rvlsoft - Fotolia.
DNS威胁出现在IOT粘附点
组织可以在IoT技术的兴奋中进行包裹,并忘记该旧技术,包括DNS,可能无法支持和保护新的技术和旧技术。
IT专业人士在将物联网设备引入其组织时,绝不能忽视物联网安全风险带来的DNS威胁。
IOT主要通过连接实现价值,包括与分析和决策相关的数据收集和动作。IoT设备连接严重依赖于此DNS,1980年代 - 复古分散命名系统。但是,DNS可能无法为当今所连接设备的规模,流量和安全期望做好准备。
一些高调的攻击利用了DNS,比如思科塔洛斯安全研究人员在2018年发现的被称为DNSpionage的复杂网络间谍活动。美国国土安全部于2019年初向政府机构发出通知,建议它们确保其域名中的DNS安全。企业战略集团(Enterprise Strategy Group)分析师John Grady表示,这种做法提高了人们对DNS威胁的认识。
IT专家必须考虑使用DNS的不同类型的攻击,包括可用性或分布式拒绝服务(DDoS)攻击,恶意重定向引入恶意软件或通过DNS隧道泄漏数据。所有这些担忧让人们重新关注DNS。
格雷迪说:“基本上,如果你不保护DNS,你就会受到许多不同的威胁。”
DNS国旗日和DNSSEC旨在补救DNS威胁
DNS供应商和运营商开始这样做倡议解决DNS担忧称为DNS国旗日这侧重于实现DNS的扩展机制来增强安全性。DNS标志2020将专注于DNS-Over-TCP,尤其是IP数据包碎片。此外,IT专业人员表明,Gary表示,对加密DNS的兴趣增加并采用DNSSEC。
企业需要评估其现有的内部部署DNS基础设施效率。 Manali de Bhaumik.信息服务集团物联网助理经理
DNSSEC使用基于公钥基础架构的数字签名确保DNS数据准确并且未经修改,并由域名所有者发起。加密DNS与传统DNS的比较方式类似于HTTPS与HTTP的比较方式。
“作为[DNSSEC]涉及物联网设备,有助于确保当连接的设备到达Web进行软件更新时,它将被发送到正确的位置,而不是恶意重定向,”Grady说。
同样,DNSSEC可以确保IOT设备不会损害以用于a僵尸网络,这是一种公认的攻击模式。
组织能做些什么来减轻DNS的威胁?
2019年,互联网名称与数字地址分配公司(Internet Corporation for Assigned Names and Numbers)发布了一份报告,解决了物联网和DNS的威胁,并建议供应商尝试解决这些风险。弗雷斯特研究公司(Forrester Research)的分析师梅里特·马克西姆(Merritt Maxim)说,用户的设备也必须得到良好的保护,因为经验表明,恶意行为者可能会加载恶意软件,并制造进一步的攻击。DNS不一定是最薄弱的地方;他说,最常见的问题可能是设备本身。
IoT INT分析公司信息服务集团IOT助理经理Manali de Bhaumik同意并表示企业必须认识到IoT通过更大的僵尸网络迅速成为DNS的重要威胁导管。这意味着组织必须升级其工业物联网(IIT)协议标准,如消息队列遥测运输和开放式平台通信统一架构。
“这使得它能够平稳地融合,并且[操作技术]德布努姆表示,随着能够处理DDOS交通的升级的DNS服务,需要提高互操作性和安全标准,”De Bhaumik说。她说,拥有多个DNS服务还可以确保关键服务的连续性,以及客户楼宇设备的额外DNS安全层可以检测各种网络立场模式。
组织必须确保其整个网络与协议升级的兼容性。“[升级]有IOT用例,但在大多数情况下,我不认为部署将是用法的情况,但相当一切,而是全部或全部,”De Bhaumik说。
物联网的另一个危险是,持续的软件更新会给DNS带来加载负担。
“即使有适当的安全措施,你也可以拥有一个允许远程软件更新和补丁的设备,如果不能有效地编写,类似的设备可能会同时ping,”Maxim说。“当你在谈论数百万或数千万台设备时,可能会产生DDoS效应,因为DNS无法承担负载。”
事实上,IOT设备是IP启用的,不仅继续在传统的物联网应用中扮演一个至关重要的角色,而且可能在Bhaumik表示,这可能会提出重大威胁。
“企业需要评估其现有的本地DNS基础设施效率,”她说。
格雷迪说:“我认为,我们的大部分行业将不会解决这一问题,相对于他们的工业物联网部署,他们仍然很脆弱。”另一方面,为了增强安全性而对DNS提出的修改需要很长时间才能实现。他说:“DNS基础设施的根本改变还需要一段时间,才能让物联网设备变得无用。”
Forrester分析师Greg Siegfried同意了。
DNS一直保持着相对的兼容性,任何类似这样的改变都不会消除更传统的解析名字的方式,这种想法是不太可能的。我们说的是10到20年的时间;它不会在一夜之间被调换,”他说。
