Zephyrnet-logotyp

Generativ dataintelligens

Cybersäkerhet

Nytt verktyg skyddar organisationer från NXDOMAIN-attacker

Återutgiven av Platon
Återutgiven av Platon

Datum:

Visningar: 61

Attacker mot Domain Name System (DNS) är många och varierande, så organisationer måste förlita sig på lager av skyddsåtgärder, såsom trafikövervakning, hotintelligens och avancerade nätverksbrandväggar, för att agera i samförstånd. Med NXDOMAIN-attacker på uppgång måste organisationer stärka sina DNS-försvar.

Med release av Shield NS53, Akamai ansluter sig till en växande lista av säkerhetsleverantörer med DNS-verktyg som kan försvara sig mot NXDOMAIN-attacker. Den nya tjänsten utökar Akamais Edge DNS-teknik i molnet till lokala distributioner.

I en NXDOMAIN-attack – även känd som en DNS Water Torture DDoS-attack – överväldigar motståndarna DNS-servern med en stor mängd förfrågningar om obefintliga (därav NX-prefixet) eller ogiltiga domäner och underdomäner. DNS-proxyservern använder de flesta, om inte alla, av sina resurser för att fråga den auktoritativa DNS-servern, till den punkt där servern inte längre har kapacitet att hantera eventuella förfrågningar, legitima eller falska. Fler skräpfrågor som träffar servern innebär att fler resurser – server-CPU, nätverksbandbredd och minne – behövs för att hantera dem, och legitima förfrågningar tar längre tid att behandla. När människor inte kan nå webbplatsen på grund av NXDOMAIN-fel, översätts det till potentiellt förlorade kunder, förlorade intäkter och skada på ryktet.

NXDOMAIN har varit en vanlig attackvektor i många år och håller på att bli ett större problem, säger Jim Gilbert, Akamais direktör för produkthantering. Akamai observerade att 40 % av de övergripande DNS-frågorna för sina 50 främsta finansiella tjänster innehöll NXDOMAIN-poster förra året.

Förstärker DNS-skyddet

Även om det är teoretiskt möjligt att försvara sig mot DNS-attacker genom att lägga till mer kapacitet – mer resurser innebär att det krävs större och längre attacker för att slå ner servrarna – är det inte ett ekonomiskt lönsamt eller skalbart tekniskt tillvägagångssätt för de flesta organisationer. Men de kan stärka sitt DNS-skydd på andra sätt.

Företagsförsvarare måste se till att de förstår sin DNS-miljö. Det innebär att dokumentera var DNS-lösare för närvarande är utplacerade, hur lokala och molnresurser interagerar med dem och hur de använder avancerade tjänster, som Anycast och DNS-säkerhetsprotokoll.

"Det kan finnas goda skäl för efterlevnad att företag vill behålla sina ursprungliga DNS-tillgångar i sina lokaler", säger Akamais Gilbert och noterar att Shield NS53 tillåter företag att lägga till skyddskontroller samtidigt som befintlig DNS-infrastruktur behålls intakt.

Att skydda DNS bör också vara en del av en övergripande DDoS-förebyggande strategi, eftersom många DDoS-attacker börjar med DNS-exploater. Nästan två tredjedelar av DDoS-attacker förra året använde någon form av DNS-utnyttjande förra året, enligt Akamai.

Innan de köper något måste säkerhetsansvariga förstå både omfattningen och begränsningarna för den potentiella lösning de utvärderar. Till exempel, medan Palo Altos DNS-säkerhetstjänster täcker en bred samling av DNS-exploater förutom NXDOMAIN, får kunder det breda skyddet endast om de har leverantörens nästa generations brandvägg och prenumererar på dess hotförebyggande tjänst.

DNS-försvar bör också knytas till en robust hotunderrättelsetjänst så att försvarare kan identifiera och reagera snabbt på potentiella attacker och minska falska positiva resultat. Leverantörer som Akamai, Amazon Web Services, Netscout, Palo Alto och Infoblox driver stora telemetri-insamlingsnätverk som hjälper deras DNS- och DDoS-skyddsverktyg att upptäcka en attack.

Byrån för cybersäkerhet och infrastruktur har sammanställt en rad rekommenderade åtgärder som inkluderar att lägga till multifaktorautentisering till kontona för deras DNS-administratörer, samt att övervaka certifikatloggar och undersöka eventuella avvikelser.

plats_img

Senaste intelligens

plats_img

Copyright @ 2024 Plato Technologies Inc.