Bảo mật DNS không còn là tùy chọn

Anh Học| 08/08/2019 16:35
Theo dõi ICTVietnam trên

Các sự cố bảo mật DNS có cấu hình cao đã trở thành tiêu đề nổi bật gần đây như một lời nhắc nhở rằng đây là phần không thể thiếu của internet. Không giống như tài sản doanh nghiệp ví dụ như điểm cuối hoặc mạng, trung tâm dữ liệu hay còn gọi là DNS là cơ sở hạ tầng công cộng, vì vậy nhiều doanh nghiệp dựa vào các nhà đăng ký và ISP để bảo vệ nó. Các sự kiện gần đây cho thấy đây là thời điểm tốt để xem xét lại chiến lược của bạn về bảo mật DNS.

Kết quả hình ảnh cho DNS security is no longer optional

Hiểu rõ về các rủi ro

Có ba điểm mà việc tra cứu trên DNS có thể bị tấn công. Đầu tiên là trên điểm cuối của người dùng, điểm này có thể bị nhiễm mã độc ghi đè lên cấu hình DNS của thiết bị. Thứ hai là thông qua Wi-Fi công cộng, nơi mà việc kết nối có thể dễ dàng bị tấn công. Mối đe dọa thứ ba đối với DNS là bản thân các hồ sơ lưu. Bằng cách đánh cắp thông tin đăng nhập, kẻ tấn công có thể truy cập các tài khoản DNS cụ thể và chuyển hướng lưu lượng truy cập đến một trang web mà chúng kiểm soát. Hoặc ở quy mô lớn hơn, chúng có thể tấn công các nhà đăng ký DNS và thay đổi nhiều bản ghi.

Những kỹ thuật này có thể được triển khai vì một số mục đích. Chúng có thể được sử dụng để gửi một người dùng đến một trang web “xấu” tải xuống phần mềm độc hại hoặc đánh cắp thông tin đăng nhập. Chúng có thể được sử dụng để chống lại ứng dụng SaaS - ví dụ như chương trình CRM - để lọc dữ liệu. Và, chúng có thể được sử dụng trong một cuộc tấn công nhằm mục tiêu chống lại một tổ chức cụ thể để có quyền truy cập vào email của công ty hoặc tài nguyên mạng riêng.

Cùng đưa ra một giải pháp

Có giải pháp nào không? Thật ra là có, nhưng như thường lệ, một giải pháp không thể phù hợp với tất cả. Mỗi tổ chức cần ưu tiên xác định mức độ bảo mật mà họ cần và thực hiện một hoặc nhiều giải pháp tương ứng.

Để bảo vệ người dùng tiếp cận các tên miền độc hại, doanh nghiệp có thể sử dụng giải pháp bảo mật DNS kiểm tra danh tiếng DNS để chặn quyền truy cập vào các tên miền xấu và chặn proxy truy cập vào các miền đáng ngờ. Để thực hiện điều này hiệu quả trên máy tính xách tay ngoài mạng LAN, bạn sẽ cần triển khai một điểm cuối ngoài Nền tảng bảo vệ điểm cuối hiện tại của bạn. Cách tiếp cận này thường sẽ ngăn người dùng truy cập vào một trang web xấu hoặc mạo danh của người dùng trong trường hợp tra cứu DNS hoặc bản ghi DNS bị xâm phạm.

Khi nói đến việc bảo vệ các ứng dụng của bạn khỏi cuộc tấn công DNS, tuyến bảo vệ đầu tiên là sử dụng dịch vụ đăng ký DNS được quản lý, bảo mật như Cloudflare hoặc NS1. Ngoài việc thực hiện các biện pháp để bảo vệ các cơ quan đăng ký của họ khỏi bị tấn công, họ cung cấp DNSSEC, một phần mở rộng cho tiêu chuẩn ký mã hóa các bản ghi DNS để xác minh tính xác thực của chúng.

Vẫn còn một số vấn đề vận hành với tiêu chuẩn này, nhưng khi việc áp dụng tăng lên thì họ nên cải thiện. Tuy nhiên, trong khi chúng làm giảm đáng kể rủi ro, chúng không thể chống lại mọi hình thức tấn công.

Còn VPN truyền thống thì sao?

Một câu hỏi đáng được đặt ra là liệu một ứng dụng riêng tư có nên được tiếp xúc với internet hay không, đặc biệt là giờ đây khi DNS đang được nhắm mục tiêu xâm phạm. Nếu một ứng dụng chỉ dành cho việc sử dụng nội bộ, nên giới hạn quyền truy cập vào VPN bên cạnh các vấn đề bảo mật DNS được đề cập ở trên. Cách tiếp cận này khá phổ biến khi hầu hết việc truy cập diễn ra trên mạng LAN văn phòng và hạn chế nhu cầu truy cập từ xa.

Ngày nay, một số yếu tố - bao gồm số lượng nhân viên từ xa và di chuyển đám mây ngày càng tăng - đã dẫn đến nhiều ứng dụng doanh nghiệp được tiếp xúc với internet. Nhân viên không thích sử dụng VPN và các chuyên gia CNTT không thích triển khai, duy trì và hỗ trợ họ với lý do chính đáng. Nhưng rủi ro bảo mật là rất lớn. Ngoài bảo mật DNS, các ứng dụng tiếp xúc với internet có nguy cơ bị tấn công DDoS, tấn công API, tấn công phía máy khách, vv...

Thế hệ tiếp theo, một sự thay thế VPN được quản lý

May mắn thay, có một cách để cô lập các ứng dụng doanh nghiệp khỏi internet, đồng thời giải quyết các vấn đề về bảo mật và hoạt động của VPN thông thường. Các vành đai được xác định bằng phần mềm (SDP) là một giải pháp thay thế VPN luôn được cung cấp dưới dạng dịch vụ, từ đám mây để có thể truy cập an toàn, phân đoạn an toàn và bảo mật web được phân phối trên đám mây, bên cạnh trải nghiệm thân thiện với quản lý.

Thay vì cách tiếp cận cũ là kết nối người dùng với mạng, SDP kết nối họ với các ứng dụng hoặc tài nguyên mạng cụ thể như máy chủ. Mọi thứ khác là vô hình với người dùng, và do đó bị cô lập khỏi các mối đe dọa trên điểm cuối. Cách tiếp cận này một mặt cô lập các ứng dụng doanh nghiệp khỏi internet và mặt khác, giới hạn bề mặt tấn công mạng.

Các giải pháp SDP nâng cao luôn hướng tới việc bảo mật liên tục để khi bạn ở quán cà phê hoặc sân bay, trước tiên bạn kết nối và truy cập cả ứng dụng doanh nghiệp và internet. Cách tiếp cận này bảo vệ bạn khỏi cả ba rủi ro DNS được thảo luận ở trên:

  • Các lần truy cập không thể bị tấn công và không bị gửi đến một máy chủ DNS lừa đảo.
  • Các ứng dụng doanh nghiệp chỉ có thể truy cập qua SDP. Không có bản ghi DNS công khai nào có thể được nhắm mục tiêu và khai thác.
  • Tất cả các truy cập internet được xử lý bởi một máy chủ DNS an toàn, được quản lý cùng với các nguồn cấp từ dịch vụ DNS danh tiếng để đảm bảo tính xác thực cũng như chặn các tên miền độc hại. Ngoài ra, dịch vụ cổng web bảo mật (Secure Web Gateway) và cách ly web (Web Isolation) có thể được kích hoạt theo yêu cầu dựa trên nhiều yếu tố rủi ro.

Dịch vụ bảo mật DNS

Đối với bảo mật, như mọi khi, có một sự đánh đổi giữa mức độ bảo vệ và các nguồn lực cần thiết để thực hiện. Điều tốt nhất về các giải pháp SDP tiên tiến là chúng được phân phối dưới dạng dịch vụ, và bảo mật DNS được tích hợp sẵn. Công nghệ VPN có sự bảo mật liên tục có nghĩa là người dùng có thể truy cập an toàn vào cả ứng dụng doanh nghiệp và internet mọi lúc, bất kể vị trí của chúng ở đâu. Nhóm CNTT được hưởng lợi từ ba loại bảo mật DNS là một phần không thể thiếu của giải pháp.

Nổi bật Tạp chí Thông tin & Truyền thông
Đừng bỏ lỡ
  • Xây dựng hạ tầng cho mạng 5G tương lai của Việt Nam
    Đông Nam Á là một trong những khu vực có tốc độ phát triển nhanh nhất trên thế giới. Dự kiến tới năm 2030, ASEAN (gồm 10 quốc gia Đông Nam Á) sẽ trở thành nền kinh tế lớn thứ tư toàn cầu. Phần lớn động lực thúc đẩy sự phát triển này đến từ sự vận động và tăng trưởng không ngừng của nền kinh tế số trong khu vực, với giá trị ước tính lên đến gần 1 nghìn tỉ đô-la vào năm 2030.
  • 5G và những thay đổi toàn diện trong xây dựng thành phố thông minh
    Với tốc độ cực cao, độ trễ cực thấp, băng thông rộng và kết nối mật độ cực lớn, 5G là hạ tầng cốt lõi hỗ trợ toàn diện cho sự đổi mới và phát triển của thành phố thông minh trên tất cả các lĩnh vực, tác động tích cực vào công tác xây dựng và quản lý thành phố, tạo ra một môi trường sống tiện nghi, bền vững và an toàn hơn bao giờ hết.
  • Vượt qua hơn 1.000 doanh nghiệp, Bưu điện Việt Nam đạt giải Thương hiệu Quốc gia 2024
    Đây là lần thứ 2 liên tiếp Bưu điện Việt Nam vinh dự nhận giải thưởng danh giá này bởi những thành tựu lớn trong lĩnh vực logistics, bưu chính chuyển phát tại Việt Nam và Quốc tế.
  • Cuộc đua trung tâm dữ liệu AI tại Đông Nam Á
    Trí tuệ nhân tạo (AI) đã trở thành một động lực chính thúc đẩy đổi mới công nghệ toàn cầu và Đông Nam Á đang ngày càng khẳng định vai trò của mình trong cuộc đua phát triển AI. Hàng loạt các hãng công nghệ và đám mây lớn đã thông báo kế hoạch xây dựng, vận hành trung tâm dữ liệu mới tại Đông Nam Á.
  • Mở rộng trông xe không dùng tiền mặt mang lại lợi ích "kép"
    Việc áp dụng hình thức thanh toán qua ứng dụng thu phí không dừng VETC và mã QR vào hoạt động thanh toán phí gửi xe không dùng tiền mặt không những góp phần từng bước hình thành hệ thống giao thông thông minh mà còn tăng cường công tác quản lý nhà nước, minh bạch trong công tác thu phí dịch vụ trông giữ xe.
  • 10 xu hướng định hình tương lai của quản lý giao dịch số
    Quản lý giao dịch số đang phát triển mạnh mẽ, được thúc đẩy bởi những tiến bộ công nghệ và nhu cầu ngày càng tăng về xử lý tài liệu an toàn, hiệu quả. Đây là công cụ quan trọng giúp doanh nghiệp giảm bớt thủ tục hành chính và tối ưu hóa quy trình xử lý tài liệu số.
  • Zalo giữ vững ngôi đầu nền tảng nhắn tin được yêu thích nhất
    Ngày 5/11, theo báo cáo “The Connected Consumer Q.III/2024” mới nhất do Decision Lab công bố, Zalo tiếp tục dẫn đầu các nền tảng nhắn tin tại Việt Nam về tỷ lệ sử dụng (renetration rate) và mức độ yêu thích (preference rate).
  • Triển vọng thị trường chữ ký số toàn cầu
    Thị trường chữ ký số toàn cầu đang có ​​sự tăng trưởng chưa từng có khi các doanh nghiệp và cá nhân ngày càng áp dụng các giải pháp số để xác thực tài liệu và giao dịch an toàn.
  • ĐMST mở xã hội mang lại cho 90% doanh nghiệp cơ hội tạo giá trị kinh doanh bền vững
    Theo bà Nguyễn Phương Linh, Viện trưởng Viện MSD, hơn 90% các doanh nghiệp cho rằng đổi mới sáng tạo (ĐMST) mở xã hội mang lại cho doanh nghiệp cơ hội tạo ra giá trị kinh doanh bền vững, tác động tích cực đến xã hội và môi trường.
  • ‏FPT đẩy mạnh phát triển giải pháp low-code tại thị trường Hàn Quốc‏
    ‏Mới đây, FPT vừa ký kết thỏa thuận hợp tác ba năm với OutSystems, chính thức trở thành đối tác phân phối và triển khai tại thị trường Hàn Quốc, đảm bảo thời gian ra mắt phần mềm của khách hàng được rút ngắn và tối ưu chi phí.
Bảo mật DNS không còn là tùy chọn
POWERED BY ONECMS - A PRODUCT OF NEKO