【51CTO.com原創(chuàng)稿件】“DNS是非常重要的互聯(lián)網(wǎng)服務(wù)基礎(chǔ)核心技術(shù)，每天你打開微信查看朋友圈、瀏覽新聞、登錄郵件，或者是操作聯(lián)網(wǎng)的公司系統(tǒng)，如果沒有DNS，這一切都無法實(shí)現(xiàn)。”Infoblox全球業(yè)務(wù)部高級(jí)副總裁Cherif Sleiman博士近日接受記者采訪時(shí)說到。

他還指出，面對(duì)數(shù)字化浪潮，很多企業(yè)都大量投資防火墻、入侵檢測(cè)、終端保護(hù)等技術(shù)方面。然而，要想連接一切，并把以上技術(shù)變?yōu)楝F(xiàn)實(shí)服務(wù)，則都需要DNS來幫助實(shí)現(xiàn)。“也就是說，DNS必須是安全可信的。但現(xiàn)實(shí)情況卻是，通常情況下我們的DNS本身并沒有受到保護(hù)，從而為企業(yè)帶來巨大潛在威脅。”

Infoblox全球業(yè)務(wù)部高級(jí)副總裁Cherif Sleiman博士(左)和Infoblox大中華區(qū)總經(jīng)理?xiàng)罟庖?右)

為什么DNS是不安全的?

作為一個(gè)全球性的互聯(lián)網(wǎng)重要協(xié)議，起初DNS是安全的。因?yàn)榛ヂ?lián)網(wǎng)誕生之初的網(wǎng)絡(luò)環(huán)境是友好、干凈的。

但是大約十年前開始，大量企業(yè)開始使用DNS，DNS不再像最初那樣作為一款軟件而是作為一項(xiàng)服務(wù)來提供。可以說，2010年以前，DNS僅僅是服務(wù)器上的一個(gè)服務(wù)功能，但隨著大家對(duì)互聯(lián)網(wǎng)要求的提高，則出現(xiàn)了專門的DNS應(yīng)用服務(wù)體系。與此同時(shí)，十年來，安全產(chǎn)業(yè)界在HTTP協(xié)議下研發(fā)了諸多安全技術(shù)，比如下一代防火墻、過濾器代理等。因此，HTTP方面的安全保障措施十分全面。

近五年來，隨著網(wǎng)絡(luò)交易的增多，網(wǎng)絡(luò)上存在的大量數(shù)據(jù)日漸成為網(wǎng)絡(luò)攻擊者的目標(biāo)。越來越多的黑客開始挖掘數(shù)字技術(shù)的漏洞，希望從中牟利。此時(shí)，DNS安全問題開始被人們所重視。

近三年來，DNS成為網(wǎng)絡(luò)攻擊主要目標(biāo)之一。“這就給黑客提供了可乘之機(jī)，他們無須‘黑’防火墻或其他設(shè)備和系統(tǒng)，而是躲藏在DNS協(xié)議中繞過各類工具的檢測(cè)然后再發(fā)動(dòng)攻擊。” Cherif Sleiman說道,“最近發(fā)生的黑客通過DNS對(duì)企業(yè)發(fā)起進(jìn)攻的事件逐漸增多。DNS已經(jīng)成為黑客攻擊使用的第一大協(xié)議，對(duì)企業(yè)數(shù)字化及生產(chǎn)力造成巨大傷害。”

如今，DNS已成為應(yīng)用層攻擊的頭號(hào)目標(biāo)服務(wù)，放大攻擊中使用的頭號(hào)協(xié)議，是攻擊者理想的攻擊手段。利用DNS將網(wǎng)絡(luò)用戶導(dǎo)引到相應(yīng)網(wǎng)站并將他們納入攻擊行動(dòng)的節(jié)點(diǎn)，已經(jīng)成為惡意攻擊的一個(gè)重要途徑。

DNS為什么不安全?Infoblox大中華區(qū)總經(jīng)理?xiàng)罟庖珡?qiáng)調(diào)，企業(yè)的安全設(shè)施就像是一座城堡，給城堡修了很高、很厚的墻，給上面加了堡壘，修了護(hù)城河，可以保證城墻沒有問題，"但是，如果你的門有問題，一腳就能踹開，那么這座城池還是不安全的。而現(xiàn)在企業(yè)最大的安全問題就是門的問題，DNS就是這道門!"

據(jù)Cherif Sleiman介紹，DNS通過53端口進(jìn)行通信，且不受防火墻/下一代防火墻、入侵檢測(cè)系統(tǒng)、入侵防御系統(tǒng)、沙盒等眾多安全工具的保護(hù)。因此，企業(yè)需要通過專業(yè)的安全防護(hù)工具實(shí)現(xiàn)DNS防御，守住企業(yè)安全的這道門。

但現(xiàn)實(shí)情況是，盡管針對(duì)DDoS攻擊、DNS緩存病毒、DNS劫持、DNS嗅探等有關(guān)DNS的攻擊逐漸增多，DNS安全依然沒有引起企業(yè)足夠的重視并對(duì)其實(shí)施安全防護(hù)。究其原因，主要還是因?yàn)槠髽I(yè)本身對(duì)DNS存在的安全隱患意識(shí)不高。對(duì)很多企業(yè)來說，他們對(duì)DNS的態(tài)度還停留在“能用就行”的水平上，而忽視了不安全的DNS可能會(huì)給自己帶來的巨大損失。另外一個(gè)原因則是，企業(yè)沒有任何有效的可視化的手段來監(jiān)控并管理DNS的安全狀態(tài)，對(duì)于是否正在受到威脅或者攻擊，企業(yè)不得而知。

如何拯救DNS?

面對(duì)安全威脅，如何拯救DNS，提升企業(yè)安全防御能力，已經(jīng)成為企業(yè)所不得不面對(duì)和解決的課題。對(duì)此，楊光耀認(rèn)為，首先企業(yè)需要提升DNS安全防護(hù)意識(shí)，七次要做好DNS本身的安全防護(hù)，并且阻止攻擊者利用DNS植入惡意軟件，防止DNS被用作竊取企業(yè)數(shù)據(jù)的工具。

他表示，Infoblox是一家擁有20年歷史的公司，在過去的十余年中一直專注于DNS和智能安全分析。針對(duì)DNS威脅，Infoblox提供了一套全面的高級(jí)DNS防護(hù)解決方案，該方案主要有四大特點(diǎn)：

基于特征的DNS攻擊檢測(cè)：針對(duì)已知的攻擊模式，Infoblox的防護(hù)方案采取針對(duì)特征進(jìn)行檢測(cè)，對(duì)攻擊進(jìn)行攔截和響應(yīng)。確保在面對(duì)已知威脅時(shí)，DNS服務(wù)器能夠維持運(yùn)作，并且不被篡改。

威脅情報(bào)：面對(duì)不斷變化和更新的攻擊手段，Infoblox的TIDE系統(tǒng)提供威脅情報(bào)整合并同時(shí)進(jìn)行實(shí)時(shí)防御。通過對(duì)新技術(shù)的研究和分析，以及客戶自身的網(wǎng)絡(luò)環(huán)境的變化，威脅情報(bào)系統(tǒng)可以自動(dòng)升級(jí)來應(yīng)對(duì)新的攻擊。重要的是，TIDE系統(tǒng)的安全升級(jí)是不需要進(jìn)行補(bǔ)丁或者下線才能做到，極大保證了業(yè)務(wù)的連續(xù)性。

可視化中心管理：Infoblox為客戶提供了一整套可視化的威脅管理平臺(tái)。安全人員可以從這個(gè)平臺(tái)中，通過圖表查看整個(gè)網(wǎng)絡(luò)環(huán)境的攻擊方向以及攻擊趨勢(shì)來把握情況。同時(shí)，安全人員可以使用內(nèi)置或者自定義的報(bào)告框架來更快速地對(duì)事件進(jìn)行追溯排查。

硬件防護(hù)：Infoblox也提供硬件形態(tài)的數(shù)據(jù)包檢測(cè)系統(tǒng)，在攻擊抵達(dá)DNS服務(wù)器前進(jìn)行攔截。

Infoblox：一家專注于下一代網(wǎng)絡(luò)安全的供應(yīng)商

“我們是一家專注于下一代網(wǎng)絡(luò)安全的供應(yīng)商。” Cherif Sleiman如是說。

數(shù)字轉(zhuǎn)型時(shí)代，很多企業(yè)已經(jīng)意識(shí)到IT工作的重要性，IT技術(shù)正在成為新的商業(yè)模式的主要驅(qū)動(dòng)因素，企業(yè)必須改變傳統(tǒng)運(yùn)營模式，實(shí)現(xiàn)IT創(chuàng)新。比如： Uber、Netflix、滴滴、攜程、愛奇藝等公司，他們并沒有自己的實(shí)體資產(chǎn)，但他們能用一種無縫的方式，通過網(wǎng)絡(luò)和云服務(wù)，把用戶、設(shè)備和應(yīng)用都連接起來。

“而安全是連接的基礎(chǔ)，只有在保證安全的前提下，才能使更多企業(yè)更加愿意擁抱數(shù)字化。” Cherif Sleiman表示：“Infoblox所提供的就是這樣一種將用戶、設(shè)備、應(yīng)用順暢地連接起來的技術(shù)。我們的宗旨是保護(hù)我們的企業(yè)客戶、企業(yè)數(shù)據(jù)、企業(yè)基礎(chǔ)設(shè)施和企業(yè)的用戶不受安全風(fēng)險(xiǎn)的影響，我們能夠以智能的方式確保DNS的安全。Infoblox提供的智能分析，可以更好地獲得對(duì)用戶狀況的洞察，了解他們的情況，從而提供相應(yīng)的安全、穩(wěn)定、可靠的服務(wù)。”

楊光耀表示，Infoblox不是傳統(tǒng)意義上的DDI廠商， Infoblox可為客戶帶來分析服務(wù)、連接性以及個(gè)性化的客戶服務(wù)，從而幫助客戶成功實(shí)現(xiàn)數(shù)字化轉(zhuǎn)型。當(dāng)客戶使用Infoblox下一代智能DNS服務(wù)的時(shí)候，安全絕不是唯一的目的，更重要的是，企業(yè)客戶可以獲得真正的現(xiàn)代化的網(wǎng)絡(luò)功能，這樣他們才能在自動(dòng)化的世界里保持競(jìng)爭力，提供更好的客戶體驗(yàn)，擁抱新的機(jī)遇。

據(jù)悉，在過去三年中，Infoblox的業(yè)務(wù)一直保持著良性發(fā)展，且一直追加在中國的投資，包括員工、市場(chǎng)、渠道伙伴在內(nèi)都在不斷增長。在中國區(qū)的業(yè)務(wù)增長十分迅速，相較于2017財(cái)年，2018財(cái)年實(shí)現(xiàn)業(yè)務(wù)增長30%的驕人成績，而與其他市場(chǎng)向比，中國市場(chǎng)一會(huì)保持著三倍于全球市場(chǎng)的平均增速。目前用戶覆蓋銀行、保險(xiǎn)、證券、汽車制造和高科技制造、航空、教育等重點(diǎn)行業(yè)。

[[246296]]

談及2019財(cái)年Infoblox的策略，楊光耀表示：“未來一年，我們的主要發(fā)力點(diǎn)在于：一是，我們將面向用戶繼續(xù)重點(diǎn)推動(dòng)安全整體解決方案的應(yīng)用，幫助他們更安全的擁抱數(shù)字化技術(shù);二是，聚焦訂閱服務(wù)，增加客戶選擇靈活度;三是，重點(diǎn)行業(yè)縱深發(fā)展;四是，渠道生態(tài)體系建設(shè)。”

最后，楊光耀向記者透露：“在未來三年，Infoblox的目標(biāo)是實(shí)現(xiàn)業(yè)務(wù)翻番。其中，我們希望DNS安全業(yè)務(wù)能夠占比超過30%。同時(shí)，我們將繼續(xù)促進(jìn)本地化進(jìn)程縱深發(fā)展，并針對(duì)中國市場(chǎng)投入包括技術(shù)、銷售、專業(yè)服務(wù)在內(nèi)的更多專業(yè)人員。”

【51CTO原創(chuàng)稿件，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文作者和出處為51CTO.com】