成功部署防护性DNS

防护性DNS面临的挑战

预先阻止与威胁相关域名的连接对所有规模的安全团队都是一个极具吸引力的机会——这一观点也得到了美国国家标准与技术研究院(NIST)等标准化机构的推广，最新版本的NIST特别出版物(SP)800-81第3修订版就是关键证明。

实现这一目标的技术——防护性DNS(PDNS)仍然相对较新，特别是与网络防火墙、防病毒软件和身份管理系统等更成熟的安全解决方案相比。如今，许多安全团队对PDNS接触有限，缺乏充分实现其效益所需的经验——尤其是其早期、大规模威胁防护的能力。

让我们探讨为什么采用PDNS仍然具有挑战性——以及安全团队如何加速其部署以快速获得成效。

防护性DNS的障碍

安全团队难以涉足PDNS有几个原因。以下是一个概述：

缺乏DNS专业知识：大多数安全团队接受过传统技术培训，如漏洞管理、端点防护、防火墙和SIEM——但很少有机会深入钻研DNS。他们通常依赖网络团队来管理IT堆栈的这一部分。诸如DNS记录类型、解析过程和保护机制等概念通常在初始基础设施设置期间讨论，但之后往往被忽视。攻击者意识到这一知识差距，每年注册数百万个域名——通常寿命只有一天——以逃避检测。

依赖战术工具：许多安全团队固守于现有工具，这些工具专注于在恶意内容或负载到达时进行检测。他们的专业知识倾向于围绕已知攻击模式在影响点启发式发展。攻击前知识和趋势——如威胁行为者如何建立基础设施——仍然是一个不太受青睐的话题。考虑一下：MITRE ATT&CK框架包含12个后交付攻击战术（从初始访问到影响）和数百个子技术，但只有两个攻击前战术和不到20个相关子技术。

长实施周期：PDNS计划常常因重新设计网络流量流的耗时过程而停滞，这可能延迟或破坏项目。网络团队经常需要提前数月请求变更，并且通常只有最小的时间窗口来实施这些变更。

误报恐惧：新的执行层总是带来由误报引起的服务中断风险。在规模上，像PDNS这样的解决方案可能会放大这些担忧，特别是在风险承受能力低的组织中。

所有这些障碍的结合使得PDNS对决策者不那么有吸引力。最重要的是，它创造了一个 Catch-22：分配的资源越少，投资回报率就越不明确——在资源规划期间将PDNS项目推低到优先级列表的较低位置。

防护性DNS不是二元选择；而是一段旅程

要克服这些障碍，系统化的逐步方法可以提供帮助。为什么使用频谱？因为PDNS不是二元的。与许多其他技术一样，PDNS需要时间和组织成熟度才能有效实施。此外，当今的安全市场充斥着各种解决方案，每个都声称具有某种程度的PDNS功能——但往往缺乏支持实际用例所需的深度和有效性。因此，安全决策者越来越难以确定采用哪些工具以及如何有效实施。

另一种方法是将PDNS构建为一个成熟度旅程——使倡议者和项目经理能够帮助组织根据其规模、目标和当前能力确定正确的解决方案。

以下是有效推出PDNS的简化概述：

步骤1：由外部专家运行限时一次性评估

这种方法帮助组织快速发现其网络中先前未知的风险。更重要的是，对这些风险的可见性启动了决策者之间的高级对话，并突出了PDNS可以提供的潜在好处。简单来说：告诉我我不知道什么。

步骤2：启动持续监控以支持安全运营

一旦理解了风险，组织可以批准将PDNS暴露给安全和网络运营团队。在此阶段，PDNS应以检测模式启用，向SIEM等监控和分析功能提供持续的威胁检测事件。关键结果包括对哪些资产面临风险、何时以及为何面临风险的新见解。安全团队可以使用这些数据跟踪威胁并将发现与现有工具关联。

这一步为不同用户提供不同的见解。SOC分析师获得有价值的新威胁信号，通过更深入地了解DNS层活动来增强决策。检测工程师可以使用此阶段识别现有检测中的差距并改进覆盖范围。

最重要的是，通过持续发现和追踪先前未知的风险，组织建立对数据的信心，并更清晰地了解其威胁态势。

步骤3：为确认的恶意域名激活预防性安全

在安全团队对风险信号建立信心后，可以使用响应策略区域启用特定的阻止策略。这种强大的DNS安全机制允许网络和安全管理员根据自定义策略修改DNS查询响应——实现对潜在恶意或不需要的域名查找的实时阻止、重定向或记录。

此阶段允许组织开始体验切实的好处，例如安全警报数量的减少和耗时事件的消除。网络团队也可能观察到流量质量和性能的改善。

步骤4：扩展阻止并优化控制

随着组织在预防性阻止威胁方面获得经验，PDNS策略可以扩展。此阶段还可能实现过时安全控制的整合或替换——例如难以管理的访问控制列表或冗余的端点策略——从而形成更有效的安全架构。

图1. 具有步骤和任务的防护DNS成熟度

加速采用PDNS的检测示例

使用仅检测模式（步骤2）的持续监控在PDNS的成功采用中起着关键作用，因为可以在不需要对基础设施进行重大更改的情况下检测新威胁。此类威胁的一个有力例子是基于DNS的命令与控制(C2)流量的检测。

由于DNS隧道工具的广泛使用——合法和恶意的——许多安全团队难以有效监控和控制DNS流量以应对C2流量。虽然下一代防火墙或安全访问服务边缘(SASE)类型的技术具有检测DNS隧道的某些能力，但仍然存在一些复杂性。内容交付网络、新相似域名的使用以及合法DNS C2工具的扩展使所有C2活动的检测和阻止复杂化。

为了解决这一挑战，利用预测性威胁情报——主动跟踪威胁行为者及其基础设施——的PDNS解决方案至关重要。在这种情报的支持下，PDNS为安全团队提供了一个精确的手术刀来检测C2活动，而不是依赖于基于先前已知攻击的广泛反应性措施。

随着DNS隧道被检测到，许多安全决策者和从业者立即看到了价值。一个关键原因是理解和缓解DNS隧道对于保护企业和满足支付卡行业数据安全标准(PCI DSS)、健康保险可移植性和责任法案(HIPAA)和通用数据保护条例(GDPR)等合规标准至关重要。

Infoblox Threat Defense™通过提供仅检测模式，使C2和许多其他威胁的检测更加容易，该模式不需要对现有网络架构进行任何更改，消除了耗时的网络重新设计或可能的服务中断。

新的见解还有助于证明执行的潜在影响，使向主动阻止的过渡更可接受。最重要的是，仅检测模式提供了一个基础，通过显示可衡量的安全价值而不中断运营，清晰地阐述PDNS的投资回报率。

了解更多关于Infoblox Threat Defense

PDNS不是二元的开关解决方案。鉴于其在安全技术领域相对较新的出现，它需要逐步采用的方法。通过遵循分阶段推出模型，组织可以通过利用现有资源并逐步集成而不需要重大投资，有效实现PDNS的全部好处。

要了解有关Infoblox的PDNS解决方案Threat Defense以及如何利用仅检测模式的更多信息，请访问Infoblox网站或联系我们的专家之一。对PDNS不熟悉？在此处请求DNS研讨会。

脚注

NIST特别出版物(SP)800-81第3修订版：安全域名系统(DNS)部署指南，Rose, Scott, Liu, Cricket, Gibson, Ross，美国国家标准与技术研究院(NIST)，2025年4月