εσόδων και ζημιά στη φήμη.
Το NXDOMAIN είναι ένας κοινός φορέας επίθεσης εδώ και πολλά χρόνια και γίνεται μεγαλύτερο πρόβλημα, λέει ο Jim Gilbert, διευθυντής διαχείρισης προϊόντων της Akamai. Η Akamai παρατήρησε ότι το 40% των συνολικών ερωτημάτων DNS για τους 50 κορυφαίους πελάτες χρηματοοικονομικών υπηρεσιών της περιείχαν εγγραφές NXDOMAIN πέρυσι.
Ενίσχυση της προστασίας DNS
Αν και είναι θεωρητικά δυνατό να αμυνθεί κανείς από επιθέσεις DNS προσθέτοντας περισσότερη χωρητικότητα —περισσότεροι πόροι σημαίνει ότι χρειάζονται μεγαλύτερες και μεγαλύτερες επιθέσεις για να γκρεμιστούν οι διακομιστές — δεν είναι μια οικονομικά βιώσιμη ή επεκτάσιμη τεχνική προσέγγιση για τους περισσότερους οργανισμούς. Αλλά μπορούν να ενισχύσουν την προστασία DNS τους με άλλους τρόπους.
Οι υπερασπιστές επιχειρήσεων πρέπει να βεβαιωθούν ότι κατανοούν το περιβάλλον DNS τους. Αυτό σημαίνει τεκμηρίωση πού αναπτύσσονται επί του παρόντος οι συσκευές επίλυσης DNS, πώς αλληλεπιδρούν οι εσωτερικές εγκαταστάσεις και οι πόροι cloud μαζί τους και πώς χρησιμοποιούν προηγμένες υπηρεσίες, όπως το Anycast και τα πρωτόκολλα ασφαλείας DNS.
«Θα μπορούσαν να υπάρχουν καλοί λόγοι συμμόρφωσης που οι επιχειρήσεις θέλουν να διατηρήσουν τα αυθεντικά περιουσιακά τους στοιχεία DNS στις εγκαταστάσεις», λέει ο Gilbert της Akamai, σημειώνοντας ότι το Shield NS53 επιτρέπει στις επιχειρήσεις να προσθέτουν προστατευτικούς ελέγχους διατηρώντας ανέπαφη την υπάρχουσα υποδομή DNS.
Η προστασία του DNS θα πρέπει επίσης να αποτελεί μέρος μιας συνολικής στρατηγικής πρόληψης κατανεμημένης άρνησης υπηρεσίας (DDoS), καθώς πολλές επιθέσεις DDoS ξεκινούν με εκμεταλλεύσεις DNS. Σχεδόν τα δύο τρίτα των επιθέσεων DDoS πέρυσι χρησιμοποίησαν κάποια μορφή εκμεταλλεύσεων DNS πέρυσι, σύμφωνα με τον Akamai.
Πριν αγοράσουν οτιδήποτε, οι διαχειριστές ασφαλείας πρέπει να κατανοήσουν τόσο το εύρος όσο και τους περιορισμούς της πιθανής λύσης που αξιολογούν. Για παράδειγμα, ενώ οι υπηρεσίες ασφαλείας DNS του Palo Alto καλύπτουν μια ευρεία συλλογή εκμεταλλεύσεων DNS εκτός από το NXDOMAIN, οι πελάτες λαμβάνουν αυτήν την ευρεία προστασία μόνο εάν διαθέτουν το τείχος προστασίας επόμενης γενιάς του προμηθευτή και εγγραφούν στην υπηρεσία πρόληψης απειλών.
Οι άμυνες DNS θα πρέπει επίσης να συνδέονται με μια ισχυρή υπηρεσία πληροφοριών απειλών, έτσι ώστε οι υπερασπιστές να μπορούν να εντοπίζουν και να ανταποκρίνονται γρήγορα σε πιθανές επιθέσεις και να μειώνουν τα ψευδώς θετικά αποτελέσματα. Προμηθευτές όπως οι Akamai, Amazon Web Services, Netscout, Palo Alto και Infoblox διαχειρίζονται μεγάλα δίκτυα συλλογής τηλεμετρίας που βοηθούν τα εργαλεία προστασίας DNS και DDoS να εντοπίσουν μια επίθεση.
Ο Οργανισμός Κυβερνοασφάλειας και Ασφάλειας Υποδομών έχει συγκεντρώσει μια σειρά από προτεινόμενες ενέργειες Αυτό περιλαμβάνει την προσθήκη ελέγχου ταυτότητας πολλαπλών παραγόντων στους λογαριασμούς των διαχειριστών DNS τους, καθώς και την παρακολούθηση αρχείων καταγραφής πιστοποιητικών και τη διερεύνηση τυχόν αποκλίσεων.
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.darkreading.com/remote-workforce/akamai-boosts-dns
