眾所周知,當今的惡意攻擊大多受利益驅(qū)動,劫持合法網(wǎng)絡資源發(fā)動攻擊。其中一個重要途徑,就是利用域名服務(DNS)將網(wǎng)絡用戶導引到惡意網(wǎng)站并將他們納入攻擊行動的節(jié)點。
DNS對黑客的意義有三:
1. 傳輸命令與控制指令
2. 偷渡數(shù)據(jù)
3. 重定向流量
但由于極少有公司會出于安全目的監(jiān)測DNS狀態(tài),DNS如今已成為攻擊者理想的攻擊手段。
在DNS層實施安全防御,可以有效檢測和控制此類惡意軟件感染。在惡意連接建立之前將威脅扼殺在搖籃里是做好安全的第一要務。要做到這一點,就必須監(jiān)控網(wǎng)絡,跟蹤員工及其使用設備的網(wǎng)絡位置和接入方式。
惡意IP跟蹤,以及惡意基礎設施連接阻斷技術,可以挫敗攻擊者利用這一常見安全盲點的企圖。危險連接阻斷得越多,我們需要應對的內(nèi)部網(wǎng)絡威脅就越少。而且,即使網(wǎng)絡被成功突破,DNS監(jiān)測也可以幫助連接各個節(jié)點,確定攻擊所用基礎設施的類型和源頭,深化調(diào)查取證。
以Angler漏洞利用工具包為例,DNS監(jiān)測技術就在調(diào)查中提供了對所用IP基礎設施更好的可見性。Angler操作者以線性跳轉(zhuǎn)方式不停轉(zhuǎn)換IP地址,隱藏他們的威脅行為,防止外界對他們的不法撈錢行為進行干預。但通過對與其關聯(lián)的域名行為進行監(jiān)測分析,我們對他們所用的技術有了更深入的了解,也就知曉了如何阻止他們。
隨著攻擊者不斷創(chuàng)新攻擊技戰(zhàn)術,比如結合直連命令與控制來繞過域名解析等,防御者也在發(fā)展自己的新技術來更快地識別和響應這些攻擊。
基于IP的預測性威脅情報便是防御新技術的一種。這種技術應用算法分析流量模式,關注并檢測惡意活動,而不是對內(nèi)容進行掃描。這種基于數(shù)據(jù)科學的新技術與Pandora的音樂服務所用的技術如出一轍。但與使用當前在聽的聲波模式來推斷你可能喜歡的其他音樂不同,這種新技術采用網(wǎng)絡流量模式來識別惡意攻擊。
有些域名一直保持很大的入站流量,其他域名可能在某幾個特定時段會出現(xiàn)流量高峰,又或者,還有其他完全不同的模式。但被用來實施攻擊的域名,一般情況下流量模式都是瞬發(fā)性的,流量出現(xiàn)時間更短,也更快。畢竟,作為見不得光的行為,還得保持低調(diào)隱蔽。若能發(fā)現(xiàn)并將這些狀態(tài)模式與其他數(shù)據(jù)進行交叉對比,則有助于快速檢測出正在進行中的攻擊行為并采取行動予以遏制。
而預測攻擊的能力則又將此數(shù)據(jù)分析拉升到了更高的層級。從分析流量模式得出的線索開始,網(wǎng)絡罪犯在劫持基礎設施過程中所用到的每一步,都在攻擊預測中有用到。比如:托管主機提供商的選擇、服務器鏡像的部署等等。對托管基礎設施更深更全面的分析將使你擁有預測并防止突發(fā)威脅的能力。
因為網(wǎng)絡罪犯利用互聯(lián)網(wǎng)發(fā)動攻擊,我們便需要對DNS基礎設施和IP網(wǎng)絡上正在發(fā)生的事?lián)碛懈逦囊曇?。這就要求安全團隊和DNS專家采用合適的技術通力合作。無論如何,連接更多的節(jié)點并不斷修正威脅情報是能夠更快識別并阻止網(wǎng)絡攻擊的。
攻擊者總在持續(xù)地改進攻擊方法,因此我們也需要不斷提高數(shù)據(jù)分析技術,以在攻擊發(fā)生之前將其鎖定。