התקפות נגד מערכת שמות הדומיין (DNS) הן רבות ומגוונות, ולכן ארגונים צריכים להסתמך על שכבות של אמצעי הגנה, כגון ניטור תעבורה, מודיעין איומים וחומות אש מתקדמות ברשת, לפעול בשיתוף פעולה. עם עלייה במתקפות NXDOMAIN, ארגונים צריכים לחזק את הגנת ה-DNS שלהם.

עם שחרור של Shield NS53, Akamai מצטרף לרשימה הולכת וגדלה של ספקי אבטחה עם כלי DNS המסוגלים להגן מפני התקפות NXDOMAIN. השירות החדש מרחיב את טכנולוגיות Edge DNS של Akamai בענן לפריסות מקומיות.

בהתקפת NXDOMAIN - הידועה גם בתור מתקפת DNS Water Torture DDoS - יריבים מציפים את שרת ה-DNS בנפח גדול של בקשות לא קיימים (ומכאן הקידומת NX) או לא חוקיים של דומיינים ותת-דומיינים. שרת ה-Proxy DNS משתמש ברוב, אם לא את כל, המשאבים שלו בשאילתות לשרת הסמכותי של ה-DNS, עד לנקודה שבה לשרת אין עוד יכולת לטפל בבקשות כלשהן, לגיטימיות או מזויפות. יותר שאילתות זבל שפוגעות בשרת משמעו יותר משאבים - מעבד שרת, רוחב פס רשת וזיכרון - הדרושים לטיפול בהן, ולעיבוד בקשות לגיטימיות לוקח זמן רב יותר. כאשר אנשים לא יכולים להגיע לאתר בגלל שגיאות NXDOMAIN, זה מתורגם לפוטנציאל אובדן לקוחות, אובדן הכנסות ופגיעה במוניטין.

NXDOMAIN הוא וקטור התקפה נפוץ במשך שנים רבות, והוא הופך לבעיה גדולה יותר, אומר ג'ים גילברט, מנהל ניהול המוצר של Akamai. Akamai צפה ב-40% משאילתות ה-DNS הכוללות עבור 50 לקוחות השירותים הפיננסיים המובילים שלה הכילו רשומות NXDOMAIN בשנה שעברה.

הגברת הגנת DNS

למרות שבאופן תיאורטי אפשר להתגונן מפני התקפות DNS על ידי הוספת קיבולת נוספת - יותר משאבים פירושו שנדרש התקפות גדולות יותר ויותר כדי להפיל את השרתים - זו לא גישה טכנית כלכלית או מדרגית עבור רוב הארגונים. אבל הם יכולים להגביר את הגנת ה-DNS שלהם בדרכים אחרות.

מגיני ארגונים צריכים לוודא שהם מבינים את סביבת ה-DNS שלהם. משמעות הדבר היא תיעוד היכן פרוסים כעת פותרי DNS, כיצד אינטראקציה מקומית ומשאבי ענן עמם וכיצד הם עושים שימוש בשירותים מתקדמים, כגון Anycast ופרוטוקולי אבטחה של DNS.

"יכולות להיות סיבות טובות לציות לכך שארגונים רוצים לשמור את נכסי ה-DNS המקוריים שלהם במקום", אומר Gilbert של Akamai, ומציין ש-Shield NS53 מאפשר לארגונים להוסיף בקרות הגנה תוך שמירה על תשתית DNS קיימת ללא פגע.

הגנה על DNS צריכה להיות גם חלק מאסטרטגיית מניעת מניעת שירות מבוזרת הכוללת (DDoS), שכן התקפות DDoS רבות מתחילות עם ניצול DNS. כמעט שני שלישים ממתקפות DDoS בשנה שעברה השתמשו בסוג כלשהו של ניצול DNS בשנה שעברה, לפי Akamai.

לפני רכישה של משהו, מנהלי אבטחה צריכים להבין גם את ההיקף וגם את המגבלות של הפתרון הפוטנציאלי שהם מעריכים. לדוגמה, בעוד ששירותי אבטחת ה-DNS של Palo Alto מכסים אוסף רחב של ניצול DNS מלבד NXDOMAIN, הלקוחות מקבלים הגנה רחבה זו רק אם יש להם חומת האש מהדור הבא של הספק והם מנויים לשירות מניעת האיומים שלו.

הגנות DNS צריכות גם להתחבר לשירות מודיעין איומים חזק, כך שמגנים יוכלו לזהות ולהגיב במהירות להתקפות אפשריות ולהפחית תוצאות כוזבות. ספקים כמו Akamai, Amazon Web Services, Netscout, Palo Alto ו-Infoblox מפעילים רשתות גדולות לאיסוף טלמטריה המסייעות לכלי הגנת ה-DNS וה-DDoS שלהם לזהות מתקפה.

הסוכנות לאבטחת סייבר ותשתיות הרכיב שורה של פעולות מומלצות זה כולל הוספת אימות רב-גורמי לחשבונות של מנהלי ה-DNS שלהם, כמו גם ניטור יומני אישורים וחקירת אי-התאמות.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/remote-workforce/akamai-boosts-dns