为什么 DNS 是新规范中最大的单点故障

安全咨询 0 30

网络安全领域的许多人可能熟悉这句话:“始终是 DNS”。这是业内流行的模因,经常提到内部域名系统 (DNS),即公司在线网络的动态主机配置协议 (DHCP) 部分,每当出现网络问题时,它始终是一个问题DNS。

然而,在新规范中,有一些比 DNS 的内部方面更大、更重要的东西,我们都应该注意。专注于内部网络反映了在防火墙内保护网络的网络安全方面的主要关注点。在新规范下,这种方法可能被证明是不够的,因为大多数网络威胁来自可控网络之外。

网络安全方面的更好做法是什么——设计安全还是默默无闻?

在大流行期间,多个政府发布了不同的 COVID 跟踪应用程序。有些被称赞为设计安全的,例如 Google ®和 Apple ® 的暴露通知,以及引发不同程度隐私问题的那些。在香港,当地社区呼吁开放源代码进行独立检查,政府声称这会导致应用程序出现安全问题。这个回复引发了两个安全原则之间的讨论:设计安全和默默无闻的安全。

设计安全是一种广为接受的网络安全最佳实践,而其对应的安全概念早在 1851 年就已被拒绝。尽管这一概念受到谴责,但我们都知道,默默无闻是一种非常普遍的做法。在现实世界中,保密是首选,因为几乎没有任何系统值得称其为设计安全。

为了说明这一点,区块链经常被错误地吹捧为通过设计来保护。区块链在设计上可能被认为是安全的,并且是具有高拜占庭容错能力的分布式计算系统的例证。

然而,在实践中发生了什么?2017 年,Ethereum Classic 的某人注意到几乎每个人都停止在他们的平台上进行交易。核心系统本身似乎没有受到损害。然而,在 2017 年 6 月 30 日的一段时间内,访问该网站并登录其帐户的每个人都暴露了其钱包的私钥。不到一年后,XLM 货币的加密货币应用程序 BlackWallet 的团队不得不通过社交媒体向所有人公开警告,暂时停止使用他们的服务。黑客接管了 BlackWallet 的 DNS,并将资金从用户转移到黑客的账户。

f32db1529be966d723b01dbb48a81731.jpg

对加密货币黑客历史的简要回顾揭示了更多网络设计没有妥协的案例,但是,黑客却进来了。人们可能会问,如何在不损害系统本身的情况下入侵安全系统。答案在于系统从来都不是独立的。虽然网络本身可能具有最高的安全性,但一旦网络连接到 Internet 进行外部交互——从网络到网络间——即使是最安全的系统也会变得不安全。这是因为网络间的设计不安全的

网络间通信依赖于我们称之为数字资产的几个关键基石——资产定义了公司在互联网上的身份,几乎用于所有外部通信。

DNS就是这样一种数字资产。当有人能够控制公司的 DNS 时,他们就可以破坏连接到它的任何东西。作为资产的域名和 DNS 定义了品牌是谁以及人们在哪里可以找到它。一旦某个品牌的网站被劫持,用户就不会知道他们正在连接到由黑客控制的服务器。

新规范中的威胁加剧

ed21286e4ee4f91ab435da4245fcfede.jpg

在互联网时代,设计的安全性并不总是有效,因为互联网在设计上是不安全的,这个问题可能会在 COVID-19 后的新规范中加剧。在传统的网络安全实践中,安全是通过预防和检测由价值数百万美元的安全投资来保护的网络入侵来实现的。在新规范中,所有员工设备都成为连接到网络的端点资产,它们现在驻留在网络之外。网络安全问题不再存在于您的网络中,它已日益成为网络间的安全问题。

2018年的文章在哈佛商业评论如何重新组织你的网络安全战略,提到了这个残酷的事实:“这不要紧,你的组织花多少钱在最新的网络安全硬件,软件,培训和工作人员...如果你的使命- 关键系统是数字化的,并以某种形式或方式连接到互联网,它们永远无法完全安全。时期。”

有些人试图通过将系统迁移到云端并专注于端点安全来应对这一新趋势。人们相信,云基础设施的大佬们应该有足够的知识和投资来应对互联网时代日益严重的安全问题。不幸的是,这可能不是正确的方法。云迁移的目的是将您的内部部署网络移动到由其他人运营的更大网络。它取代并提高了网络安全性,但并非旨在解决网络间安全问题。


也许您对下面的内容还感兴趣:

留言0

评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。