DNSの保護は、デジタルネットワークのセキュリティにとってますます重要になっています—Vecloud

DNSとは何ですか？
つまり、ドメインネームシステム（DNS）は、インターネットを利用できるようにします。これは、テキストURLをデジタルインターネットアドレスに変換するためのキーディレクトリルックアップ機能として使用されます。このデジタルインターネットアドレスは、デバイスがWebサイト、電子メール、およびその他のインターネットアプリケーションに接続するために使用します。
組織は、人々がインターネット上で簡単に見つけられるように、DNSでURLを公開しています。DNSの障害が原因で顧客がウェブサイトにアクセスできない場合、顧客は経済的、評判、またはその他の形態の損害を被る可能性があります。DNSが動作不能の場合、ネットワーク上に表示されません。
DNSはインターネットの運用に不可欠であるため、DNSは攻撃のターゲットとしてだけでなく、攻撃ツールとしても機能します。DNSがファイアウォールを通過してネットワークに出入りできるようにする必要がある場合は、DNSを使用してネットワークを介して攻撃を実行します。
ネットワークエンジニアは、ネットワークをより完全に保護するために、DNSの脆弱性と防御策に注意を払う必要があります。
DNS攻撃の観察
調査の主な調査結果では、回答者の半数以上が過去12か月間に何らかの形のマルウェアまたはランサムウェア攻撃を経験しており、それらの約15％が何らかの形の評判を示しており、 /または経済的損失。
2016年のCiscoSecurity Reportによると、すべてのマルウェアとランサムウェアがDNSを使用しているわけではありませんが、マルウェアの90％以上がDNSを使用して、インターネット経由でマルウェア作成者のコマンドおよびコントロールセンターに接続しています。このようにして、感染したデバイスにインストールされたマルウェアは、攻撃命令を受信し、マルウェアの更新をダウンロードし、ネットワーク内から収集された機密情報をエクスポートできます。したがって、DNSの監視とDNSのファイアウォール保護は、マルウェアまたはランサムウェアのアクティビティと拡散の検出と防止につながる可能性があります。
このようなマルウェアやランサムウェアの侵入に加えて、回答者は、サービスの拒否または分散型のサービスの拒否（DoS /
DDoS）攻撃は、DDoS、ドメインハイジャック、およびDNSキャッシュポイズニングを反映しています。DNSキャッシュポイズニングは、「実際の」サーバーまたは権限のあるサーバーが応答する前に、攻撃者が特定のターゲットのクエリに応答した場合に発生する可能性があります。応答内の他のパラメーターがクエリを補足する必要があるため、DNSサーバーキャッシュのポイズニングは簡単な作業ではありません。ただし、このタイプの攻撃は、疑いを持たないユーザーを乗っ取ってWebサイトになりすます可能性があり、強力なドメイン名乗っ取り攻撃も乗っ取る可能性があります。これらは、ユーザーまたはユーザーの親ゾーンのDNSサーバーの情報を操作します。
防御策
これらのDNS攻撃ベクトルを考えると、DNSやその他のネットワーク、およびDNSを使用するコンピューティング要素を対象とする攻撃ベクトルの多様性には、効果的に防御するためのさまざまな戦略が必要です。これらの戦略の多くは、他のDNSおよび通常のネットワークセキュリティ戦略と併用すると、防御の詳細な方法にも貢献します。
回答者の半数以上が
、アクセス制御リスト（ACL）、DoS / DDoS保護、クエリ監視およびフォレンジック機能、および侵入範囲を含む役割ベースの展開のための基本的なセキュリティ対策を完全に実装しています。回答者のほぼ半数がDNSサーバーの拡張を実装しており、別の30％が2年以内に実装または実装を計画しています。
回答者の4分の1以上が、DNSファイアウォール機能を完全に実装しています。これは、マルウェアがコマンドアンドコントロールセンターに接続しようとするのを検出して防止するための効果的な方法です。DNSファイアウォールポリシーを使用すると、ポリシーの適用により、このようなクエリをブロックしたり、クエリの回答をリダイレクトして、デバイスを緩和ポータルに接続して修復することができます。回答者の75％近くが、2年以内にDNSファイアウォールソリューションを実装することを計画しています。これは、この最も一般的な形式のDNS攻撃からの防御に役立つはずです。
今後2年間で、回答者の40％がDNS Security Extensions（DNSSEC）をサポートまたはサポートする予定です。
DNSSECは、DNS解決に関連するデジタル署名を提供し、ユーザーがそのような応答を認証できるようにすることで、キャッシュポイズニングによって引き起こされる可能性のあるドメインハイジャックの可能性を大幅に減らします。DNSSECの初期の実装は初期化と保守が困難でしたが、多くのオープンソースおよび商用製品は現在、ほとんどまたはすべてのパスワード設定と保守を自動化しています。残念ながら、回答者の20％未満が、DNSSECの署名または検証を維持するのが簡単であることに同意または強く同意しているため、この複雑さの認識は依然として広まっていることがわかりました。
今日のDNSセキュリティの状態。
全体として、ITおよび運用エンジニアとマネージャーがDNSセキュリティとそれがより広範なネットワークセキュリティに与える影響について懸念していることは明らかです。彼らは、DNSによって提供される脆弱性を認識しています。これは、重要なネットワークサービスであり、ネットワーク全体とネットワークファイアウォールを介したオープンな送信を必要とする必要なネットワークプロトコルの両方です。この認識にもかかわらず、DNSセキュリティ対策の実装は比較的穏やかです。ほとんどの人は基本的に基本的な管理措置を実施していますが、誰もがそのような措置を講じることが最善です。
ネットワークセキュリティを保護することで認識されている価値にもかかわらず、ほとんどの人は、DNSファイアウォールやDNSSECなど、他のより複雑な制御手段をまだ多数実装していません。DNSSECの複雑さと、DNSファイアウォールの構成と保守の不確実性により、これまでのところ展開が妨げられてきました。
VeCloudは香港に本社を置き、中国の北京と深センに支社を置いています。企業にコアビジネスとしてクラウド交換ネットワークサービスを提供する技術革新企業です。革新的なクラウドネットワークテクノロジーと高品質のグローバルネットワークおよびIDCデータセンターリソースに基づいて、世界に直接接続され、すばやくアクセスできるVeConnectプラットフォームがリリースされ、ネットワークサービスプロバイダー、IDCデータセンター、クラウドサービスプロバイダー、およびエンタープライズアプリケーションサービスプロバイダーの直接接続が実現されます。接続して通信し、企業に効率的、安全、安定、信頼性の高いネットワーク接続サービスを提供します。http://www.vecloud.com/products/it-outsourcing.html