成功部署防护性DNS

防护性DNS面临的挑战

预先阻断与威胁相关域名的连接对所有规模的安全团队都具有高度吸引力——这一理念也得到了美国国家标准与技术研究院等标准化机构的推广，最新版NIST特别出版物800-81修订版3就是关键佐证。

实现这一目标的技术——防护性DNS仍相对较新，特别是与网络防火墙、防病毒软件和身份管理系统等更成熟的安全解决方案相比。如今，许多安全团队对PDNS接触有限，缺乏充分发挥其效益所需的经验——尤其是其早期、大规模威胁防护的能力。

让我们探讨为何采用PDNS仍然充满挑战——以及安全团队如何加速部署以快速获得成效。

防护性DNS的障碍

安全团队难以切入PDNS有几个原因。以下概述：

缺乏DNS专业知识：大多数安全团队接受过漏洞管理、端点防护、防火墙和SIEM等传统技术培训——但很少有机会深入钻研DNS。他们通常依赖网络团队管理IT堆栈的这一部分。DNS记录类型、解析过程和保护机制等概念通常在初始基础设施设置期间讨论，但之后往往被忽视。攻击者意识到这一知识差距，每年注册数百万个域名——通常生命周期仅有一天——以逃避检测。

依赖战术工具：许多安全团队局限于现有工具，这些工具专注于在恶意内容或负载到达时进行检测。他们的专业知识倾向于围绕已知攻击模式在影响点启发式发展。攻击前知识和趋势——例如威胁行为者如何设置基础设施——仍然是较少受青睐的话题。考虑这一点：MITRE ATT&CK框架包含12个后交付攻击战术和数百个子技术，但只有两个攻击前战术和不到20个相关子技术。

长实施周期：PDNS计划常常因重新设计网络流量耗时的过程而停滞，这可能延迟或破坏项目。网络团队经常需要提前数月请求变更，并且通常只获得极短的时间窗口来实施。

误报恐惧：新的执行层总是存在由误报引起服务中断的风险。在规模上，像PDNS这样的解决方案可能会放大这些担忧，特别是在风险承受能力低的组织中。

所有这些障碍的结合使PDNS对决策者吸引力降低。最重要的是，它创造了一个 Catch-22：分配的资源越少，投资回报率就越不明确——在资源规划期间将PDNS项目推至优先级列表的较低位置。

防护性DNS非二元选择；而是旅程

要克服这些障碍，系统化的分步方法可以有所帮助。为何使用谱系方法？因为PDNS不是二元的。与许多其他技术一样，PDNS需要时间和组织成熟度才能有效实施。此外，当今安全市场充斥着各种解决方案，每个都声称具有某种程度的PDNS功能——但通常缺乏支持实际用例所需的深度和有效性。因此，安全决策者越来越难以确定采用哪些工具以及如何有效实施。

另一种方法是将PDNS构建为成熟度旅程——使倡议者和项目经理能够帮助组织根据其规模、目标和当前能力确定正确的解决方案。

以下是有效推出PDNS的简化概述：

步骤1：由外部专家运行限时一次性评估

这种方法帮助组织快速发现网络中先前未知的风险。更重要的是，对这些风险的可见性启动了决策者之间的高级对话，并突显了PDNS可以提供的潜在好处。简单来说：告诉我我不知道什么。

步骤2：启动持续监控以支持安全运营

一旦理解了风险，组织可以批准向安全和网络运营团队开放PDNS。在此阶段，PDNS应在检测模式下启用，向SIEM等监控和分析功能提供持续威胁检测事件。关键结果包括对哪些资产面临风险、何时以及为何面临风险的新见解。安全团队可以使用这些数据跟踪威胁并将发现与现有工具关联。

此步骤为不同用户提供独特的见解。SOC分析师获得有价值的新威胁信号，通过更深入的DNS层活动可见性增强决策。检测工程师可以使用此阶段识别现有检测中的差距并改进覆盖范围。

最重要的是，通过持续发现和趋势化先前未知的风险，组织建立对数据的信心，并更清晰地理解其威胁态势。

步骤3：为确认恶意域名激活先发制人安全

在安全团队对风险信号建立信心后，可以使用响应策略区启用特定阻断策略。这种强大的DNS安全机制允许网络和安全管理员根据自定义策略修改DNS查询响应——实现对潜在恶意或不必要域名查找的实时阻断、重定向或记录。

此阶段使组织开始体验切实好处，例如安全警报数量减少和消除耗时的安全事件。网络团队也可能观察到流量质量和性能的改进。

步骤4：扩展阻断和优化控制

随着组织在先发制人阻断威胁方面获得经验，PDNS策略可以扩展。此阶段还可能实现过时安全控制的整合或替换——例如难以管理的访问控制列表或冗余端点策略——从而形成更高效的安全架构。

示例检测加速PDNS采用

使用仅检测模式的持续监控在PDNS成功采用中发挥关键作用，因为可以在不需要对基础设施进行重大更改的情况下检测新威胁。此类威胁的一个有力示例是基于DNS的命令与控制流量检测。

由于DNS隧道工具的广泛使用——合法和恶意的——许多安全团队难以有效监控和控制DNS流量以检测C2流量。虽然下一代防火墙或安全访问服务边缘类型技术具有检测DNS隧道的某些能力，但仍然存在若干复杂性。内容交付网络、使用新的相似域名以及合法DNS C2工具的扩展使所有C2活动的检测和阻断复杂化。

为解决这一挑战，利用预测性威胁情报——主动跟踪威胁行为者及其基础设施的PDNS解决方案至关重要。凭借这种情报驱动，PDNS为安全团队提供了检测C2活动的精确手术刀，而不是依赖基于先前已知攻击的广泛反应性措施。

随着DNS隧道被检测到，许多安全决策者和从业者立即看到价值。一个关键原因是理解和缓解DNS隧道对于保护企业和满足支付卡行业数据安全标准、健康保险可移植性和责任法案以及通用数据保护条例等合规标准至关重要。

Infoblox Threat Defense™通过提供仅检测模式使C2和许多其他威胁的检测更加容易，该模式不需要对现有网络架构进行任何更改，消除了耗时的网络重新设计或可能的服务中断。

新的见解也有助于证明执行的潜在影响，使向主动阻断的过渡更可接受。最重要的是，仅检测模式提供了清晰阐述PDNS投资回报率的基础，通过显示可衡量的安全价值而不中断运营。

了解更多关于Infoblox Threat Defense

PDNS不是二元的开关解决方案。鉴于其在安全技术领域相对较新的出现，它需要逐步采用方法。通过遵循分阶段推出模型，组织可以通过利用现有资源高效实现PDNS的全部好处，并在无需重大投资的情况下逐步集成。

要了解有关Infoblox的PDNS解决方案Threat Defense以及如何利用仅检测模式的更多信息，请访问Infoblox网站或联系我们的专家之一。PDNS新手？在此请求DNS研讨会。