上个月1月22日nd 美国国土安全部采取了不同寻常的措施,向所有联邦机构发布了紧急指令19-01. 该指令发布了这些机构必须采取的措施,以减轻潜在的DNS基础设施篡改.
该指令的发布是对一系列真实事件的直接回应,攻击者破坏了DNS基础设施,导致攻击者将流量重定向到攻击者控制下的外部设备的合法服务. 接下来升级为攻击者能够在受损组织的域名下获得有效的加密证书, 从而创建将用户提交的数据公开给代理系统的能力.
而私人和其他非联邦公共机构不属于该指令的管辖范围, 所有组织当然都可以采用许多相同的实践来帮助提高其DNS环境的安全性.
国土安全部列出了要求所有联邦机构在10天内遵守的行动(以释义形式)(但对我们其他人来说只是建议行动):
1 - 审计所有权威和辅助DNS服务器上的所有公共DNS记录,以验证它们解析到预期位置.
这是一个简单的建议,去看看,以确保你认为你应该指向的是你真正指向的,而不是妥协. 将此设置为团队定期安排的定期DNS运行状况检查项目可能是个好主意.
2 – 更新可以更改组织DNS记录的系统上所有帐户的密码.
这明显建议使用强密码和密码管理器. 这里涉及的帐户不仅是服务器上的帐户本身,还包括维护主域注册记录的帐户.
3 – 对可能更改组织DNS记录的系统上的所有帐户实现多因素身份验证(MFA).
根据DNS服务器平台的不同,这个问题处理起来有点棘手. 处理此问题的另一种方法是限制对DNS服务器平台的远程登录访问,然后提供对该系统控制台的访问的其他控制.
将MFA添加到域名注册帐户和/或云DNS提供商可能是一件相当简单的事情,具体取决于您的提供商.
4 – 监视所有主动颁发的加密证书,看是否存在未授权的证书颁发.
该指令涉及国土安全部为联邦机构跟踪证书发放的相当广泛的内部流程.
对于我们其余的人来说,我们的证书通常是由我们的域名注册通过相同的帐户和提供商颁发的. 这突出了建议2的重要性 & 如有可能,请寄上上述3条. 这也意味着理想的做法是定期监测该帐户及其下颁发的证书.
这一指令只是一长串提醒之一,提醒我们监控所有与互联网接触的网络不再是一个可有可无的话题. 作为网络防御者,我们必须时刻保持警惕,因为攻击者会利用任何和所有对他们开放的立足点来试图进入我们的网络.
你可以在这里阅读更多关于该指令及其常见问题解答:
http://cyber.国土Security部.gov/ed/19-01/
如果您需要帮助或想要讨论实施本文中推荐的任何控制,请APP客户端的办公室.
最近的评论