Bảo mật DNS không còn là tùy chọn
An toàn thông tin - Ngày đăng : 16:35, 08/08/2019
Hiểu rõ về các rủi ro
Có ba điểm mà việc tra cứu trên DNS có thể bị tấn công. Đầu tiên là trên điểm cuối của người dùng, điểm này có thể bị nhiễm mã độc ghi đè lên cấu hình DNS của thiết bị. Thứ hai là thông qua Wi-Fi công cộng, nơi mà việc kết nối có thể dễ dàng bị tấn công. Mối đe dọa thứ ba đối với DNS là bản thân các hồ sơ lưu. Bằng cách đánh cắp thông tin đăng nhập, kẻ tấn công có thể truy cập các tài khoản DNS cụ thể và chuyển hướng lưu lượng truy cập đến một trang web mà chúng kiểm soát. Hoặc ở quy mô lớn hơn, chúng có thể tấn công các nhà đăng ký DNS và thay đổi nhiều bản ghi.
Những kỹ thuật này có thể được triển khai vì một số mục đích. Chúng có thể được sử dụng để gửi một người dùng đến một trang web “xấu” tải xuống phần mềm độc hại hoặc đánh cắp thông tin đăng nhập. Chúng có thể được sử dụng để chống lại ứng dụng SaaS - ví dụ như chương trình CRM - để lọc dữ liệu. Và, chúng có thể được sử dụng trong một cuộc tấn công nhằm mục tiêu chống lại một tổ chức cụ thể để có quyền truy cập vào email của công ty hoặc tài nguyên mạng riêng.
Cùng đưa ra một giải pháp
Có giải pháp nào không? Thật ra là có, nhưng như thường lệ, một giải pháp không thể phù hợp với tất cả. Mỗi tổ chức cần ưu tiên xác định mức độ bảo mật mà họ cần và thực hiện một hoặc nhiều giải pháp tương ứng.
Để bảo vệ người dùng tiếp cận các tên miền độc hại, doanh nghiệp có thể sử dụng giải pháp bảo mật DNS kiểm tra danh tiếng DNS để chặn quyền truy cập vào các tên miền xấu và chặn proxy truy cập vào các miền đáng ngờ. Để thực hiện điều này hiệu quả trên máy tính xách tay ngoài mạng LAN, bạn sẽ cần triển khai một điểm cuối ngoài Nền tảng bảo vệ điểm cuối hiện tại của bạn. Cách tiếp cận này thường sẽ ngăn người dùng truy cập vào một trang web xấu hoặc mạo danh của người dùng trong trường hợp tra cứu DNS hoặc bản ghi DNS bị xâm phạm.
Khi nói đến việc bảo vệ các ứng dụng của bạn khỏi cuộc tấn công DNS, tuyến bảo vệ đầu tiên là sử dụng dịch vụ đăng ký DNS được quản lý, bảo mật như Cloudflare hoặc NS1. Ngoài việc thực hiện các biện pháp để bảo vệ các cơ quan đăng ký của họ khỏi bị tấn công, họ cung cấp DNSSEC, một phần mở rộng cho tiêu chuẩn ký mã hóa các bản ghi DNS để xác minh tính xác thực của chúng.
Vẫn còn một số vấn đề vận hành với tiêu chuẩn này, nhưng khi việc áp dụng tăng lên thì họ nên cải thiện. Tuy nhiên, trong khi chúng làm giảm đáng kể rủi ro, chúng không thể chống lại mọi hình thức tấn công.
Còn VPN truyền thống thì sao?
Một câu hỏi đáng được đặt ra là liệu một ứng dụng riêng tư có nên được tiếp xúc với internet hay không, đặc biệt là giờ đây khi DNS đang được nhắm mục tiêu xâm phạm. Nếu một ứng dụng chỉ dành cho việc sử dụng nội bộ, nên giới hạn quyền truy cập vào VPN bên cạnh các vấn đề bảo mật DNS được đề cập ở trên. Cách tiếp cận này khá phổ biến khi hầu hết việc truy cập diễn ra trên mạng LAN văn phòng và hạn chế nhu cầu truy cập từ xa.
Ngày nay, một số yếu tố - bao gồm số lượng nhân viên từ xa và di chuyển đám mây ngày càng tăng - đã dẫn đến nhiều ứng dụng doanh nghiệp được tiếp xúc với internet. Nhân viên không thích sử dụng VPN và các chuyên gia CNTT không thích triển khai, duy trì và hỗ trợ họ với lý do chính đáng. Nhưng rủi ro bảo mật là rất lớn. Ngoài bảo mật DNS, các ứng dụng tiếp xúc với internet có nguy cơ bị tấn công DDoS, tấn công API, tấn công phía máy khách, vv...
Thế hệ tiếp theo, một sự thay thế VPN được quản lý
May mắn thay, có một cách để cô lập các ứng dụng doanh nghiệp khỏi internet, đồng thời giải quyết các vấn đề về bảo mật và hoạt động của VPN thông thường. Các vành đai được xác định bằng phần mềm (SDP) là một giải pháp thay thế VPN luôn được cung cấp dưới dạng dịch vụ, từ đám mây để có thể truy cập an toàn, phân đoạn an toàn và bảo mật web được phân phối trên đám mây, bên cạnh trải nghiệm thân thiện với quản lý.
Thay vì cách tiếp cận cũ là kết nối người dùng với mạng, SDP kết nối họ với các ứng dụng hoặc tài nguyên mạng cụ thể như máy chủ. Mọi thứ khác là vô hình với người dùng, và do đó bị cô lập khỏi các mối đe dọa trên điểm cuối. Cách tiếp cận này một mặt cô lập các ứng dụng doanh nghiệp khỏi internet và mặt khác, giới hạn bề mặt tấn công mạng.
Các giải pháp SDP nâng cao luôn hướng tới việc bảo mật liên tục để khi bạn ở quán cà phê hoặc sân bay, trước tiên bạn kết nối và truy cập cả ứng dụng doanh nghiệp và internet. Cách tiếp cận này bảo vệ bạn khỏi cả ba rủi ro DNS được thảo luận ở trên:
- Các lần truy cập không thể bị tấn công và không bị gửi đến một máy chủ DNS lừa đảo.
- Các ứng dụng doanh nghiệp chỉ có thể truy cập qua SDP. Không có bản ghi DNS công khai nào có thể được nhắm mục tiêu và khai thác.
- Tất cả các truy cập internet được xử lý bởi một máy chủ DNS an toàn, được quản lý cùng với các nguồn cấp từ dịch vụ DNS danh tiếng để đảm bảo tính xác thực cũng như chặn các tên miền độc hại. Ngoài ra, dịch vụ cổng web bảo mật (Secure Web Gateway) và cách ly web (Web Isolation) có thể được kích hoạt theo yêu cầu dựa trên nhiều yếu tố rủi ro.
Dịch vụ bảo mật DNS
Đối với bảo mật, như mọi khi, có một sự đánh đổi giữa mức độ bảo vệ và các nguồn lực cần thiết để thực hiện. Điều tốt nhất về các giải pháp SDP tiên tiến là chúng được phân phối dưới dạng dịch vụ, và bảo mật DNS được tích hợp sẵn. Công nghệ VPN có sự bảo mật liên tục có nghĩa là người dùng có thể truy cập an toàn vào cả ứng dụng doanh nghiệp và internet mọi lúc, bất kể vị trí của chúng ở đâu. Nhóm CNTT được hưởng lợi từ ba loại bảo mật DNS là một phần không thể thiếu của giải pháp.