网络威胁在如今的网路世界里无疑是重中之重的首要问题。业务数据、应用程序与网络的完整性、机密性和可用性对于当前的大多数组织至关重要。确保实现这些信息安全重要原则是第一线运营安全团队和C级管理人员同样关注的问题,因为安全漏洞在停机时间、失去知识产权和不利的媒体报道方面的成本可能十分高昂。
Arbor Networks报告深入探究企业组织所面临的重要网络威胁。它研究了网络威胁如何演变、这些威胁如何影响我们以及我们如何保护自己。本文是Arbor Networks第八份年度全球基础设施安全报告(WISR)以及Arbor的ATLAS主动威胁级别分析系统,本文中阐明关键基础设施服务:是否安全?以及建议的保护措施。
在除了考虑企业自己的服务和网络的受攻击面,组织还应评估支撑它们的外部服务。在某些情况下,外部基础设施服务可以使攻击者更容易地以业务为目标,从而绕过严阵以待的防御措施。DNS服务便是一个好示例。
客户、合作伙伴和员工使用域名而不是IP地址访问服务。为进行通信,这些主机名通常使用DNS解析为IP地址。如果DNS解析失败,则服务不可访问,即使它们可能表现得运行正常。
提供DNS服务的WISR受访者中有稍多于四分之一的调查者于调查期中在其DNS基础设施上遇到过影响客户的DDoS攻击,与上一年中12%的受访者相比有了显著提高。攻击者知道许多组织升级了其防御措施,正在寻找使他们可以实现其目标的漏洞。以某个域的权威DNS服务器为目标便是这样一种方法。
提供DNS服务的WISR受访者中有大约19%指出,其组织中没有正式负责DNS安全的安全组(请参见下图)。组织应尽可能确保其服务提供商充分保护其DNS基础设施免受攻击。DNS服务器经常是针对组织的间接攻击的目标,不过也可以用作武器。
一种称为DNS反射/放大的DDoS攻击对依赖于Internet是否存在的组织构成日益严重的威胁。例如,请考虑对Spamhaus进行的最近攻击,Spamhaus遭受了非常巨大的流量大约300 Gbps的DNS反射/放大攻击。
DDoS攻击大小峰值(2012年1月–2013年3月)
DNS反射/放大攻击包括攻击者向Internet上的开放DNS解析程序发送小型DNS查询,从而将查询的源IP地址伪装成目标攻击受害者的IP地址。该查询经过巧妙设计,可导致DNS服务器发出大型响应。事实上,响应比初始查询要大许多倍,可放大攻击流量。通过使用多个客户端计算机(僵尸程序)向多个开放DNS解析程序发送查询,攻击者可以从广泛分布的源生成非常巨大的恶意流量。
当前的企业应采取以下措施来保护其关键DNS基础设施:
- DNS服务器应使用特定用途的IDMS解决方案(如本文前面所述)进行保护。
- 应采用服务提供商或基于云的DDoS缓解来应对大容量DDoS攻击。
- 运营安全团队应负责在DNS基础设施上监视流量以及检测和缓解威胁。
- 运行开放解析程序的组织应针对在这些服务器上实施身份验证机制来采取措施,以限制其暴露情况。
- 外包其DNS服务的组织应确保其服务提供商采取了这些措施。
Arbor的ATLAS系统是独一无二的,因为它是现有的唯一全球范围威胁分析系统。ATLAS利用Arbor的服务提供商客户群体、Arbor安全工程和响应团队(ASERT)以及与安全社区中其他组织之间的关系,来整理和关联与当前安全威胁和Internet流量模式有关的信息。截止至2013年6月,已有270个ISP客户选择加入ATLAS,同意共享匿名流量和攻击数据。撰写本文之时,Arbor的ATLAS系统监视45 Tbps以上的IPv4流量,从而可提供针对全球威胁局势的独特见解。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
未来企业数据安全威胁及保护措施
Raluca Ada Popa是加州大学伯克利分校电子工程和计算机科学系助理教授,也是该学院RISELab的联 […]
-
2017年网络安全四个预测
分析过去的网络威胁数据,查找可用以帮助客户更好地应对未来网络威胁的趋势和方法,是很有益的。在过去的一年中,有一些安全趋势是很明显的,我们可以用来为新的一年提供指南和策略。
-
如何处理网络基础设施的带外管理?
前不久,美国计算机紧急预备小组联手美国国土安全部向网络安全专业人员发布了国家网络安全感知系统建议,其中包含6个建议方法以缓解对网络基础设施设备的威胁,包括带外管理……
-
矛与盾的悖论:加密 or 削弱加密?
美总统奥巴马发表全国讲话时呼吁要“让恐怖分子更难使用加密技术来逃避法律制裁”,而在政府呼吁削弱加密技术与增强加密技术以保护个人数据之间普遍存在争论……