「大加密年代」的防禦策略:當上網可視性與威脅情資相遇,惡意連線將無所遁形

更新 發佈閱讀 7 分鐘
raw-image

企業如何處理網域查詢

在多數企業網路中,端點要連到外部服務,會先向 DNS 伺服器發出查詢(DNS query),取得該網域的 IP 後才建立連線。為了集中管理,企業通常要求端點把系統內的 DNS 伺服器指向公司自建的 DNS Proxy;這個 Proxy 會再去詢問外部 DNS(例如 8.8.8.8),以快取(cache)縮短回覆時間,並可啟用進階功能:留下查詢紀錄並透過 DNS 區域(如 RPZ)比對網域黑名單。同時,防火牆也會禁止端點直接對外部 DNS 發問,確保所有查詢都經由公司的 DNS Proxy。

DNS Proxy 是企業上網的「守門者」?

當惡意軟體入侵企業內某個端點後,絕大多數都必須與 C2 伺服器(Command & Control)連線,以回報資訊或下載指令,才能展開下一步攻擊;一旦切斷 C2 與受駭端點的通訊,攻擊鏈便難以推進。傳統防禦策略會嘗試從封包內容辨識 C2 連線,但當大部分 C2 逐漸改走 HTTPS/TLS 加密通訊,成功攔截的機會明顯下滑。相對地,若善用威脅情資提供的入侵指標(IoC),包含網域與 IP 清單,則可在 DNS 查詢階段先行阻斷:當端點欲查詢的網域列於惡意清單,或解析後取得的 IP 屬於惡意清單,即可立即封鎖。這是效益最高且對業務影響最小的策略之一,而 DNS Proxy 正是最適當的執行者——它不只是查詢轉送器,更是攔截威脅的守門者。不過,基於實務需求,企業也常放行部分 IoT 裝置或訪客電腦直接連線外部 DNS 伺服器(UDP/53),此時 DNS Proxy 無法介入管控,形成可視性與防護的缺口。

DNS 加密與駭客手段的「升級」

強化上網隱私是網際網路發展的重要方向。近年來,DNS 加密機制(如 DoH,DNS over HTTPS)開始落地,DNS 查詢被封裝在 HTTPS 連線內。這雖提升了隱私保護,卻也讓企業管控更加困難:既看不到端點查了哪個網域,也難以判定某條 HTTPS 連線是否就是 DoH。於是,有心者或惡意程式可以輕易透過 HTTPS 穿越 DNS Proxy 與防火牆的聯合防線,直接與外部 DoH 服務互動。更進一步,駭客工具箱不斷進化:為了隱匿行跡,它們乾脆不使用 DNS,而改以其他管道取得「網域與 IP 的對應」,例如從雲端硬碟下載目標 IP 清單,或以 Google Calendar API 分享內含 IP 資訊的行事曆事件,從根本避開 DNS 監控。

GRISM-T 的方法:以「DNS 來歷」驗證每一條連線

DNS 查詢的檢核是資安防禦極為關鍵的環節;DNS Proxy 在此具備「地利」,但前提是所有端點都"主動向它發出查詢"。當網路存在管理例外、加密 DNS 或另類取得 IP 的機制時,單靠 DNS Proxy 或一般防火牆/IPS 都難以因應。

GRISM-T 的定位並非取代 DNS Proxy,而是在不更動任何 DNS Proxy 設定與網路拓撲的前提下,扮演更完整的守門者。它以透通模式(類 IPS)部署於資料平面,一方面執行 Passive DNS,完整解析 DNS 訊息並保存結構化資訊(主要為 A/AAAA,含 CNAME 脈絡,亦可擴充 TXT 等);另一方面,結合威脅情資檢查所有封包(包含 DNS 訊息):

1)若偵測到目的 IP 屬於惡意 IP 清單,可發出syslog告警並即時阻斷;

2)對所有 DNS 查詢(不限是否經企業 DNS Proxy),若查詢網域屬於惡意清單,則發出 Syslog 告警,並丟棄該查詢,或回覆一個指向告警頁面的特定 IP。

換言之,即便是 IoT/訪客等例外流量,GRISM-T 也能確實留痕並啟用阻擋,避免今日的「盲點」成為明日的「隱患」。

更關鍵的是,GRISM-T 會把每一條對外連線的目的 IP與近期觀測到的 DNS 回覆進行關聯分析;只要出現「連線的目的 IP 找不到相對應的 DNS 來歷」——也就是沒有可關聯的解析紀錄——系統便視為可疑,依策略告警或直接阻斷。這種「以 DNS 來歷驗證連線正當性」的方法,不仰賴是否看得到網域名稱,能同時涵蓋 DoH、硬編 IP,以及各種以另類方式取得 IP 的情境;換言之,即使攻擊者刻意隱藏目的網域,那些企圖逃避監控的可疑連線仍會被關聯檢出。

「大加密年代」中點亮一盞明燈

GRISM-T 補齊 DNS Proxy 在管理例外與加密情境下的不足,並把攔截與取證前移到資料平面;它結合威脅情資與抗「DNS 隱身」的關聯偵測,在維持現網架構與終端不變更的前提下,延伸 DNS 守門者的效力,讓企業在「看得見網域,也看得見沒有網域的連線」兩個維度上同時掌握主動,也為這個在「大加密年代」中可視性漸失的網路安全領域,點亮一盞明燈。

PacketX Technology (瑞擎數位股份有限公司) 簡介

PacketX Technology 致力於鞏固網路安全的基石,以其主動性能見度(Proactive Visibility)平台來建構零盲區監控基礎設施(Zero-Blind-Spot Monitoring Infrastructure)。它能整合串聯多種網路安全設備,進而提升整體防禦能量;同時配合巨量的IP 和網域惡意清單在高速網路流量中即時檢核, 以偵測、追蹤並阻斷可能威脅。

PacketX Technology解決方案的優勢已在許多場域獲得驗證,其服務對象涵蓋 政府機關 金融產業 電信產業等多家大型企業或機構。而PacketX持續的技術創新,也讓其在次世代網路安全領域中佔有一席之地。

若您希望進一步瞭解 PacketX Technology 的解決方案與應用,敬請透過以下方式與我們聯繫:Email:sales@packetx.biz

#威脅情資 #惡意連線阻斷 #DNS守門者 #抗DNS隱身 #主動可視性 #零洩漏防禦 #上網可視性 #DNS加密 #C2通訊 #資安防禦

留言
avatar-img
留言分享你的想法!
avatar-img
PacketX Technology
0會員
6內容數
PacketX Technology成立於2014年,專精於網路鑑識、流量分析及移動通訊領域。憑藉自主研發的軟體引擎與網路處理器,我們構建了寬頻深度資料封包偵測平台,進而開發出網路可視化平台及移動邊際運算生態系統。
你可能也想看
Thumbnail
隨著企業在數位轉型過程中,愈來愈依賴多雲端架構,對雲端安全性和合規性的需求變得前所未有的重要。 雲原生應用程式保護平台(CNAPP)提供了一套全面的解決方案,讓企業能夠有效地管理多雲端環境中的安全性和合規性。
Thumbnail
隨著企業在數位轉型過程中,愈來愈依賴多雲端架構,對雲端安全性和合規性的需求變得前所未有的重要。 雲原生應用程式保護平台(CNAPP)提供了一套全面的解決方案,讓企業能夠有效地管理多雲端環境中的安全性和合規性。
Thumbnail
想學流量怎麼蹭嗎?讓我這位前任競選總幹事告訴你,不過要先修課程唷,我會給素材,你們要交作業,否則紙上談兵都無用,我有一些業配的業務可以讓各位練習,如何蹭流量還有管理經營。 流量密碼研究所 3000,每個月 https://vocus.cc/pay/salon/monthly/645345c1
Thumbnail
想學流量怎麼蹭嗎?讓我這位前任競選總幹事告訴你,不過要先修課程唷,我會給素材,你們要交作業,否則紙上談兵都無用,我有一些業配的業務可以讓各位練習,如何蹭流量還有管理經營。 流量密碼研究所 3000,每個月 https://vocus.cc/pay/salon/monthly/645345c1
Thumbnail
本文介紹如何在GCP上使用Terraform建立CloudFlare DNS解析和模組化。通過閱讀本文,可以瞭解如何設置Terraform建立CloudFlare DNS解析以及取得GCS上的Terraform state file並透過Terraform建立CloudFlare DNS解析的步驟。
Thumbnail
本文介紹如何在GCP上使用Terraform建立CloudFlare DNS解析和模組化。通過閱讀本文,可以瞭解如何設置Terraform建立CloudFlare DNS解析以及取得GCS上的Terraform state file並透過Terraform建立CloudFlare DNS解析的步驟。
Thumbnail
In today's digital landscape, residential proxies have emerged as indispensable tools for individuals and businesses alike. Whether you're a seasone
Thumbnail
In today's digital landscape, residential proxies have emerged as indispensable tools for individuals and businesses alike. Whether you're a seasone
Thumbnail
Internet,這個名詞相信對大說數人來說應該不陌生。你可能也知道 Intranet (內部網路),甚至每天上班辦公都在使用它。那麼你聽過「DMZ」嗎?
Thumbnail
Internet,這個名詞相信對大說數人來說應該不陌生。你可能也知道 Intranet (內部網路),甚至每天上班辦公都在使用它。那麼你聽過「DMZ」嗎?
Thumbnail
本文將探討Kubernetes內部DNS解析的相關流程,並介紹如何利用DNS來找到服務。透過瞭解DNS的工作原理,可以讓應用服務的問題處理更有效率,並提供基本測試與結論。
Thumbnail
本文將探討Kubernetes內部DNS解析的相關流程,並介紹如何利用DNS來找到服務。透過瞭解DNS的工作原理,可以讓應用服務的問題處理更有效率,並提供基本測試與結論。
Thumbnail
  筆者最近和同行討論,關於駭客找尋目標的方法。其實近十年駭客對於選擇目標的方式其實已經變得很難猜測。 一般人會想到,駭客一定是會選擇一些利潤大的目標,如銀行、虛擬資產平台等等。但是不要忘記,這些財力雄厚的公司當然也知道自己是很容易成為目標,所以他們的防線也不是容易擊破的。
Thumbnail
  筆者最近和同行討論,關於駭客找尋目標的方法。其實近十年駭客對於選擇目標的方式其實已經變得很難猜測。 一般人會想到,駭客一定是會選擇一些利潤大的目標,如銀行、虛擬資產平台等等。但是不要忘記,這些財力雄厚的公司當然也知道自己是很容易成為目標,所以他們的防線也不是容易擊破的。
Thumbnail
隨着網絡攻擊和資料外洩的種類越來越多,防御方案的部署也要與時並進。近年,很多企業開始留意和測試部署使用者和實體行為分析(UEBA)的可行性。 在資訊保安工作上,內部人員被駭或者內部人員出現錯誤的行為導致企業暴露於風險之中......
Thumbnail
隨着網絡攻擊和資料外洩的種類越來越多,防御方案的部署也要與時並進。近年,很多企業開始留意和測試部署使用者和實體行為分析(UEBA)的可行性。 在資訊保安工作上,內部人員被駭或者內部人員出現錯誤的行為導致企業暴露於風險之中......
追蹤感興趣的內容從 Google News 追蹤更多 vocus 的最新精選內容追蹤 Google News