Ba cách CNTT có thể giảm thiểu các mối đe dọa về bảo mật DNS

Anh Học| 09/10/2019 15:33
Theo dõi ICTVietnam trên

Bạn có thể nghĩ rằng hệ thống tên miền của bạn là an toàn. Nhưng bạn đã nhìn kỹ chưa? Nếu đã xem xét kỹ, bạn có thể đã thấy mớ dây kết nối và rác làm tắc nghẽn hệ thống và bạn sẽ nhanh chóng thận trọng trở lại và hy vọng rằng sẽ không có các mối đe dọa nào.

DNS là một hệ thống địa chỉ phụ thuộc lẫn nhau, phức tạp, hướng người dùng đến mọi khía cạnh của trải nghiệm kỹ thuật số trong tổ chức của bạn. Các giám đốc điều hành có xu hướng tránh giao dịch với DNS, họ nghĩ rằng tất cả đều trong tầm kiểm soát hoặc sợ rằng họ sẽ phá vỡ thứ gì đó nếu họ chạm vào nó. Nhưng điều nguy hiểm là để cho DNS tự sắp xếp, như Mastercard, ING Bank, Facebook và Hilton khi họ tìm thấy hệ thống DNS của họ bị hack.

Nếu bạn sở hữu nó, bạn cần phải quản lý nó. Nếu không, bạn sẽ khiến khách hàng và doanh nghiệp của bạn gặp rủi ro.

Tại sao DNS dễ bị tổn thương

DNS rất phức tạp và có tầm ảnh hưởng sâu rộng, và đó chính là thứ khiến nó trở nên khó quản lý. Các công ty tạo ra các miền cho tất cả mọi thứ, và họ có trong một thời gian dài. Ngoài các trang web chính và các trang web nội bộ, doanh nghiệp tạo trang đích, trang web tạm thời cho các chiến dịch tiếp thị và tên miền để cung cấp dịch vụ kỹ thuật số.

Ngoài ra, cập nhật liên tục nội dung web thường thúc đẩy việc tạo các tên miền mới cùng với tên miền phụ và tên miền chuyển hướng, hướng khách truy cập đến nội dung trực tuyến được cập nhật. Các tổ chức lớn có hàng trăm - thậm chí hàng nghìn tên miền và tất cả các tên miền hoàn toàn phụ thuộc vào DNS.

Với rất nhiều thứ đang diễn ra trong DNS, đó là một cuộc đấu tranh để thực hiện các biện pháp bảo mật cấp cao trên mỗi tên miền mà doanh nghiệp sở hữu. Điều này tạo ra nhiều lỗ hổng đe dọa cho các tác nhân xấu để khai thác. Như Tạp chí Infosecurity báo cáo, 90% các nhà cung cấp cơ sở hạ tầng mạng quan trọng đã bị ảnh hưởng bởi các cuộc tấn công mạng trong hai năm qua, với các cuộc tấn công DNS là phổ biến nhất.

Thật khó để nghĩ rằng việc áp dụng mã hóa HTTPS gần như hoàn toàn (với chứng chỉ SSL/TLS) đã bảo mật quyền riêng tư của người dùng trang web. Nhưng nhiều doanh nghiệp không biết rằng tất cả các tên miền của họ, bao gồm các miền chuyển hướng đến các miền được bảo vệ bằng chứng chỉ SSL, cũng phải được mã hóa để đảm bảo các kết nối an toàn đầu cuối - một điều mà DNS được quản lý không hiệu quả có thể hứa hẹn.

Các doanh nghiệp trở thành nạn nhân của sự thỏa hiệp DNS có thể làm mất lòng tin của khách hàng, tài sản thương hiệu và giá trị doanh nghiệp của họ. Với Quy định Bảo vệ dữ liệu chung của Liên minh châu Âu và các quy định khác tạo ra các khoản tiền phạt cho các công ty vi phạm, có một chi phí tài chính ngày càng cao. Trong một cuộc khảo sát trải dài ở Châu Á, Châu Âu và Bắc Mỹ, các công ty tài chính đã báo cáo rằng việc phục hồi sau một cuộc tấn công DNS duy nhất tốn trung bình 924.390 đô la. Trừ khi hệ thống tên miền của bạn được quản lý đúng cách, nếu không, nó sẽ gặp rủi ro vĩnh viễn.

Tại sao tin tặc tấn công DNS

Mục tiêu của hầu hết các cuộc tấn công DNS là như nhau: đạt được quyền truy cập trái phép vào thông tin tài chính hoặc ngân hàng của khách hàng, chi tiết thẻ tín dụng và dữ liệu cá nhân khác bằng cách mạo danh điểm đến thương hiệu trực tuyến một cách hợp pháp. Điều này có thể đạt được bằng cách giả mạo DNS, làm ngộ độc bộ đệm hoặc chiếm quyền điều khiển DNS: làm hỏng các bộ thông tin thư mục trang web được lưu trữ để chuyển hướng khách hàng đến các trang web độc hại mà họ không biết. Khách hàng bị dụ dỗ vào các trang web mua sắm không có thật mang tên thương hiệu khác, đánh cắp dữ liệu và các công ty mà họ mạo danh phải giải quyết hậu quả.

Một DNS không bảo mật cũng dễ bị tấn công DDoS, có thể áp đảo toàn bộ mạng DNS của doanh nghiệp và tắt tất cả các dịch vụ internet bị ảnh hưởng. Đối với các trang web thương mại điện tử lưu lượng truy cập cao hoặc thông tin quan trọng, các cuộc tấn công này có thể là thảm họa.

Ba cách để cải thiện bảo mật DNS

Có một quy tắc đơn giản: Nếu bạn sở hữu nó, bạn cần quản lý nó. Những ngày tháng rời khỏi miền sở hữu không được bảo vệ đã qua rồi!

Tin tốt là việc bảo vệ chống lại các cuộc tấn công DNS là không thể. Trên thực tế, các công cụ phù hợp có thể giải quyết rủi ro khá dễ dàng. Ba bước này có thể giúp doanh nghiệp giảm thiểu hoặc ngăn chặn hoàn toàn nhiều rủi ro DNS.

 # 1: Hợp nhất với nhà cung cấp cấp doanh nghiệp

Bước đầu tiên và quan trọng nhất để bảo vệ chống lại các cuộc tấn công mạng liên quan đến DNS là hợp nhất tất cả các nhà cung cấp và dịch vụ CNI cho một nhà cung cấp cấp doanh nghiệp duy nhất với phần mềm hệ thống điều khiển tiên tiến. Nhiều tổ chức sử dụng nhiều dịch vụ DNS, phần lớn là kết quả của các hoạt động kế thừa như sáp nhập và mua lại. Quản lý tất cả thông qua các giao diện quản trị khác nhau với chất lượng dịch vụ và giao thức truy cập bảo mật khác nhau là một công thức cho thảm họa. Tin tặc săn lùng môi trường đa DNS, tìm kiếm các điểm yếu như tên miền đơn tại các nhà đăng ký tên miền được sử dụng không thường xuyên hoặc nhà cung cấp DNS và tên miền không có chính sách bảo mật DNS.

Mạng DNS hợp nhất sẽ ít hấp dẫn hơn đối với tin tặc, đặc biệt là nếu mạng này tập trung vào dịch vụ DNS của doanh nghiệp có uy tín. Các nhà cung cấp cấp doanh nghiệp sử dụng hệ thống phòng thủ DDoS tích hợp. Họ cung cấp quản lý truy cập an toàn, mạnh mẽ như xác thực đăng nhập một lần và đa yếu tố và các quyền dựa trên vai trò để quản lý các cấp truy cập.

Một dịch vụ DNS duy nhất sẽ tiêu chuẩn hóa hỗ trợ cho các công cụ bảo mật, chẳng hạn như Phần mở rộng bảo mật hệ thống tên miền, Khung chính sách người gửi hoặc Xác thực thư dựa trên tên miền, Báo cáo & Tuân thủ hoặc DNS phụ - tự động hóa mà nhiều dịch vụ DNS cung cấp theo mặc định. Bằng cách hợp nhất tất cả các tên miền trong một dịch vụ hệ thống điều khiển duy nhất, các tổ chức có thể dễ dàng quản lý và thực thi các chính sách bảo mật DNS hơn. Ngoài ra, họ có thể giải quyết các thách thức đang diễn ra trong việc xác định và giải quyết các vấn đề ví dụ như loại bỏ các tên miền đơn và DNS.

# 2: Thiết lập một hệ thống quản lý thay đổi tích hợp, thống nhất

Quản lý các thay đổi trong mạng DNS là yếu tố quan trọng thứ hai để thực thi các chính sách bảo mật DNS cần thiết. Bảo mật DNS và chứng chỉ SSL có liên quan là các hoạt động phức tạp, định hướng chi tiết. Mỗi miền có thể có hàng chục, thậm chí hàng trăm bản ghi tài nguyên tệp vùng. Một lỗi duy nhất trên tệp vùng có thể khiến doanh nghiệp bị tấn công DNS.

Quản lý tên miền, bảo mật DNS và chứng chỉ SSL thường là các quy trình được chia sẻ giữa các nhóm. Những thay đổi có thể xảy ra mà không ai biết ai đã làm nó, khi nào và tại sao nó được thực hiện, hoặc ai (nếu có ai) cho phép nó. Một hệ thống quản lý thay đổi tích hợp và thống nhất có thể loại bỏ nhiều rủi ro được tạo ra bởi nhiều bên liên quan hoạt động với các quy trình thủ công. Ủy quyền người dùng truy cập tên miền và DNS nên được hạn chế bởi các vai trò dựa trên quyền.

Các thay đổi nên được tự động hóa và theo dõi với lịch sử kiểm toán chống giả mạo và cảnh báo thay đổi. Điều này ngăn chặn các thay đổi trái phép và đảm bảo mọi thay đổi xảy ra được ghi lại trong lịch sử kiểm toán.

# 3: Thực hiện, theo dõi và duy trì các biện pháp bảo mật DNS

Khi các dịch vụ DNS và quản lý thay đổi được thống nhất, bước cuối cùng là triển khai các biện pháp bảo mật DNS thích hợp trên mạng DNS. DNSSEC được chứng minh là giúp giảm thiểu rủi ro bảo mật bằng cách xác thực nguồn gốc của dữ liệu DNS. Nó trực tiếp giải quyết các nguy cơ ngộ độc bộ nhớ cache và chiếm quyền điều khiển DNS. DMARC và SPF là các biện pháp bảo mật email, nó sẽ bảo vệ mạng email của bạn để giảm rủi ro cho các tác nhân độc hại sử dụng tên miền của riêng bạn để tấn công lừa đảo. Và các tên miền chuyển hướng, thường thiếu mã hóa HTTPS, có thể được tự động hóa để đảm bảo chúng được bảo vệ với chứng chỉ TLS hợp lệ.

Các cuộc tấn công DNS thường thành công vì các tổ chức không sử dụng các phương tiện hiệu quả nhất để bảo vệ tên miền và mạng DNS của họ. Với các thực tiễn tốt nhất, hợp nhất DNS, quản lý thay đổi thống nhất và triển khai các biện pháp bảo mật DNS, các tổ chức có thể đóng các lỗ hổng bảo mật và loại bỏ nguy cơ trở thành nạn nhân bị tấn công trong mạng DNS.

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Xây dựng hạ tầng cho mạng 5G tương lai của Việt Nam
    Đông Nam Á là một trong những khu vực có tốc độ phát triển nhanh nhất trên thế giới. Dự kiến tới năm 2030, ASEAN (gồm 10 quốc gia Đông Nam Á) sẽ trở thành nền kinh tế lớn thứ tư toàn cầu. Phần lớn động lực thúc đẩy sự phát triển này đến từ sự vận động và tăng trưởng không ngừng của nền kinh tế số trong khu vực, với giá trị ước tính lên đến gần 1 nghìn tỉ đô-la vào năm 2030.
  • 5G và những thay đổi toàn diện trong xây dựng thành phố thông minh
    Với tốc độ cực cao, độ trễ cực thấp, băng thông rộng và kết nối mật độ cực lớn, 5G là hạ tầng cốt lõi hỗ trợ toàn diện cho sự đổi mới và phát triển của thành phố thông minh trên tất cả các lĩnh vực, tác động tích cực vào công tác xây dựng và quản lý thành phố, tạo ra một môi trường sống tiện nghi, bền vững và an toàn hơn bao giờ hết.
  • Vượt qua hơn 1.000 doanh nghiệp, Bưu điện Việt Nam đạt giải Thương hiệu Quốc gia 2024
    Đây là lần thứ 2 liên tiếp Bưu điện Việt Nam vinh dự nhận giải thưởng danh giá này bởi những thành tựu lớn trong lĩnh vực logistics, bưu chính chuyển phát tại Việt Nam và Quốc tế.
  • Trên 1 triệu người đăng ký tài khoản “Công dân Thủ đô số”
    Theo thông tin từ Sở Thông tin và Truyền thông Hà Nội, tính đến hết tháng 10/2024, ứng dụng “Công dân Thủ đô số” – iHanoi đã đã có khoảng 14 triệu lượt người dân truy cập khai thác, sử dụng. Tổng số người dùng đăng ký tài khoản trên ứng dụng này lên tới 1.043.724.
  • Sắp diễn ra Lễ hội văn hoá ẩm thực Hà Nội năm 2024
    UBND TP. Hà Nội vừa ban hành Kế hoạch số 313/KH-UBND về việc tổ chức Lễ hội văn hóa ẩm thực Hà Nội năm 2024 (The HaNoi Culinary Culture Festival 2024) với chủ đề "Hà Nội kết nối năm châu".
  • GHTK được vinh danh Thương hiệu Quốc gia Việt Nam lần thứ hai
    Công ty CP Giao hàng Tiết Kiệm tự hào là một trong 190 doanh nghiệp tiêu biểu, đạt danh hiệu Thương hiệu Quốc gia Việt Nam năm 2024 trong số hơn 1.000 doanh nghiệp đăng ký.
  • Cuộc đua trung tâm dữ liệu AI tại Đông Nam Á
    Trí tuệ nhân tạo (AI) đã trở thành một động lực chính thúc đẩy đổi mới công nghệ toàn cầu và Đông Nam Á đang ngày càng khẳng định vai trò của mình trong cuộc đua phát triển AI. Hàng loạt các hãng công nghệ và đám mây lớn đã thông báo kế hoạch xây dựng, vận hành trung tâm dữ liệu mới tại Đông Nam Á.
  • Mở rộng trông xe không dùng tiền mặt mang lại lợi ích "kép"
    Việc áp dụng hình thức thanh toán qua ứng dụng thu phí không dừng VETC và mã QR vào hoạt động thanh toán phí gửi xe không dùng tiền mặt không những góp phần từng bước hình thành hệ thống giao thông thông minh mà còn tăng cường công tác quản lý nhà nước, minh bạch trong công tác thu phí dịch vụ trông giữ xe.
  • MobiFone được vinh danh Thương hiệu quốc gia Việt Nam 2024
    Tại Lễ công bố sản phẩm đạt Thương hiệu quốc gia Việt Nam năm 2024 tối 4/11, MobiFone xuất sắc được vinh danh tại sự kiện với 5 thương hiệu sản phẩm đột phá bao gồm: Dịch vụ viễn thông MobiFone, mobiEdu, ClipTV, mobiAgri và nền tảng số MobiFone.
  • 10 xu hướng định hình tương lai của quản lý giao dịch số
    Quản lý giao dịch số đang phát triển mạnh mẽ, được thúc đẩy bởi những tiến bộ công nghệ và nhu cầu ngày càng tăng về xử lý tài liệu an toàn, hiệu quả. Đây là công cụ quan trọng giúp doanh nghiệp giảm bớt thủ tục hành chính và tối ưu hóa quy trình xử lý tài liệu số.
Ba cách CNTT có thể giảm thiểu các mối đe dọa về bảo mật DNS
POWERED BY ONECMS - A PRODUCT OF NEKO