勒索软件攻击急剧上升，ColonialPipeline攻击或Kaseya攻击等备受瞩目的事件占据了新闻周期的主导地位。这些攻击的频率和成本促使许多网络安全专业人员研究更强大的勒索软件保护解决方案，例如DNS层安全。但是您如何才能确保您的组织的安全状况尽可能有效呢？这就是我们在BlackHat2021会议期间着手回答的问题：使用DNS层安全性来检测和阻止危险活动。

在CiscoUmbrella，我们已经看到大量网络攻击在易受攻击的网络中上演。使用我们在研究新兴威胁（包括最近的勒索软件攻击浪潮）时收集的数据，我们的团队开发了一套解决方案，最大限度地利用递归DNS服务器来提高网络安全性。我们在DNS层安全的点播演示中介绍了其中一些解决方案，我们相信这种DNS层安全方法也有助于保护您的网络免受不良行为者的侵害。

你错过了我们的谈话吗？别担心——您可以在线查看录制的会话或阅读以下要点：

观察DNS层活动可以帮助您识别复杂的威胁

域名系统(DNS)允许客户端连接到网站、执行软件更新以及使用组织所依赖的许多应用程序。不幸的是，DNS层也是许多网络中最不安全的方面之一：DNS数据包很少受到安全协议的检查，它们很容易通过未阻塞的端口。因此，只有今天的复杂威胁（包括勒索软件攻击）倾向于在DNS层运行才有意义。

当然，仅仅因为大多数安全团队很少关注DNS层活动并不意味着您也必须这样做。事实上，您可以配置递归DNS服务器来收集对设计和实施专有防御算法或大规模执行威胁搜寻有用的数据。例如，DNS解析器收集数据：

在数据收集方面，与CiscoUmbrella等生产性消费者DNS层安全提供商合作始终是一种选择，在我们的演示期间，我们将更详细地介绍如何配置您自己的递归DNS服务器以收集此数据。

了解勒索软件攻击如何发生可以帮助您预防或减轻威胁

虽然确切的战术、技术和程序(TTP)因场景而异，但大多数勒索软件攻击往往遵循相同的基本流程：

更重要的是，由于勒索软件攻击可能只需要五个小时即可执行，因此检测正在进行的攻击可能很困难，除非您拥有旨在识别这些攻击的强大DNS层安全系统。

勒索软件攻击中使用的流行工具依赖于DNS层活动

早些时候，我们提到了大多数勒索软件攻击者如何利用网络管理员不保护DNS层活动这一事实。事实上，我们观察到一些最常见的攻击框架严重依赖DNS隧道，既可以在网络中立足，也可以让威胁行为者窃取数据或执行命令和控制攻击。

使用DNS隧道技术的攻击示例包括：

在我们的演示中，我们将更详细地介绍威胁参与者过去使用这些框架的方式以及未来可能如何使用它们。但这些框架共享的共同元素——DNS活动的使用——足以表明，在我们为即将到来的攻击做准备时，DNS层安全性可能变得比以往任何时候都更加重要。

最强大的勒索软件保护结合了攻击预防和攻击缓解策略

我们已经讨论了很多有关从递归DNS服务器收集的数据如何帮助识别威胁的问题。但DNS层安全性远不止于信息收集；强大的安全态势还应有助于保护网络免受攻击。我们将递归DNS服务器配置为以两种方式执行此操作：通过防止客户端连接到可疑域——在攻击开始之前停止攻击——以及通过检测可能表明正在进行的攻击的异常DNS层活动——允许安全团队隔离受感染的系统并减轻损害。

首先使用DNS层安全来防止勒索软件攻击的发生是许多组织青睐的一种方法，并且有充分的理由：这种策略可以防止任何利用后的损失。

虽然传统递归DNS服务器使用的算法会标记某些有风险的域，但这种内置防御通常有很多不足之处。在确定是否应允许客户端连接到域时，它会评估域的年龄和声誉，但允许不良行为者使用信誉良好的暂存域绕过这些DNS层安全协议。

我们通过配置我们的递归DNS服务器来标记任何异常域以在允许客户端连接之前进行更深入的审查来解决这个缺点。这种方法淘汰了更多的危险域，将用户容易受到攻击的时间窗口从大约24小时减少到仅仅几分钟。

虽然团队将此服务作为我们DNS层安全产品的一部分提供，但我们还在我们的演示中讨论了如何配置您自己的解析器以实现类似的行为。

识别正在进行的攻击的勒索软件保护

虽然防止最初的妥协可能是理想的保护形式，但这种方法并不是灵丹妙药。威胁行为者采用的策略不断演变，使得某些勒索软件攻击有可能逃过最严密的编织网。这就是为什么您的DNS层安全解决方案还应该包含有助于检测正在进行的攻击的协议。

对于那些希望保护DNS活动的人来说，这涉及到整合一个系统来标记网络中任何异常的DNS隧道。如前所述，大多数勒索软件攻击利用DNS隧道在攻击者与您网络上的系统之间建立双向和单向通信。如果DNS活动不安全，这将允许威胁行为者躲在雷达之下，直到他们的攻击几乎执行完毕。如果您的DNS层安全解决方案仔细监控网络DNS活动，您就可以在攻击变得灾难性之前开始减轻攻击的影响。