誰才是辦公網的第一道防線?有人說是上網行為管理，有人說是殺毒軟件。不過這種答案只適用于十年前。

　　時代變了。在管理員工上網行為、給員工電腦殺毒之前，先把DNS解析抓起來才是正經事。

　　為什么是DNS?在講清楚這個問題之前，我們得先回頭看看這十年發(fā)生了什么。

[[341069]]

　　網絡安全環(huán)境的十年變遷：損招倍出，百鬼夜行

　　十年前，談起辦公網運維，只能想到網絡結構、員工行為、帶寬這些IT管理類工作。如果擔心員工電腦中病毒，就再裝個殺軟，然后一年半載都想不起來更新規(guī)則庫。只要搞搞合規(guī)，做做數(shù)據(jù)中心防護，再把內網一隔離，網絡安全就萬事大吉——就算員工電腦里再多木馬病毒，也影響不到核心業(yè)務。

　　然而，這十年是網絡安全大環(huán)境急劇惡化的十年。

　　這十年里誕生了釣魚郵件、勒索軟件，同時，我們也看到APT攻擊橫行，黑帽子們從散兵游勇發(fā)展成團伙，形成了黑色產業(yè)鏈，有些黑產團伙甚至發(fā)展出了“惡意軟件即服務”的商業(yè)模式——不需要新入行的人懂多少技術，只要惡意軟件在手，就可以在違法犯罪的邊緣反復試探。

　　人類的貪欲無法被計算。這十年內，惡意軟件也不斷升級自己?，F(xiàn)在的惡意軟件不僅能從辦公網溜進去，還能通過提權爆破、漏洞利用等手段橫向移動，直達核心業(yè)務區(qū)域，然后開始干壞事，比如竊取數(shù)據(jù)、破壞系統(tǒng)，甚至直接盜取公司賬戶中的資金。

　　環(huán)境已經惡化至斯，今天99%的安全從業(yè)者在提起辦公網防護時，第一反應還是上網行為管理和殺毒軟件。然而，如果辦公網只有這兩種防護，基本等同于穿著內褲裸奔。上網行為管理和殺軟沒有錯，只是時代已經不允許它們站在前線了。

　　上網行為管理和殺軟：沒犯錯的前浪

　　上網行為管理好比一棟大樓的物業(yè)，在管理員工行為和網絡帶寬上可謂功不可沒。但說到底，它也只是個以“管理”為主要功能的軟件，面對木馬、后門、勒索、釣魚等網絡威脅時，上網行為管理就束手無策了——當一伙精心偽裝過的竊賊混入大樓時，物業(yè)只能和員工一起抓瞎。

　　而殺毒軟件就好比電影中束手無策的阿sir，就算和變裝的竊賊面對面，也認不出來這就是自己要抓的人，因為殺毒軟件基于傳統(tǒng)行為簽名技術，沒法第一時間識別和處理新型網絡威脅，等規(guī)則庫里終于出現(xiàn)這種威脅，可能在辦公網里面已經有一大堆機器中招受害了。

　　所以，即使這兩種軟件在國內中大型企業(yè)中被廣泛使用，在WannaCry、Petya等勒索軟件席卷全球的時候，國內仍然一片哀鴻遍野，誰都逃不過。

　　于是我們回到開篇的問題：為什么非得是DNS?

　　DNS解析管控：輕量、易控，一直被忽視

　　DNS解析將我們要訪問的域名解析為ip，是接入互聯(lián)網的第一步，企業(yè)中為保證網絡的可用性，通常不會對DNS流量進行管理。這部分流量不超過企業(yè)日常網絡流量的5%，但正是這部分讓人忽視的小流量，就有著大大的作用。任何終端在接入互聯(lián)網時，如果在DNS側對惡意的域名進行攔截，就可以有效的防止員工下載惡意軟件、阻斷釣魚鏈接、防止中招的機器和攻擊者進行通信、防止基于DNS隧道技術的數(shù)據(jù)泄露等。

　　好比竊賊正吃著火鍋唱著歌開往目標現(xiàn)場，沒想到某種神秘的力量不僅預知了他們的犯罪行為，更洞悉了他們的行駛路線，在他們的必經之路上設下路障和關卡。等待著竊賊們的不是一夜暴富，而是阿sir手里的一副玫瑰金手鐲——DNS解析管控就是這種神秘的力量。

　　至于具體效果如何，我們來看一組對比數(shù)據(jù)：

　　根據(jù)思科的報告，91.3%的惡意軟件都通過DNS協(xié)議來傳播。

　　全球網絡聯(lián)盟(GCA)在2019年發(fā)布的《DNS安全的經濟價值》報告稱，防護性DNS的安全控制，可以每年為美國省下190-370億美元損失，全球而言，該數(shù)字是1500-2000億美元。

　　為什么DNS防護有這么明顯且可量化的效果?實際上，這類具備安全防護能力的DNS被稱為DNS安全防護產品，在國外已經相當成熟。

　　那么，一款合格的DNS安全防護產品應該具備哪些能力?

　　首先是對惡意軟件、釣魚、挖礦等網絡攻擊的攔截和阻斷。一方面可有效阻斷辦公網終端下載惡意文件、訪問釣魚網址的過程，另一方面企業(yè)內一旦終端被安裝了惡意軟件， DNS安全防護產品就會阻斷這些及其與攻擊者遠控端的通信，阻止惡意軟件進一步運行或者下載更多惡意模塊。此外，也可以有效防止利用DNS作為通道的數(shù)據(jù)泄露行為。

　　其次是對不良網站的攔截。合格的DNS安全防護產品應對全球任意一個新增域名具有即時捕獲和識別能力，如色情暴力、違法內容、賭博、文件共享、游戲、廣告等。用戶可自主選擇是否攔截這些類別的站點。

　　此外，作為企業(yè)級安全產品，它還應具備安全管控功能，支持企業(yè)安全運維人員配置不同職場、管理員、用戶、漫游終端，并為各職場配置防護策略，在攻擊事件發(fā)生后提供攔截結果和對應威脅的上下文信息以供進一步分析。

　　目前，國外較具代表性的DNS防護類產品是思科旗下的Umbrella，國內的對標類產品則是知名公共DNS解析服務OneDNS的企業(yè)版。值得一提的是，這兩個產品的背后都有威脅情報的影子，思科早在2014年就收購了威脅情報公司ThreatGrid，組建了自己的威脅情報團隊Talos;而OneDNS被國內威脅情報廠商微步在線收入旗下，接入了微步的威脅情報云，分鐘級更新的威脅情報補足了OneDNS對惡意域名和軟件的識別和攔截能力。

　　DNS安全防護產品部署簡單，成本較低，既適用于多職場、多分支機構的中大型企業(yè)，也很適合在快速成長期的中小型企業(yè)和IT團隊。如果你的辦公網需要加上第一道鎖，不妨從DNS開始下手試試。