CDSS
目录
Advanced DNS Security
Why:
- 根据 Unit42 调查,85% 的 malware 会借用 DNS 进行 C2 通信,DNS 可被用于数据提取、C2、DDoS 等
解决的问题:
- 对 DNS 流量进行实时的探测,检测 DNS 请求和回应流量中的异常/恶意流量
- 防止到恶意域名的访问(先本地检测,再云端检测)
- 避免 DNS 劫持、DNS 误配置、DNS 隧道、DNS 缓存中毒等问题
- DNS 影子资产发现:发现并控制企业中 DNS 的配置和流量
优势:
- 传统 DNS 安全通常依赖于日志,以及事后分析,DNS Security 则可以实时进行威胁发现和阻断
- 可以无缝接入网络中,不需要调整 DNS 架构
- DNS 的流量通常很大,所以很难基于日志去分析
- 具备自动学习功能,可建立 DNS 基线,或者手动创建 DNS 流量 Profile
传统方案:
- SWG:SWG 通常只关心 Web 安全,不会聚焦 DNS 安全,而安全建设需要从多个层面建立深度防御
- 独立的可进行 DNS 保护的方案:比如 IPS、Web 安全、CASB 等,这些方案各有侧重点,如果想全方位保护 DNS 可能需要多个独立的方案
- 基于防火墙的保护:通常会有域名黑名单,但是黑名单通常覆盖有限;同时也比较难防护复杂的攻击技术
- 基于 DNS Server 的防护,比如 DDI:通过过滤 DNS Server 侧的请求来实现,但是不能解决 Client 侧 DNS 配置错误/被篡改的问题
对于 DoT 和 DoH 的支持
DoH:DNS over HTTPS
- 可以通过 App-ID 识别 DoH 流量,进而阻止 DoH 流量(需要解密)
DoT:DNS over TLS
- 执行解密,然后配置 DNS 安全策略