Security Content

เคล็ดลับในการป้องกันองค์กรให้ปลอดภัยจากการโจมตีด้วย DNS

Posted on by Ariya Phornpraphan
เคล็ดลับในการป้องกันองค์กรให้ปลอดภัยจากการโจมตีด้วย DNS
07
Jan

เคล็ดลับในการป้องกันองค์กรให้ปลอดภัยจากการโจมตีด้วย DNS สิ่งที่คุณต้องทำจะเกี่ยวข้องกับความปลอดภัยของ DNS เพื่อปกป้องความปลอดภัยของบริษัท

Domain Name System คืออะไร ?

ระบบชื่อโดเมน (DNS) เป็นเครือข่ายแบบรวมศูนย์ที่ดำเนินการโดยองค์กรต่างๆ ทั่วโลก โดยช่วงแรกการจะเข้าเว็บไซต์คุณต้องกรอกหมายเลข IP address เป็นตัวเลขซึ่งจำได้ยากทำให้มีการพัฒนา และคิดค้น Name Server เพื่อทำหน้าที่แปลงชื่อ Domain name ให้เป็น IP address นั้นเองเรียกได้ว่าในปัจจุบัน ผู้ใช้งานอินเทอร์เน็ตทุกคนต่างพึ่งพา DNS ปัจจุบันมีบริษัทดูแลที่แตกต่างกันออกไป TOP-level domain name โดยมีการแบ่งนามสกุลที่ชัดเจนเช่น .com จะมีบริษัท Verisign เป็นผู้ดูแล และใช้สำหรับ comercial ถ้าเป็น .edu หมายถึงสถานศึกษา และ .in.th คือเว็บไซต์ในประเทศไทยเป็นต้น

โลกปัจจุบันผู้ใช้ต้องการออนไลน์ที่ใช้งานได้ราบรื่น การรักษาความปลอดภัย DNS ได้กลายเป็นความท้าทายในการจัดการมากกว่าที่เคย นี่คือสิ่งที่คุณจำเป็นต้องรู้เกี่ยวกับหัวข้อและความสำคัญในการรักษาความปลอดภัยให้กับองค์กรของคุณ

คำจำกัดความการรักษาความปลอดภัย DNS

หมายถึงมาตรการป้องกันที่เกี่ยวข้องกับโปรโตคอลอย่างที่ทราบว่า DNS (ระบบชื่อโดเมน) ไม่ได้ถูกสร้างขึ้นโดยใช้แนวทางการรักษาความปลอดภัยในการออกแบบ

ย้อนกลับไปตอนที่เริ่มมีการคิดค้น DNS ภัยคุกคามด้านความปลอดภัยยังมีไม่มาก โดยสภาพแวดล้อมในอดีตมีวงการใช้งานที่ค่อนข้างแคบ และปลอดภัยกว่ามาก แต่เมื่อเวลาผ่านไปขนาดการใช้งานขยายวงกว้าง และมีผู้ใช้งานมากขึ้นเรื่อยๆ ทำให้ผู้ไม่หวังดีเริ่มสนใจหาผลประโยชน์จากสิ่งนี้

หลังจากนั้นมีการเพิ่มโครงสร้างพื้นฐานของ DNS หลายครั้ง และบางครั้งอาจไม่มีความรอบคอบมากนักทำให้ DNS ขาดความปลอดภัย จึงไม่น่าแปลกใจเลยที่บริษัทขนาดใหญ่ ขนาดเล็ก และผู้บริโภคทั่วไปตกภัยคุกคามจำนวนมาก

อ้างอิงจากรายงานภัยคุกคาม DNS ทั่วโลกปี 2564 ของ IDC https://heimdalsecurity.com/blog/all-about-botnets/:

  • 87% ขององค์กรตกเป็นเหยื่อของการโจมตีของ DNS
  • โดยเฉลี่ยแล้ว แต่ละองค์กรได้รับผลกระทบจากการโจมตี DNS 7.6 ครั้ง
  • ความเสียหายเฉลี่ยต่อการโดนโจมตี 1 ครั้งอยู่ที่ 950,000 ดอลลาร์ หรือ 30 ล้านบาท
  • การโจมตี DNS หยุดการทำงานของแอปพลิเคชันขององค์กรไปถึง 76%
  • 42% ขององค์กรไม่ได้ใช้โซลูชันการรักษาความปลอดภัย DNS โดยเฉพาะ

ไม่มีโครงสร้างอะไรที่ซับซ้อนวุ่นวาย และใช้กันมากเท่ากับ DNS บางทีคุณอาจเคยได้ยินเกี่ยวกับการโจมตีรูปแบบ Man-in-the-middle , การวางยา DNS และอื่นๆ การโจมตี DNS เหล่านี้เป็นสาเหตุหลักว่าทำไมนักพัฒนาจึงเปิดตัว DNSSEC ซึ่งเป็นความปลอดภัยชั้นแรกที่เก่าที่สุดของระบบชื่อโดเมน

DNSSEC คืออะไร ?

ในปี 1997 IETF ได้เปิดตัว RFC (ขอความคิดเห็น) เกี่ยวกับ DNSSEC (Domain Name System Security Extensions) ซึ่งเป็นข้อกำหนดที่ช่วยปกป้อง DNS เรียกว่าส่วนขยายเพราะค่าเริ่มต้น การค้นหาด้วย DNS ไม่ปลอดภัยอาจทำให้เกิดการโจมตีอย่างน้อยหนึ่งรูปแบบหรือมากกว่านั้น

DNSSEC ช่วยคัดกรองเพิ่มความปลอดภัย และรักษาความลับของข้อมูล (ซึ่งปกติไม่ได้รับการจัดการผ่าน DNS) ซึ่งทำหน้าที่เป็นฐานตรวจสอบข้อมูลสำคัญว่ามีความปลอดภัย และป้องกันภัยคุกคาม DNS เช่น แคชอันตราย เซิร์ฟเวอร์ DNSSEC ตรวจสอบเซิร์ฟเวอร์ ผ่านฐานจากข้อมูลที่มาจากเซิร์ฟเวอร์ โดยเทียบกับบน DNS ที่มีข้อมูลการรับรองเซิร์ฟเวอร์ที่ผ่านการตรวจสอบอย่างละเอียดแล้ว

หากคำขอไม่ตรงกันจะถูกปฏิเสธการเข้าถึง นอกจากนี้ DNSSEC ยังสามารถตรวจจับการโจมตีแบบ Man-In-The-Middle ได้ด้วยการรับรองความถูกต้องของข้อมูล ทุกคนควรนึกเอาไว้เสมอว่าควรใช้ Secure DNS ควบคู่ไปกับมาตรการรักษาความปลอดภัย DNS อื่นๆ

ประเภทของส่วนขยายความปลอดภัย DNS

  1. การตรวจสอบความถูกต้องของข้อมูล DNS แบบเข้ารหัส
    โดยปกติใช้คีย์ symmetric เนื่องจากใช้ทรัพยากรเครือข่ายน้อยกว่า
  2. ตัวรับรองความถูกต้อง DoE
    ช่วยแก้ไข DNS สามารถบอกได้ว่าโดเมนนั้นมีอยู่จริงหรือไม่
  3. การรวบรวมข้อมูลศูนย์กลาง และยืนยันแบบสองชั้น
    รับรองโดยผูกลายเซ็นดิจิทัลที่สร้างด้วยการเข้ารหัสลับกับชุด Domain Name Systems RR ที่สอดคล้องกัน นอกจากนี้ DNNSEC ยังครอบคลุมถึงการพิสูจน์ตัวตนตั้งแต่ต้นทางเพิ่มความปลอดภัยเป็นพิเศษ
  4. ตั้ง policy แบบอัตโนมัติ
    กำหนดชุด policy เกี่ยวกับสิ่งที่ค้นหาว่าสามารถดูได้หรือไม่ผ่านทางซิร์ฟเวอร์ DNS รลดโอกาสในการสืบค้นชื่อโดเมนที่อาจเชื่อมโยงกับเซิร์ฟเวอร์ที่เป็นอันตราย

เลือกโซลูชันการรักษาความปลอดภัย DNS สำหรับบริษัทของคุณ

มีโซลูชัน DNS ที่ปลอดภัยมากมายในตลาด บางตัวเป็นโอเพ่นซอร์สบางตัวเป็นแบบสมัครสมาชิก คำถามคือ “บริษัทของเราต้องการ DNS ที่ปลอดภัยหรือไม่” ซึ่งไม่ได้มีกฏบังคับแการโจมตีที่ขับเคลื่อนด้วย DNS นั้นไม่เหมือนกับ ransomware หรือ botnet

สิ่งสำคัญที่สุดที่จะต้องดำเนินการตามขั้นตอนที่จำเป็น เพื่อป้องกันสิ่งที่อาจเป็นภัยสำหรับบริษัท ต่อไปนี้คือเคล็ดลับในการเลือกโซลูชันการรักษาความปลอดภัย DNS

1 การปรับปรุงโปรโตคอล DNS

DNSSEC ไม่ควรเป็นแนวป้องกันเดียวของคุณ แม้ว่าความสามารถในการป้องกัน แต่ก็มีโปรโตคอลขั้นสูงอื่นๆ เช่น DNS ผ่าน HTTPS (DoH) และ DNS บน TPC

โปรโตคอล DoH เข้ารหัสคำขอ DNS ทั้งหมดที่ส่งจากเบราว์เซอร์ไปยังเซิร์ฟเวอร์ ป้องกันการโจมตีที่เลี่ยงการป้องกัน

DNS บน TPC เป็นโปรโตคอลอื่นที่ทำขึ้นเพื่ออนุญาตให้มีการสื่อสารที่เข้ารหัสระหว่างสองฝ่ายโดยไม่ต้องเปิดการเชื่อมต่อก่อนเพราะจะทำให้ข้อความหยุดชะงัก เลเยอร์ความปลอดภัยประเภทนี้เพิ่มความเป็นส่วนตัวของข้อมูลนอกเหนือจากการสื่อสาร DNS แบบเดิม ซึ่งหมายความว่าการสืบค้นที่ทำบนปลายทางของบริษัทของคุณมีโอกาสถูกดักจับน้อยกว่า

2 การกรอง DNS

ขั้นตอนแรกสู่ DNS ที่ปลอดภัยคือการกรอง DNS ไม่ใช่สิ่งใหม่ด้านความปลอดภัยทางไซเบอร์หรือ DNSSEC

Heimdal™ Threat Prevention ใช้เอ็นจิ้นการกรอง DNS อันทรงพลัง มากกว่าความสามารถในการดักจับแพ็กเก็ตข้อมูลที่เป็นอันตรายที่อาจเป็นอันตรายต่อปลายทางและเครือข่ายของคุณ

ด้วย Heimdal™ Threat Prevention คุณจะเข้าใกล้การรักษาความปลอดภัย DNS ที่แน่นหนาไปอีกขั้น ด้วยเอ็นจิ้นการกรอง DNS จะลดเวลาโดยอาศัยการค้นหาบนคลาวด์ DNS ทำการตรวจสอบแพ็กเก็ตข้อมูลเพื่อดูว่ามีอะไรซ่อนอยู่ในการรับส่งข้อมูลทางอินเทอร์เน็ตหรือไม่ นอกจากนี้ หาก Heimdal™ Threat Prevention รับกิจกรรมที่ผิดปกติใดๆ ระหว่างการสืบค้น ระบบจะบล็อกการเชื่อมต่อโดยอัตโนมัติ

3 การตรวจสอบกิจกรรม DNS

ด้วยการตรวจสอบกิจกรรมและบันทึก DNS ของคุณ คุณสามารถสังเกตเห็นรูปแบบการรับส่งข้อมูลที่น่าสงสัยซึ่งสามารถเปิดเผยตัวบ่งชี้สำคัญของการประนีประนอม ตัวอย่างเช่น ปริมาณการรับส่งข้อมูลที่เปลี่ยนแปลงโดยไม่คาดคิดอาจแนะนำกิจกรรม DNS ที่เป็นอันตราย ตัวอย่างเช่น Heimdal™ Threat Prevention ใช้ระบบ Machine Learning เพื่อเรียนรู้รูปแบบ และปรับปรุงการรักษาความปลอดภัยเครื่องของคุณ

4 บริการป้องกัน DNS (สำหรับองค์กรภาครัฐเท่านั้น)

ในการยับยั้งการใช้ DNS สำหรับการส่งมัลแวร์ ได้มีการสร้างบริการชื่อ (PDNS) นี่เป็นบริการ DNS ที่เข้าถึงอินเทอร์เน็ตได้ฟรีซึ่งสร้างโดย National Cyber Security Center (NCSC) และดำเนินการโดย Nominet UK DNS ที่ป้องกันเป็นตัวแก้ไขแบบเรียกซ้ำ (ค้นหาคำตอบสำหรับการสืบค้น DNS) การควบคุมโดเมนของคุณ (DNS ที่เชื่อถือได้) ได้รับการจัดการโดย NCSC อย่างอิสระ

บทสรุป เคล็ดลับในการป้องกันองค์กรให้ปลอดภัยจากการโจมตีด้วย DNS

DNS เป็นโครงสร้างดิจิทัลที่สำคัญ และเป็นหนึ่งในรากฐานของอินเทอร์เน็ต ซึ่งรวมทุกอย่างที่เกี่ยวข้องกับโครงสร้างพื้นฐานด้านไอที ข้อมูลทั้งหมดที่หมุนเวียนระหว่างเซิร์ฟเวอร์ และผู้ใช้ จึงไม่น่าแปลกใจที่มันได้กลายเป็นเป้าหมายที่น่าดึงดูดสำหรับผู้โจมตี ทำให้ผู้ใช้งานมีความจำเป็นที่จะต้องดำเนินการตามขั้นตอนที่เด็ดขาดเพื่อป้องกัน DNS และป้องกันองค์กรของคุณจากอาชญากรรมทางอินเทอร์เน็ต

Credit https://heimdalsecurity.com/

Ariya Phornpraphan

Leave a Reply

Your email address will not be published. Required fields are marked *