Alrededor de las 19:00 de la tarde del 19 de mayo de 2009, muchas personas descubrieron mientras navegaban por Internet que los principales portales como Sina, Sohu y NetEase eran inaccesibles. Una piedra provocó mil olas: en los dos días del 19 al 20 se produjo una parálisis a gran escala de Internet en muchas provincias del país. Después de una investigación, se descubrió que esto se debía a fallas de diseño en un conocido software de audio y video y a la falta de robustez del software DNS inteligente y gratuito, lo que permitía que los ataques DDoS se aprovecharan de él. Hoy, cuando recordamos el "Incidente de interrupción de Internet 519", lo que más nos hace pensar no son los ciberataques a los que la gente se ha acostumbrado, sino la vulnerabilidad del sistema de resolución de nombres de dominio, el objetivo de los ciberataques.
"La ciberseguridad es para las personas, y la ciberseguridad depende de las personas." Cuando meditemos sobre el tema de la Semana Nacional de Publicidad de la Ciberseguridad de 2023, ¿nos preguntaremos también, como primera puerta de la seguridad de la red, si la seguridad del nombre de dominio El sistema ha recibido suficiente atención. ¿Prestar atención? ¿Cómo podemos proteger mejor la seguridad del sistema de nombres de dominio?
Los ataques son tan feroces como los tigres y
no se puede ignorar la seguridad de los recursos básicos clave de Internet.
En la era de "Internet+", las amenazas y riesgos a la seguridad, como el ransomware, el fraude en línea y la fuga de información, son omnipresentes y generalizados. "Los nombres de dominio son la entrada a Internet y la baliza de navegación para el tráfico. Proteger la seguridad de la entrada es de gran importancia para mantener la seguridad de la red", dijo Xing Zhijie, director ejecutivo del Centro Conjunto Nacional y Local de Investigación de Ingeniería de Dominios de Internet. Sistema de nombres (ZDNS).
Xing Zhijie, director ejecutivo del Centro Conjunto Nacional y Local de Investigación de Ingeniería para el Sistema de Nombres de Dominio de Internet (ZDNS)
¿Cuáles son las causas fundamentales de los riesgos de seguridad de la red? Retiremos el capullo y desmantelemos el sistema arquitectónico de tres capas de Internet (capa de instalación física, capa de recursos básicos, capa de aplicación) capa por capa: la capa de instalación física más baja incluye la red básica, el equipo de transmisión, el equipo de interconexión, el sistema de acceso, etc. Constituye lo que a menudo llamamos la autopista de la información, y la capa superior de aplicaciones incluye diversas aplicaciones de Internet, como el comercio electrónico, el gobierno electrónico, los juegos en línea, las comunicaciones por vídeo, etc., como un coche que circula a toda velocidad por una autopista. ; en También hay una capa de recursos básicos entre estas dos capas, incluido el sistema de nombres de dominio y el sistema de enrutamiento. El sistema de nombres de dominio es como el sistema de navegación en el tráfico. Si el sistema de navegación de Internet falla, la desconexión será inevitable. Dado que la infraestructura clave de Internet, como los servidores raíz y los nombres de dominio de nivel superior, se encuentran en esta capa, la gente está acostumbrada a comparar esta capa con la "base de la red".
La industria ya ha hablado mucho sobre instalaciones físicas y aplicaciones de capa superior, por lo que no entraremos en detalles aquí. Por el contrario, es la capa de recursos básicos, porque es "visible pero intangible", y la gente la da por sentado cuando accede a Internet. A veces, simplemente haga clic con el mouse o ingrese una URL simple, y las aplicaciones en línea pueden ser Con al alcance de su mano, ¿quién prestaría atención a los riesgos de seguridad que implica el DNS (Sistema de nombres de dominio) detrás de él?
"El DNS en la capa de recursos básicos es relativamente 'invisible', al igual que el 'aire y el agua' en el mundo de Internet. Los usuarios básicamente desconocen su existencia en momentos normales y solo se alertarán cuando algo salga mal. Al igual que el Los incidentes del 'apagón 519' en Internet han tenido un impacto negativo y irritarán los nervios de la gente". Xing Zhijie analizó que en un recurso de red básico tan crítico, el estado general de la seguridad de los nombres de dominio no es optimista.
Profundizando en la causa raíz, desde un nivel nacional, el DNS enfrenta tres desafíos principales, a saber, "cortar la raíz", "cortar el servicio" y "cortar el suministro". El llamado "corte de raíz" se refiere al cierre de los nombres de dominio nacionales de nivel superior, negando a los usuarios chinos el acceso a los servidores raíz; "corte de servicio" se refiere al bloqueo de la interconexión global de los nombres de dominio institucionales chinos a través de nombres de dominio de nivel superior. derechos de gestión; "cortar el suministro" significa dejar de proporcionar software y equipos básicos de nombres de dominio a mi país.
La situación actual es que existen 13 servidores raíz en el mundo, distribuidos principalmente en Estados Unidos, Europa y otros países y regiones, actualmente solo se implementan servidores raíz espejo en China. Hay aproximadamente 1.500 nombres de dominio de alto nivel en el mundo y menos del 3% de ellos tienen derechos de gestión en China. Aunque hay decenas de millones de conjuntos de software y equipos que ejecutan el sistema de nombres de dominio en nuestro país, más del 90% utiliza software de nombres de dominio extranjero. Debido a la impredecible situación internacional, "cortar la raíz", "cortar el servicio" y "cortar el suministro" no son palabras alarmistas. Los desafíos de seguridad que enfrenta el DNS no se pueden evitar. China necesita una base de red más segura.
Desde el nivel empresarial y organizacional, la actual transformación digital en pleno apogeo requiere una base de red más segura como premisa y fundamento. Por un lado, cada vez más datos dentro de las empresas y organizaciones se transfieren en línea; por otro lado, los servicios prestados a los usuarios también se implementan en línea. Sin una base de red segura, los datos, las aplicaciones y las empresas en estas redes tendrán dificultades.
Desde la perspectiva de los usuarios individuales, el fraude de telecomunicaciones, los programas maliciosos, diversos incidentes de phishing, etc., mantienen un rápido crecimiento. Al mismo tiempo, los ataques de piratas informáticos y los incidentes de fuga de información personal a gran escala ocurren con frecuencia, lo que resulta en la fuga de grandes cantidades de información personal. información y mayores pérdidas patrimoniales. El "Informe anual de exposición de identidad de 2023" publicado por SpyCloud muestra que en 2022, se descubrió que se filtró un total de 721,5 millones de información de cuentas en importantes incidentes de seguridad y más de 22 millones de dispositivos en todo el mundo fueron infectados con malware.
Muchos hechos han demostrado que sólo salvaguardando la línea de seguridad del DNS y estableciendo mecanismos y medidas de protección integrales y sistemáticas podemos garantizar la estabilidad a largo plazo del acceso a la red. ¿Quién puede asumir la responsabilidad de la seguridad de los DNS
si son inherentemente frágiles y deficientes ?
Para DNS, la importancia y la vulnerabilidad coexisten. A juzgar por la tendencia de los ataques a la red en los últimos años, los ataques contra DNS van en aumento. Las estadísticas muestran que: Los ataques DNS DDoS representan el 33% del número total de ataques; se encontró que casi el 91,3% del malware utiliza DNS como medio principal; casi el 68% de las empresas carecen de medidas efectivas de monitoreo de seguridad para servidores DNS recursivos; servicios DNS como canal encubierto Puede ser explotado por atacantes en múltiples eslabones de la cadena de ataque... Se puede ver que es urgente fortalecer la protección de seguridad del DNS.
En general, la seguridad de los nombres de dominio es una deficiencia de la seguridad general de la red. ¿Por qué la base de seguridad del DNS tradicional es tan débil? Xing Zhijie dio la siguiente explicación.
En primer lugar, el protocolo DNS es simple y fácil de dominar, lo que equivale a reducir el umbral de ataque. El protocolo DNS, que nació en 1983, no consideró plenamente las cuestiones de seguridad de los datos al inicio de su diseño. Utiliza un mecanismo de autenticación sin fuente y utiliza transmisión de texto claro, sin integridad ni verificación de confidencialidad. Por lo tanto, con el crecimiento explosivo de la escala de la red y el deterioro continuo del entorno de la red, el DNS es extremadamente vulnerable a diversos ataques como el envenenamiento de la caché, la interceptación de información y el secuestro de nombres de dominio, lo que abre un "tragaluz" para la filtración de datos de privacidad del usuario.
En segundo lugar, el coste del ataque es bajo, pero los beneficios son muy altos. El desarrollo y activación de herramientas de ataque contra DNS es muy simple: una vez obtenido, debido a que está en la "entrada" de la red, el efecto del ataque es muy obvio, lo que permite a los atacantes obtener fácilmente grandes ganancias, por lo que los atacantes acuden en masa.
Por último, DNS no ha establecido un sistema de defensa específico. Los métodos tradicionales de protección de la seguridad (como firewalls, IPS, gestión del comportamiento de Internet, etc.) no pueden defenderse de manera integral y efectiva contra diversos ataques al DNS. Además, carecen de métodos de detección efectivos para las amenazas del DNS y no pueden detectar el abuso de nombres de dominio y otras situaciones en un manera oportuna.
Desde un punto de vista práctico, una vez que ocurre un problema de seguridad en el DNS, básicamente causará problemas de red a gran escala e incluso se convertirá en un problema de seguridad nacional. Ha habido muchos casos en el país y en el extranjero en los que el DNS ha sido atacado, lo que ha resultado en una resolución anormal de nombres de dominio, interrupción del servicio de red o incluso una parálisis completa. En respuesta a esta situación, ZDNS tomó la iniciativa al proponer la visión de un "DNS de próxima generación", priorizando la seguridad, y se compromete a crear un DNS de próxima generación caracterizado por "un DNS más seguro, más eficiente, más inteligente, autónomo y controlable". "Promover la evolución continua, segura y eficiente de la infraestructura de red.
Poner la seguridad en primer lugar
para crear la próxima generación de DNS
La gente profesional hace cosas profesionales. Desde el establecimiento de la empresa hasta las operaciones comerciales hasta ahora, ZDNS ha pasado por diez años de arduo trabajo y ha organizado un equipo de casi 400 personas, una escala tal que no tiene igual en el campo global del DNS. ZDNS siempre ha considerado la innovación tecnológica como la base de la empresa. En respuesta a las deficiencias y deficiencias del DNS en seguridad, ZDNS integra profundamente la tecnología de seguridad con la tecnología DNS desde las tres dimensiones de cifrado, inteligencia de amenazas y tecnología de inteligencia artificial, liderando el desarrollo de la próxima generación de DNS.
En primer lugar, combinado con la tecnología de cifrado, ZDNS logra la sincronización segura de la transmisión y distribución del DNS. A través de HTTPDNS, DOH, DOT, DNSSEC y otras tecnologías, rompe las limitaciones del protocolo de transmisión UDP y mejora la seguridad y la controlabilidad del DNS tradicional. transmisión del sistema.
En segundo lugar, combinado con la tecnología de inteligencia de amenazas, ZDNS ha creado un circuito cerrado de capacidades de "predicción, defensa, detección y trazabilidad" de amenazas a la seguridad, interceptando amenazas como programas maliciosos y sitios web de phishing en la "capa de entrada" y rastreando sus fuentes hasta los sitios comprometidos. terminales. A través de la detección de amenazas, la línea de base de seguridad, el bloqueo de amenazas, el rastreo de eventos y otras tecnologías, ZDNS logra visibilidad de la situación, procesamiento activo, rastreo rápido de fuentes y cambia la protección pasiva por identificación y protección activas.
Finalmente, al hacer pleno uso de la tecnología de aprendizaje profundo y big data, ZDNS puede descubrir y detectar características de ataque, prevenir túneles DNS y prevenir riesgos de fuga de datos; al mismo tiempo, puede identificar y prevenir eficazmente ataques DDoS para garantizar confiabilidad del servicio, a través de túneles DNS, DGA y espionaje de nombres de dominio. La protección y otras tecnologías bloquean la penetración de la seguridad mediante DNS y evitan incidentes de seguridad como la fuga de datos.
Con base en las tres principales estrategias de seguridad anteriores, ZDNS ha creado un DNS de próxima generación más seguro y también ha creado un sistema de seguridad para el DNS de próxima generación con transmisión confiable, bloqueo de amenazas y servicio confiable. Hasta ahora, ZDNS ha proporcionado soluciones de programación y recuperación de desastres multiactivas de aplicaciones de centros de datos para más del 80% de las instituciones financieras en el TOP100, mejorando las capacidades de recuperación de desastres empresariales; ha proporcionado sistemas de servicios básicos de instalaciones de red para más del 70% de los clientes de las 500 principales empresas de China. Soluciones para crear una plataforma de servicios de red central eficiente, inteligente, ágil y segura; proporciona al 68% de los clientes de asuntos gubernamentales servicios de red básicos autónomos, controlables, inteligentes y eficientes para satisfacer las necesidades de intercambio, seguridad, controlabilidad, flexibilidad e inteligencia... …
Tres pilares de seguridad importantes
construyen una base sólida de red
A nivel nacional, mi país otorga gran importancia a la seguridad del desarrollo del DNS, y los documentos de políticas relevantes han presentado requisitos claros y específicos para la seguridad del DNS. Por ejemplo, el "13.º Plan Quinquenal Nacional de Informatización" (Guofa [2016] No. 73) propone "garantizar el funcionamiento normal del sistema de servicios de nombres de dominio en la parte continental de mi país cuando los sistemas de servicios de dominio de nivel superior raíz y clave son anormales" y "fortalecer la supervisión de seguridad, con el respaldo de medios técnicos de protección integral, mejorar la seguridad de la red y las capacidades de respuesta de emergencia del sistema de nombres de dominio de mi país". El Ministerio de Industria y Tecnología de la Información también señaló en el "XIV Plan Quinquenal para el Desarrollo de la Industria de la Información y las Comunicaciones" y el "XIV Plan Quinquenal para el Desarrollo de la Industria de Servicios de Tecnología de la Información y Software" que " fortalecer integralmente la gestión básica de Internet, fortalecer la gestión de direcciones de red e introducir ordenadamente servidores espejo raíz de nombres de dominio de Internet". "Esforzarse por mejorar la capacidad de defensa contra ataques de red a gran escala, fortalecer la seguridad de los servicios de nombres de dominio públicos, garantizar el desarrollo de capacidades, y prevenir y contener incidentes importantes de seguridad de la red". Esto también señala la dirección y el camino para la futura evolución de la seguridad del DNS.
De conformidad con el desarrollo de la industria y las necesidades de los clientes, ZDNS aboga por consolidar continuamente la base de seguridad de los servicios de nombres de dominio desde las tres dimensiones de seguridad del sistema, seguridad de la arquitectura y seguridad central.
En términos de construcción de seguridad del sistema, el trabajo principal es estandarizar el uso del espacio de nombres de dominio, controlar los cambios en el uso del espacio de nombres de dominio y el estado del servicio de nombres de dominio; realizar la observación, comprensión y predicción de los servicios DNS y guiar con precisión el dominio. gestión de protección de seguridad de nombres. La premisa y el núcleo del trabajo anterior es establecer estándares industriales relevantes. En la actualidad, el propio ZDNS ha liderado la formulación de 5 estándares internacionales IETF y 20 estándares de la industria nacional. La sede y las subsidiarias han solicitado más de 100 patentes y han sido autorizadas 46 de ellas. Bajo la guía de mejorar continuamente los estándares de la industria, el sistema Se ha implementado construcción de seguridad en el lugar Real.
Para garantizar la seguridad de la arquitectura, es necesario realizar la separación de humanos y computadoras, la separación de lo interno y lo externo, la separación de autoridad y la recursividad, la separación de los negocios de AD y la separación de los negocios y la gestión. Sólo logrando la integración ecológica de la infraestructura de red se podrán lograr los efectos de aplicación antes mencionados.
Para garantizar la seguridad central, es necesario realizar un control independiente de la tecnología del motor analítico y evitar riesgos importantes. Esto requiere la inversión de más trabajadores en investigación y desarrollo de tecnología y, al mismo tiempo, fortalecer la investigación y el desarrollo de tecnologías de red básicas, como los nombres de dominio, para construir una base sólida para la red.
La seguridad es el resultado final que debe observarse. La seguridad de la resolución de nombres de dominio se logra mediante tecnología independiente, algoritmos secretos nacionales, gestión y control de amenazas, confiabilidad de los datos, protección de la privacidad, etc. y, al mismo tiempo, está perfectamente conectado con sistemas operativos, chips y otra infraestructura para crear conjuntamente una base de red independiente y controlable, que proporciona una red poderosa y digital China Construction brinda soporte confiable, que es la misión histórica encomendada a las empresas de DNS en la época.
