DNS成為惡意程式攻擊和資料洩漏的新途徑

全球DNS網域服務及自動化網路控制市場領導者Infoblox今年四月舉辦一場台灣企業高階資安長的分享會，與會來賓分別有Infoblox台灣區總經理李榕茜、Infoblox大中華區資深技術顧問張哲綱，也邀請韋萊韜悅台灣分公司，企業風險與保險資深協理吳明璋分享從風險的角度看資安。

Infoblox在國內服務政府與民間企業，已經超過十年時間，全面專注核心服務項目，提供DNS網域服務的資安防護與解決方案。分享會中Infoblox台灣區總經理李榕茜開場提到: 「雲端活動愈趨活躍，網路資安威脅事件中DNS經常被攻擊者所利用，滲透進入受害網站內，進行不法的行為，此現象亦趨倍增。」因此，李總經理特別提及DNS是企業的第一道大門，任何資訊的往來均需要經過DNS，然而 DNS安全該做到多安全呢? 這個問題啟動了分享會的序幕。

DNS 為何是駭客所青睞的管道?

DNS(Domain Name System，網域名稱系統)是網際網路的主要索引，類比形容像是電話聯絡簿。對各企業來說DNS是必要的，但卻只有少數企業組織有進行防護與監控的機制。Infoblox大中華區資深技術顧問張哲綱表示，「近幾年來DNS成為惡意程式攻擊和資料洩漏的新途徑，當DNS的安全失守不只是影響使用者上網的行為造成的困擾，而是會整體影響公司的商譽與信譽，當企業官網無法上網瀏覽，企業內部營運郵件無法收發，此刻除了對外進行溝通受阻外，外部對於企業的形象觀感指數也隨之下降。」。

根據去年2021年10月美聯社報導指出，據統計有72%的組織遭受過DNS攻擊，尤其是金融產業遭受DNS 攻擊最為嚴重，經歷DNS 攻擊的受訪者表示，每次被攻擊所引發的成本為 127.5 萬美元，而另一起2020年底知名的威脅攻擊，SolarWinds供應鏈攻擊事件，張哲綱分析說到這事件是透過DNS協定所衍生出來的威脅攻擊，DGA網域生成演算法的手法，被沙箱最後披露出來所有做成Sunburst後門程式DNS的Domain，我們進一步發現是利用DGA的方式所衍生而成，其目的是避免人工的監看與比對，此惡意攻擊手法則是利用DGA為踏板的攻擊，然而DGA會造成很大的問題，因為傳統偵測及防護方式無法能全面防阻此攻擊，他必須要使用精密的AI演算法行為找出來其關聯性和有效性，才能進行有效的阻擋。

Infoblox DNS 服務: 可視性、安全性、自動化

張哲綱進一步分享Infoblox長期觀察惡意程式，是透過 DNS 進行資料洩露，有五個路徑，第一、偵查(Reconnaissance)，搜集值得攻擊的點，找出企業DNS弱點 ；第二、 遞送(Delivery)， DNS經常成為允許駭客與惡意軟體被利用作為滲透通道的一個大門；第三、
開採(Delivery) ；第四、指令與控制 (Command and Control)與第五、行動 (Actions on Objectives)資料透過 DNS 洩露出去的同時傳統資安措施均無法檢測出來。五個路徑模式如何有效的進行防禦、防護部署，大家可以參考Infoblox所提供的DNS安全服務三大特性: