Etki Alanı Adı Sistemine (DNS) yönelik saldırılar çok sayıda ve çeşitlidir, bu nedenle kuruluşların güvenlik katmanlarına güvenmesi gerekir. koruyucu önlemlertrafik izleme, tehdit istihbaratı ve gelişmiş ağ güvenlik duvarları gibi teknolojilerin birlikte hareket etmesini sağlar. NXDOMAIN saldırılarının artmasıyla birlikte kuruluşların DNS savunmalarını güçlendirmeleri gerekiyor.
İle Shield NS53’ün piyasaya sürülmesiAkamai, NXDOMAIN saldırılarına karşı savunma yapabilen DNS araçlarına sahip, giderek büyüyen güvenlik sağlayıcıları listesine katılıyor. Yeni hizmet, Akamai’nin buluttaki Edge DNS teknolojilerini şirket içi dağıtımlara genişletiyor.
DNS Su İşkencesi DDoS saldırısı olarak da bilinen bir NXDOMAIN saldırısında, saldırganlar DNS sunucusunu, var olmayan (dolayısıyla NX öneki) veya geçersiz alan adları ve alt alan adları için büyük miktarda istekle bunaltırlar. DNS proxy sunucusu, DNS yetkili sunucusunu sorgulayan kaynaklarının tamamını olmasa da çoğunu kullanır; öyle ki, sunucu artık meşru veya sahte herhangi bir isteği işleme kapasitesine sahip değildir. Sunucuya daha fazla gereksiz sorgu isabet etmesi, bunları işlemek için daha fazla kaynağa (sunucu CPU’su, ağ bant genişliği ve bellek) ihtiyaç duyulması anlamına gelir ve meşru isteklerin işlenmesi daha uzun sürer. İnsanlar NXDOMAIN hataları nedeniyle web sitesine ulaşamadıklarında, bu potansiyel olarak şu anlama gelir: Müşteri kaybı, gelir kaybı ve itibar kaybı.
Akamai’nin ürün yönetimi direktörü Jim Gilbert, NXDOMAIN’in uzun yıllardır yaygın bir saldırı vektörü olduğunu ve giderek daha büyük bir sorun haline geldiğini söylüyor. Akamai, geçen yıl ilk 50 finansal hizmet müşterisine yönelik genel DNS sorgularının %40’ının NXDOMAIN kayıtlarını içerdiğini gözlemledi.
DNS Korumasını Güçlendirmek
Daha fazla kapasite ekleyerek DNS saldırılarına karşı savunma yapmak teorik olarak mümkün olsa da – daha fazla kaynak, sunucuları çökertmek için daha büyük ve daha uzun saldırılar gerektiği anlamına gelir – çoğu kuruluş için mali açıdan uygun veya ölçeklenebilir bir teknik yaklaşım değildir. Ancak DNS korumalarını başka yollarla da güçlendirebilirler.
Kurumsal savunucuların DNS ortamlarını anladıklarından emin olmaları gerekir. Bu, DNS çözümleyicilerinin şu anda nerede dağıtıldığını, şirket içi ve bulut kaynaklarının bunlarla nasıl etkileşime girdiğini ve Anycast ve DNS güvenlik protokolleri gibi gelişmiş hizmetlerden nasıl yararlandıklarını belgelemek anlamına gelir.
Akamai’den Gilbert, “Kurumların orijinal DNS varlıklarını şirket içinde tutmak istemelerinin iyi uyumluluk nedenleri olabilir” diyor ve Shield NS53’ün işletmelerin mevcut DNS altyapısını sağlam tutarken koruyucu kontroller eklemesine olanak tanıdığını belirtiyor.
Birçok DDoS saldırısı DNS açıklarından yararlanmayla başladığından, DNS’yi korumak aynı zamanda genel dağıtılmış hizmet reddi (DDoS) önleme stratejisinin bir parçası olmalıdır. Akamai’ye göre, geçen yılki DDoS saldırılarının neredeyse üçte ikisi, bir tür DNS açıklarından yararlandı.
Herhangi bir şey satın almadan önce güvenlik yöneticilerinin değerlendirdikleri potansiyel çözümün hem kapsamını hem de sınırlamalarını anlamaları gerekir. Örneğin, Palo Alto’nun DNS güvenlik hizmetleri, NXDOMAIN’in yanı sıra geniş bir DNS açıkları koleksiyonunu kapsasa da, müşteriler bu geniş korumayı yalnızca satıcının yeni nesil güvenlik duvarına sahip olmaları ve onun tehdit önleme hizmetine abone olmaları durumunda elde edebilirler.
DNS savunmaları aynı zamanda güçlü bir tehdit istihbarat hizmetine bağlanmalıdır; böylece savunmacılar potansiyel saldırıları hızlı bir şekilde tanımlayıp bunlara yanıt verebilir ve yanlış pozitifleri azaltabilir. Akamai, Amazon Web Services, Netscout, Palo Alto ve Infoblox gibi satıcılar, DNS ve DDoS koruma araçlarının bir saldırıyı tespit etmesine yardımcı olan büyük telemetri toplama ağları işletiyor.
Siber Güvenlik ve Altyapı Güvenliği Ajansı bir dizi önerilen eylemi bir araya getirdi Buna DNS yöneticilerinin hesaplarına çok faktörlü kimlik doğrulamanın eklenmesi, sertifika günlüklerinin izlenmesi ve tutarsızlıkların araştırılması da dahildir.
