Bảo mật DNS không còn là tùy chọn

Anh Học| 08/08/2019 16:35
Theo dõi ICTVietnam trên

Các sự cố bảo mật DNS có cấu hình cao đã trở thành tiêu đề nổi bật gần đây như một lời nhắc nhở rằng đây là phần không thể thiếu của internet. Không giống như tài sản doanh nghiệp ví dụ như điểm cuối hoặc mạng, trung tâm dữ liệu hay còn gọi là DNS là cơ sở hạ tầng công cộng, vì vậy nhiều doanh nghiệp dựa vào các nhà đăng ký và ISP để bảo vệ nó. Các sự kiện gần đây cho thấy đây là thời điểm tốt để xem xét lại chiến lược của bạn về bảo mật DNS.

Kết quả hình ảnh cho DNS security is no longer optional

Hiểu rõ về các rủi ro

Có ba điểm mà việc tra cứu trên DNS có thể bị tấn công. Đầu tiên là trên điểm cuối của người dùng, điểm này có thể bị nhiễm mã độc ghi đè lên cấu hình DNS của thiết bị. Thứ hai là thông qua Wi-Fi công cộng, nơi mà việc kết nối có thể dễ dàng bị tấn công. Mối đe dọa thứ ba đối với DNS là bản thân các hồ sơ lưu. Bằng cách đánh cắp thông tin đăng nhập, kẻ tấn công có thể truy cập các tài khoản DNS cụ thể và chuyển hướng lưu lượng truy cập đến một trang web mà chúng kiểm soát. Hoặc ở quy mô lớn hơn, chúng có thể tấn công các nhà đăng ký DNS và thay đổi nhiều bản ghi.

Những kỹ thuật này có thể được triển khai vì một số mục đích. Chúng có thể được sử dụng để gửi một người dùng đến một trang web “xấu” tải xuống phần mềm độc hại hoặc đánh cắp thông tin đăng nhập. Chúng có thể được sử dụng để chống lại ứng dụng SaaS - ví dụ như chương trình CRM - để lọc dữ liệu. Và, chúng có thể được sử dụng trong một cuộc tấn công nhằm mục tiêu chống lại một tổ chức cụ thể để có quyền truy cập vào email của công ty hoặc tài nguyên mạng riêng.

Cùng đưa ra một giải pháp

Có giải pháp nào không? Thật ra là có, nhưng như thường lệ, một giải pháp không thể phù hợp với tất cả. Mỗi tổ chức cần ưu tiên xác định mức độ bảo mật mà họ cần và thực hiện một hoặc nhiều giải pháp tương ứng.

Để bảo vệ người dùng tiếp cận các tên miền độc hại, doanh nghiệp có thể sử dụng giải pháp bảo mật DNS kiểm tra danh tiếng DNS để chặn quyền truy cập vào các tên miền xấu và chặn proxy truy cập vào các miền đáng ngờ. Để thực hiện điều này hiệu quả trên máy tính xách tay ngoài mạng LAN, bạn sẽ cần triển khai một điểm cuối ngoài Nền tảng bảo vệ điểm cuối hiện tại của bạn. Cách tiếp cận này thường sẽ ngăn người dùng truy cập vào một trang web xấu hoặc mạo danh của người dùng trong trường hợp tra cứu DNS hoặc bản ghi DNS bị xâm phạm.

Khi nói đến việc bảo vệ các ứng dụng của bạn khỏi cuộc tấn công DNS, tuyến bảo vệ đầu tiên là sử dụng dịch vụ đăng ký DNS được quản lý, bảo mật như Cloudflare hoặc NS1. Ngoài việc thực hiện các biện pháp để bảo vệ các cơ quan đăng ký của họ khỏi bị tấn công, họ cung cấp DNSSEC, một phần mở rộng cho tiêu chuẩn ký mã hóa các bản ghi DNS để xác minh tính xác thực của chúng.

Vẫn còn một số vấn đề vận hành với tiêu chuẩn này, nhưng khi việc áp dụng tăng lên thì họ nên cải thiện. Tuy nhiên, trong khi chúng làm giảm đáng kể rủi ro, chúng không thể chống lại mọi hình thức tấn công.

Còn VPN truyền thống thì sao?

Một câu hỏi đáng được đặt ra là liệu một ứng dụng riêng tư có nên được tiếp xúc với internet hay không, đặc biệt là giờ đây khi DNS đang được nhắm mục tiêu xâm phạm. Nếu một ứng dụng chỉ dành cho việc sử dụng nội bộ, nên giới hạn quyền truy cập vào VPN bên cạnh các vấn đề bảo mật DNS được đề cập ở trên. Cách tiếp cận này khá phổ biến khi hầu hết việc truy cập diễn ra trên mạng LAN văn phòng và hạn chế nhu cầu truy cập từ xa.

Ngày nay, một số yếu tố - bao gồm số lượng nhân viên từ xa và di chuyển đám mây ngày càng tăng - đã dẫn đến nhiều ứng dụng doanh nghiệp được tiếp xúc với internet. Nhân viên không thích sử dụng VPN và các chuyên gia CNTT không thích triển khai, duy trì và hỗ trợ họ với lý do chính đáng. Nhưng rủi ro bảo mật là rất lớn. Ngoài bảo mật DNS, các ứng dụng tiếp xúc với internet có nguy cơ bị tấn công DDoS, tấn công API, tấn công phía máy khách, vv...

Thế hệ tiếp theo, một sự thay thế VPN được quản lý

May mắn thay, có một cách để cô lập các ứng dụng doanh nghiệp khỏi internet, đồng thời giải quyết các vấn đề về bảo mật và hoạt động của VPN thông thường. Các vành đai được xác định bằng phần mềm (SDP) là một giải pháp thay thế VPN luôn được cung cấp dưới dạng dịch vụ, từ đám mây để có thể truy cập an toàn, phân đoạn an toàn và bảo mật web được phân phối trên đám mây, bên cạnh trải nghiệm thân thiện với quản lý.

Thay vì cách tiếp cận cũ là kết nối người dùng với mạng, SDP kết nối họ với các ứng dụng hoặc tài nguyên mạng cụ thể như máy chủ. Mọi thứ khác là vô hình với người dùng, và do đó bị cô lập khỏi các mối đe dọa trên điểm cuối. Cách tiếp cận này một mặt cô lập các ứng dụng doanh nghiệp khỏi internet và mặt khác, giới hạn bề mặt tấn công mạng.

Các giải pháp SDP nâng cao luôn hướng tới việc bảo mật liên tục để khi bạn ở quán cà phê hoặc sân bay, trước tiên bạn kết nối và truy cập cả ứng dụng doanh nghiệp và internet. Cách tiếp cận này bảo vệ bạn khỏi cả ba rủi ro DNS được thảo luận ở trên:

  • Các lần truy cập không thể bị tấn công và không bị gửi đến một máy chủ DNS lừa đảo.
  • Các ứng dụng doanh nghiệp chỉ có thể truy cập qua SDP. Không có bản ghi DNS công khai nào có thể được nhắm mục tiêu và khai thác.
  • Tất cả các truy cập internet được xử lý bởi một máy chủ DNS an toàn, được quản lý cùng với các nguồn cấp từ dịch vụ DNS danh tiếng để đảm bảo tính xác thực cũng như chặn các tên miền độc hại. Ngoài ra, dịch vụ cổng web bảo mật (Secure Web Gateway) và cách ly web (Web Isolation) có thể được kích hoạt theo yêu cầu dựa trên nhiều yếu tố rủi ro.

Dịch vụ bảo mật DNS

Đối với bảo mật, như mọi khi, có một sự đánh đổi giữa mức độ bảo vệ và các nguồn lực cần thiết để thực hiện. Điều tốt nhất về các giải pháp SDP tiên tiến là chúng được phân phối dưới dạng dịch vụ, và bảo mật DNS được tích hợp sẵn. Công nghệ VPN có sự bảo mật liên tục có nghĩa là người dùng có thể truy cập an toàn vào cả ứng dụng doanh nghiệp và internet mọi lúc, bất kể vị trí của chúng ở đâu. Nhóm CNTT được hưởng lợi từ ba loại bảo mật DNS là một phần không thể thiếu của giải pháp.

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Chìa khóa giải quyết thách thức trong bảo vệ trẻ em trên không gian mạng
    Trẻ em - đối tượng dễ bị tổn thương nhất, đang phải đối mặt với nhiều nguy cơ. Đây không chỉ là bài toán của riêng Việt Nam mà còn là thách thức toàn cầu đòi hỏi sự chung tay hợp tác từ nhiều phía.
  • Việt Nam đang đối mặt 3 thách thức an toàn thông tin
    Các cuộc tấn công mạng hiện nay ngày càng tinh vi và phức tạp hơn, đặc biệt khi có sự hỗ trợ của trí tuệ nhân tạo. Tuy nhiên, việc kết hợp công nghệ này với trí tuệ của con người đã giúp phát hiện và phòng, chống tấn công mạng hiệu quả hơn.
  • Bốn giải pháp trọng tâm để giải bài toán an toàn dữ liệu quốc gia
    Theo Thứ trưởng Bộ TT&TT Bùi Hoàng Phương, năm 2024 đánh dấu bước tiến vượt bậc của Việt Nam trong lĩnh vực an toàn thông tin. Tuy nhiên, còn rất nhiều thách thức cần vượt qua để đảm bảo an toàn dữ liệu quốc gia.
  • Robot Delta hữu dụng trong nhiều ngành
    Nhờ vào thiết kế độc đáo và khả năng hoạt động với tốc độ và độ chính xác cao, robot Delta là một giải pháp tối ưu trong nhiều ngành công nghiệp hiện đại.
  • Cà Mau ứng dụng các phần mềm chuyển đổi số trong ngành nông nghiệp
    Ngành nông nghiệp tỉnh Cà Mau đã không ngừng triển khai các giải pháp chuyển đổi số thông qua việc sử dụng các phần mềm, xây dựng cơ sở dữ liệu chuyên ngành phục vụ quản lý, điều hành. Trong tương lai không xa, các phần mềm này sẽ hoàn thiện và bắt kịp xu hướng công nghệ để hỗ trợ người nông dân nhiều hơn trong việc tăng gia sản xuất.
  • Chính thức ra mắt Nền tảng hỗ trợ diễn tập thực chiến an toàn thông tin
    Nền tảng hướng tới nâng cao chất lượng và điều phối hiệu quả các hoạt động diễn tập trên toàn quốc thông qua nền tảng hỗ trợ diễn tập thực chiến an toàn thông tin.
  • Bảo vệ các hệ thống mạng trọng yếu là cấp thiết
    Song song với tiến trình chuyển đổi số, các chiến dịch tấn công mạng, gián điệp và khủng bố mạng nhằm vào hệ thống công nghệ thông tin (IT) và công nghệ vận hành (OT) trọng yếu ngày càng gia tăng, việc đảm bảo an ninh mạng trở thành ưu tiên hàng đầu của các quốc gia.
  • ‏OPPO Find X8 Series sẽ chính thức lên kệ ngày 7/12‏
    Ngày 21/11, OPPO chính thức ra mắt Find X8 Series‏‏ tại Việt Nam và sẽ lên kệ ngày 7/12 tới. Đây là lần đầu tiên người dùng Việt Nam được trải nghiệm dòng flagship cao cấp nhất của OPPO cùng lúc với toàn cầu. ‏
  • Chuyển đổi số từ thực tiễn Báo Hải Dương
    Báo Hải Dương có nhiều thuận lợi khi thực hiện chuyển đổi số. Đó là Ban Biên tập có quyết tâm cao. Đội ngũ cán bộ, phóng viên, nhân viên của báo nhanh nhạy với cái mới, ham học hỏi...
  • Đưa siêu ứng dụng "Công dân Thủ đô số - iHanoi" vào cuộc sống
    “Công dân Thủ đô số” - iHaNoi là kênh tương tác trực tuyến trên môi trường số giữa người dân, doanh nghiệp với các cấp chính quyền thành phố Hà Nội. Qua ứng dụng này, người dân và doanh nghiệp có thể phản ánh các vấn đề đời sống, từ đó giúp chính quyền tiếp nhận và giải quyết kịp thời.
Bảo mật DNS không còn là tùy chọn
POWERED BY ONECMS - A PRODUCT OF NEKO