隨著威脅形勢(shì)日益復(fù)雜，首席信息安全官 (CISO) 不斷尋求創(chuàng)新方法來(lái)保護(hù)其組織。然而，他們武器庫(kù)中最強(qiáng)大的工具之一——DNS（域名系統(tǒng)）——卻尚未得到充分利用。

但首先，我們來(lái)談?wù)?DNS 在每個(gè)網(wǎng)絡(luò)中扮演的重要角色。域名是用戶、設(shè)備和工作負(fù)載與互聯(lián)網(wǎng)資源進(jìn)行通信時(shí)首先要查詢的內(nèi)容。DNS 就像互聯(lián)網(wǎng)的電話簿，將諸如 www.*anydomainname*.com 之類(lèi)的域名解析為計(jì)算機(jī)和服務(wù)器能夠理解的 IP 地址。

DNS 雖然通常被歸類(lèi)為純粹的功能性角色，但它卻為先發(fā)制人地防御網(wǎng)絡(luò)攻擊提供了無(wú)與倫比的機(jī)會(huì)。如果運(yùn)用得當(dāng)，DNS 將成為第一道防線。它能夠在攻擊得逞之前將其阻止，中斷命令與控制 (C2) 通信和數(shù)據(jù)泄露，并在事件響應(yīng)期間為安全運(yùn)營(yíng)中心 (SOC) 提供寶貴的洞察。事實(shí)上，DNS 還可以擴(kuò)展到保護(hù)網(wǎng)絡(luò)的每個(gè)部分，從端點(diǎn)到云工作負(fù)載以及物聯(lián)網(wǎng)/運(yùn)營(yíng)技術(shù) (IoT/OT)。

事實(shí)上，美國(guó)國(guó)家安全局在 2020 年啟動(dòng)了一項(xiàng)保護(hù)性 DNS 試點(diǎn)項(xiàng)目（當(dāng)時(shí)他們使用術(shù)語(yǔ)“安全 DNS”），并得出結(jié)論，他們能夠降低92% 的惡意軟件攻擊在給定網(wǎng)絡(luò)上成功部署惡意軟件的能力。

人工智能網(wǎng)絡(luò)威脅的演變

如今，大多數(shù)安全解決方案都走在“Boom”的正軌上——僅在攻擊發(fā)生后才做出反應(yīng)。當(dāng)初始感染（零號(hào)病人）發(fā)生時(shí)，安全團(tuán)隊(duì)會(huì)分析惡意軟件、域名或漏洞，并根據(jù)攻擊生成簽名或入侵指標(biāo) (IOC)。該簽名或 IOC 會(huì)被分發(fā)到端點(diǎn)檢測(cè)工具、防病毒解決方案或入侵檢測(cè)系統(tǒng)，并顯示在 VirusTotal 和 OSINT（開(kāi)源情報(bào)）工具中。由于有了第一個(gè)受害者或感染，業(yè)內(nèi)其他公司現(xiàn)在可以阻止此類(lèi)攻擊。

人工智能在網(wǎng)絡(luò)犯罪分子手中的崛起極大地改變了威脅格局。威脅行為者現(xiàn)在利用人工智能來(lái)：

• 生成多態(tài)惡意軟件：人工智能驅(qū)動(dòng)的惡意軟件不斷發(fā)展其代碼以逃避基于簽名的檢測(cè)，使得傳統(tǒng)的安全工具無(wú)法有效抵御快速變化的威脅。
• 自動(dòng)化網(wǎng)絡(luò)釣魚(yú)活動(dòng)：人工智能制作高度個(gè)性化的網(wǎng)絡(luò)釣魚(yú)電子郵件，并以驚人的準(zhǔn)確度生成模仿合法網(wǎng)站的虛假網(wǎng)站，從而提高攻擊的成功率。
• 擴(kuò)展惡意基礎(chǔ)設(shè)施：人工智能工具使網(wǎng)絡(luò)犯罪分子能夠快速創(chuàng)建新的域名、IP 地址和托管服務(wù)，從而大大增加檢測(cè)和清除工作的難度。注冊(cè)域名生成算法 (RDGA) 是一種程序化機(jī)制，允許威脅行為者一次性或分階段創(chuàng)建多個(gè)域名，并將其注冊(cè)用于其基礎(chǔ)設(shè)施。

因此，每種威脅和惡意軟件變種都可能獨(dú)一無(wú)二，且針對(duì)性極強(qiáng)，迫使安全團(tuán)隊(duì)不得不應(yīng)對(duì)數(shù)十萬(wàn)甚至數(shù)百萬(wàn)個(gè)“零號(hào)病人”?，F(xiàn)有的解決方案根本無(wú)法應(yīng)對(duì)這種變化——這就像玩一場(chǎng)網(wǎng)絡(luò)安全“打地鼠”游戲。這種轉(zhuǎn)變需要我們采取不同的網(wǎng)絡(luò)安全方法。

DNS 作為先發(fā)制人的網(wǎng)絡(luò)安全武器

DNS 是所有網(wǎng)絡(luò)威脅的最早檢測(cè)和預(yù)防點(diǎn)，因?yàn)樗鼛缀蹩偸鞘加趯?duì)惡意域名的 DNS 查詢。防護(hù)型 DNS 能夠監(jiān)控、分析并預(yù)先阻止首次查詢，從而提供一種強(qiáng)大的“Boom”方法，有效阻止網(wǎng)絡(luò)威脅。

讓我們來(lái)看看典型的勒索軟件殺傷鏈以及保護(hù)性 DNS 如何提供幫助：

• 網(wǎng)絡(luò)釣魚(yú)——初始攻擊可能始于網(wǎng)絡(luò)釣魚(yú)電子郵件和惡意廣告。防護(hù)型 DNS 可以阻止訪問(wèn)這些與網(wǎng)絡(luò)釣魚(yú)、路過(guò)式下載和漏洞利用工具包相關(guān)的惡意域名。通過(guò)主動(dòng)阻止訪問(wèn)這些域名，組織可以降低初始入侵的可能性，確保沒(méi)有端點(diǎn)成為零號(hào)病人。
• C2 通信 –雖然最初的入侵可能通過(guò)阻止對(duì)惡意域名的訪問(wèn)而得到阻止（如上所述），但網(wǎng)絡(luò)上可能已經(jīng)存在惡意軟件。為了獲取加密密鑰、額外的有效載荷和攻擊指令，惡意軟件會(huì)訪問(wèn)稱為命令和控制 (C2) 的外部服務(wù)器。保護(hù)性 DNS 通過(guò)阻止對(duì)用于命令和控制的域名的訪問(wèn)來(lái)中斷 C2 通信。
• 數(shù)據(jù)泄露——在殺傷鏈的最后階段，威脅行為者經(jīng)常使用 DNS 隧道技術(shù)來(lái)竊取敏感數(shù)據(jù)。通過(guò)在 DNS 查詢中對(duì)數(shù)據(jù)進(jìn)行編碼，攻擊者可以繞過(guò)傳統(tǒng)的安全措施。防護(hù) DNS 工具可以分析查詢模式并檢測(cè)異常，從而阻止數(shù)據(jù)泄露的企圖。

隨著機(jī)器學(xué)習(xí)和人工智能 (AI) 的進(jìn)步，DNS防護(hù)技術(shù)也在不斷發(fā)展。首席信息安全官 (CISO) 和安全領(lǐng)導(dǎo)者應(yīng)尋求將DNS防護(hù)技術(shù)與以DNS為中心的威脅情報(bào)和AI相結(jié)合的解決方案，以發(fā)現(xiàn)威脅行為者使用的流量分發(fā)系統(tǒng) (TDS)，從而大規(guī)模破壞其基礎(chǔ)設(shè)施，而不是一次關(guān)閉一個(gè)域名。創(chuàng)新的解決方案還可以識(shí)別零日DNS威脅——新注冊(cè)的域名在注冊(cè)后幾分鐘內(nèi)即可激活；以及域名生成算法（DGA和注冊(cè)DGA），惡意軟件會(huì)在多個(gè)偽隨機(jī)域名之間循環(huán)。

下一步：評(píng)估保護(hù)性 DNS

我們正處于一個(gè)人工智能驅(qū)動(dòng)的網(wǎng)絡(luò)威脅和非對(duì)稱戰(zhàn)爭(zhēng)時(shí)代，它賦予威脅行為者前所未有的速度、規(guī)模和適應(yīng)性。DNS通常被視為一項(xiàng)普通的網(wǎng)絡(luò)功能，但實(shí)際上卻是一項(xiàng)極其強(qiáng)大的武器，可以主動(dòng)防御網(wǎng)絡(luò)釣魚(yú)、惡意軟件和數(shù)據(jù)泄露。對(duì)于首席信息安全官 (CISO) 而言，其價(jià)值顯而易見(jiàn)：是時(shí)候?qū)?DNS 從幕后角色提升為抵御網(wǎng)絡(luò)攻擊的前線先發(fā)制人的武器了。進(jìn)行評(píng)估，以確定最佳解決方案和最佳部署平臺(tái)。