中文繁體版   English   星期一 ,12月 18日, 2017 (台北)
登入  申请试用  MY DIGITIMES228
 
TCA
books

优化DNS架构 降低新型态资安冲击

  • 郑斐文

在当前资安问题层出不穷的情况下,即便企业做好相关的防护工作,也经常会出现许多意料之外的事件影响整体资安状况。就如同之前出现微软Windows的漏洞问题之后,近期又出现Linux Samba的相关漏洞,让企业的资安工作疲于奔命。面对这样的问题,台湾资安厂商翔伟资安营运长杜世鹏就表示,在面对这些新型态的攻击时,需要零时差的防卫机制,但是这些过去的端点防护机制都还达不到这样的效率。因此,要解决这样的问题,最主要的还是必须透过安全的DNS来解决。

安全DNS机制受重视

杜世鹏指出,以目前发生的资安事件来说,如果在事件发生的当下,设备遭受攻击或感染后,藉由一线资安大厂的端点防护,或许可以达到修补与移除的程序。但是,要做到针对这些行为式的资安攻击手法进一步预防,就要藉由安全的DNS机制来执行。因为包括漏洞、殭尸病毒,或是勒索程序的攻击都是藉由DNS来的,而目前端点防护机制就只能控管系统信息与IO而已,显示出有一个安全的DNS的重要性。

杜世鹏进一步强调,目前多数企业所使用的DNS多半是一般ISP所提供的DNS,它不具有相关信息解析的内容。而现阶段许多信息安全公司已经开始提供透过大数据解析,了解流量其中那些已经成为黑名单的DNS服务。而这些信息就可以协助企业进一步的事先预防相关的资安事件,因此可以说是当前资安防护机制新的加值防护内容。当前市面上都有针对这些DNS进行信用的价值的评比,企业用户可以进一步的参考选择。

就现阶段来说,就一个好的DNS服务或架构,应该具备四大层面的内容;首先是具备一般风险与高风险流量分析的能力,其次是具有针对特定设备或软件进行清除,再者能对操作系统或外挂程序进行强制漏洞填补机制,最后则必须有针对使用者的安全规划管理作业。

所以,透过这些DNS的作业,企业用户就可以知道哪里些IP出来的信息原本就是存在疑虑的。因此,在闸道或其它防御层就可以事先将这些信息给拦截下来,不但可以降低被资安问题侵害的风险,还能够达到零时差防御的效果。最后,杜世鹏强调,不论是使用Windows的环境,或者是Linux的环境,最好不同版本的作业环境要超过两个以上。如此,以方便管理,又能减少漏洞的产生。