优化DNS架构 降低新型态网安冲击

在当前网安问题层出不穷的情况下，即便企业做好相关的防护工作，也经常会出现许多意料之外的事件影响整体网安状况。就如同之前出现微软Windows的漏洞问题之后，近期又出现Linux Samba的相关漏洞，让企业的网安工作疲于奔命。面对这样的问题，台湾网安厂商翔伟网安营运长杜世鹏就表示，在面对这些新型态的攻击时，需要零时差的防卫机制，但是这些过去的端点防护机制都还达不到这样的效率。因此，要解决这样的问题，最主要的还是必须透过安全的DNS来解决。

安全DNS机制受重视

杜世鹏指出，以目前发生的网安事件来说，如果在事件发生的当下，设备遭受攻击或感染后，藉由一线网安大厂的端点防护，或许可以达到修补与移除的程序。但是，要做到针对这些行为式的网安攻击手法进一步预防，就要藉由安全的DNS机制来执行。因为包括漏洞、殭屍病毒，或是勒索程序的攻击都是藉由DNS来的，而目前端点防护机制就只能控管系统信息与IO而已，显示出有一个安全的DNS的重要性。

杜世鹏进一步强调，目前多数企业所使用的DNS多半是一般ISP所提供的DNS，它不具有相关信息解析的内容。而现阶段许多信息安全公司已经开始提供透过大数据解析，了解流量其中那些已经成为黑名单的DNS服务。而这些信息就可以协助企业进一步的事先预防相关的网安事件，因此可以说是当前网安防护机制新的加值防护内容。当前市面上都有针对这些DNS进行信用的价值的评比，企业用户可以进一步的参考选择。

就现阶段来说，就一个好的DNS服务或架构，应该具备四大层面的内容；首先是具备一般风险与高风险流量分析的能力，其次是具有针对特定设备或软件进行清除，再者能对操作系统或外挂程序进行强制漏洞填补机制，最后则必须有针对使用者的安全规划管理作业。

所以，透过这些DNS的作业，企业用户就可以知道哪些IP出来的信息原本就是存在疑虑的。因此，在闸道或其他防御层就可以事先将这些信息给拦截下来，不但可以降低被网安问题侵害的风险，还能够达到零时差防御的效果。最后，杜世鹏强调，不论是使用Windows的环境，或者是Linux的环境，最好不同版本的作业环境要超过两个以上。如此，以方便管理，又能减少漏洞的产生。