คุณควบคุมการรับส่งข้อมูล DNS ของคุณหรือไม่? องค์กรต่างๆ ลงทุนเวลา เงิน และความพยายามอย่างมากในการรักษาความปลอดภัยของเครือข่ายของตน อย่างไรก็ตาม สิ่งหนึ่งที่มักไม่ได้รับความสนใจเพียงพอก็คือ DNS
ภาพรวมที่ดีของความเสี่ยงที่ DNS นำมาคือ การนำเสนอ Verisign ในการประชุมความปลอดภัยสารสนเทศ
31% ของคลาสแรนซัมแวร์ที่สำรวจใช้ DNS สำหรับการแลกเปลี่ยนคีย์ ผลการศึกษา
31% ของคลาสแรนซัมแวร์ที่สำรวจใช้ DNS สำหรับการแลกเปลี่ยนคีย์
ปัญหาร้ายแรง จากข้อมูลของห้องปฏิบัติการวิจัยหน่วย 42 ของ Palo Alto Networks มัลแวร์ประมาณ 85% ใช้ DNS เพื่อสร้างช่องทางคำสั่งและการควบคุม ทำให้ผู้โจมตีสามารถส่งมัลแวร์เข้าสู่เครือข่ายของคุณได้อย่างง่ายดายรวมถึงขโมยข้อมูลด้วย นับตั้งแต่เริ่มก่อตั้ง การรับส่งข้อมูล DNS ส่วนใหญ่ไม่ได้เข้ารหัสและสามารถวิเคราะห์ได้อย่างง่ายดายด้วยกลไกความปลอดภัยของ NGFW
โปรโตคอลใหม่สำหรับ DNS มีวัตถุประสงค์เพื่อเพิ่มการรักษาความลับของการเชื่อมต่อ DNS พวกเขาได้รับการสนับสนุนอย่างจริงจังจากผู้จำหน่ายเบราว์เซอร์ชั้นนำและผู้จำหน่ายซอฟต์แวร์อื่นๆ การรับส่งข้อมูล DNS ที่เข้ารหัสจะเริ่มเติบโตในเครือข่ายองค์กรในไม่ช้า การรับส่งข้อมูล DNS ที่เข้ารหัสซึ่งไม่ได้รับการวิเคราะห์และแก้ไขอย่างเหมาะสมด้วยเครื่องมือทำให้เกิดความเสี่ยงด้านความปลอดภัยต่อบริษัท ตัวอย่างเช่น ภัยคุกคามดังกล่าวคือ cryptolockers ที่ใช้ DNS เพื่อแลกเปลี่ยนคีย์การเข้ารหัส ขณะนี้ผู้โจมตีกำลังเรียกร้องค่าไถ่หลายล้านดอลลาร์เพื่อกู้คืนการเข้าถึงข้อมูลของคุณ ตัวอย่างเช่น Garmin จ่ายเงิน 10 ล้านเหรียญสหรัฐ
ระบบชื่อโดเมน (DNS) จะแก้ไขชื่อโดเมนที่มนุษย์สามารถอ่านได้ (เช่น ที่อยู่ www.paloaltonetworks.com ) ไปยังที่อยู่ IP (เช่น 34.107.151.202) เมื่อผู้ใช้ป้อนชื่อโดเมนลงในเว็บเบราว์เซอร์ เบราว์เซอร์จะส่งแบบสอบถาม DNS ไปยังเซิร์ฟเวอร์ DNS เพื่อขอที่อยู่ IP ที่เชื่อมโยงกับชื่อโดเมนนั้น เพื่อเป็นการตอบสนอง เซิร์ฟเวอร์ DNS จะส่งคืนที่อยู่ IP ที่เบราว์เซอร์นี้จะใช้
การสอบถามและการตอบกลับ DNS จะถูกส่งผ่านเครือข่ายในรูปแบบข้อความธรรมดา ไม่มีการเข้ารหัส ทำให้มีความเสี่ยงที่จะถูกสอดแนมหรือเปลี่ยนแปลงการตอบสนอง และเปลี่ยนเส้นทางเบราว์เซอร์ไปยังเซิร์ฟเวอร์ที่เป็นอันตราย การเข้ารหัส DNS ทำให้ยากสำหรับการติดตามหรือเปลี่ยนแปลงคำขอ DNS ระหว่างการส่งข้อมูล การเข้ารหัสคำขอและการตอบกลับ DNS ช่วยปกป้องคุณจากการโจมตีแบบ Man-in-the-Middle ในขณะที่ดำเนินการฟังก์ชันการทำงานเดียวกันกับโปรโตคอล DNS แบบข้อความธรรมดา (ระบบชื่อโดเมน)
ในช่วงไม่กี่ปีที่ผ่านมา มีการเปิดตัวโปรโตคอลการเข้ารหัส DNS สองโปรโตคอล:
DNS บน HTTPS (DoH)
DNS-over-TLS (DoT)
โปรโตคอลเหล่านี้มีสิ่งหนึ่งที่เหมือนกัน: พวกเขาจงใจซ่อนคำขอ DNS จากการสกัดกั้นใดๆ... และจากเจ้าหน้าที่รักษาความปลอดภัยขององค์กรด้วย โปรโตคอลส่วนใหญ่ใช้ TLS (Transport Layer Security) เพื่อสร้างการเชื่อมต่อที่เข้ารหัสระหว่างไคลเอนต์ที่ทำการสืบค้นและเซิร์ฟเวอร์ที่แก้ไขการสืบค้น DNS ผ่านพอร์ตที่ปกติไม่ได้ใช้สำหรับการรับส่งข้อมูล DNS
การรักษาความลับของการสืบค้น DNS ถือเป็นข้อดีอย่างมากของโปรโตคอลเหล่านี้ อย่างไรก็ตาม สิ่งเหล่านี้ก่อให้เกิดปัญหากับเจ้าหน้าที่รักษาความปลอดภัยที่ต้องตรวจสอบการรับส่งข้อมูลเครือข่ายและตรวจจับและบล็อกการเชื่อมต่อที่เป็นอันตราย เนื่องจากโปรโตคอลใช้งานแตกต่างกัน วิธีการวิเคราะห์จึงแตกต่างกันระหว่าง DoH และ DoT