Zephyrnet-logo

Generativ dataintelligens

Cyber ​​Security

Nytt verktøy beskytter organisasjoner fra NXDOMAIN-angrep

Publisert av Platon
Publisert av Platon

Dato:

Visninger: 61

Angrep mot Domain Name System (DNS) er mange og varierte, så organisasjoner må stole på lag med beskyttende tiltak, for eksempel trafikkovervåking, trusseletterretning og avanserte nettverksbrannmurer, for å handle i samspill. Med NXDOMAIN-angrep på vei oppover, må organisasjoner styrke DNS-forsvaret.

Med utgivelse av Shield NS53, Akamai slutter seg til en voksende liste over sikkerhetsleverandører med DNS-verktøy som er i stand til å forsvare seg mot NXDOMAIN-angrep. Den nye tjenesten utvider Akamais Edge DNS-teknologier i skyen til lokale distribusjoner.

I et NXDOMAIN-angrep – også kjent som et DNS Water Torture DDoS-angrep – overvelder motstandere DNS-serveren med et stort volum av forespørsler om ikke-eksisterende (derav NX-prefikset) eller ugyldige domener og underdomener. DNS-proxy-serveren bruker de fleste, om ikke alle, av ressursene sine på å spørre den autoritative DNS-serveren, til det punktet hvor serveren ikke lenger har kapasitet til å håndtere forespørsler, legitime eller falske. Flere søppelforespørsler som treffer serveren betyr at flere ressurser – server-CPU, nettverksbåndbredde og minne – trengs for å håndtere dem, og legitime forespørsler tar lengre tid å behandle. Når folk ikke kan nå nettstedet på grunn av NXDOMAIN-feil, betyr det potensielt tapte kunder, tapte inntekter og skade på omdømmet.

NXDOMAIN har vært en vanlig angrepsvektor i mange år, og er i ferd med å bli et større problem, sier Jim Gilbert, Akamais direktør for produktledelse. Akamai observerte at 40 % av de totale DNS-forespørslene for sine 50 beste finansielle tjenester-kunder inneholdt NXDOMAIN-poster i fjor.

Forsterker DNS-beskyttelsen

Selv om det er teoretisk mulig å forsvare seg mot DNS-angrep ved å legge til mer kapasitet – flere ressurser betyr at det tar større og lengre angrep for å slå ned serverne – er det ikke en økonomisk levedyktig eller skalerbar teknisk tilnærming for de fleste organisasjoner. Men de kan styrke DNS-beskyttelsen på andre måter.

Bedriftsforsvarere må sørge for at de forstår DNS-miljøet deres. Dette betyr å dokumentere hvor DNS-løsere for øyeblikket er utplassert, hvordan lokale og skyressurser samhandler med dem, og hvordan de bruker avanserte tjenester, som Anycast og DNS-sikkerhetsprotokoller.

"Det kan være gode overholdelsesgrunner til at bedrifter ønsker å beholde sine originale DNS-ressurser på stedet," sier Akamais Gilbert, og bemerker at Shield NS53 lar bedrifter legge til beskyttende kontroller samtidig som eksisterende DNS-infrastruktur holdes intakt.

Beskyttelse av DNS bør også være en del av en overordnet distribuert denial-of-service (DDoS) forebyggingsstrategi, siden mange DDoS-angrep begynner med DNS-utnyttelse. Nesten to tredjedeler av DDoS-angrepene i fjor brukte en form for DNS-utnyttelse i fjor, ifølge Akamai.

Før de kjøper noe, må sikkerhetsledere forstå både omfanget og begrensningene til den potensielle løsningen de vurderer. For eksempel, mens Palo Altos DNS-sikkerhetstjenester dekker en bred samling av DNS-utnyttelser i tillegg til NXDOMAIN, får kundene den brede beskyttelsen bare hvis de har leverandørens neste generasjons brannmur og abonnerer på dens trusselforebyggingstjeneste.

DNS-forsvar bør også knyttes til en robust trusseletterretningstjeneste slik at forsvarere kan identifisere og reagere raskt på potensielle angrep og redusere falske positiver. Leverandører som Akamai, Amazon Web Services, Netscout, Palo Alto og Infoblox driver store telemetri-innsamlingsnettverk som hjelper deres DNS- og DDoS-beskyttelsesverktøy å oppdage et angrep.

Cybersecurity and Infrastructure Security Agency har satt sammen en rekke anbefalte handlinger som inkluderer å legge til multifaktorautentisering til kontoene til deres DNS-administratorer, samt overvåke sertifikatlogger og undersøke eventuelle avvik.

spot_img

Siste etterretning

spot_img

Copyright @ 2024 Plato Technologies Inc.