注：加密的域名系統(tǒng)(DNS)技術(shù)即DNS over HTTPS(DoH)。

將域名轉(zhuǎn)換為Internet上的IP地址的DHS越來越成為攻擊者的流行攻擊媒介。此前，伊朗Oilrig的黑客組織甚至成為第一個將DNS-over-HTTPS(DoH)協(xié)議納入其攻擊武器的威脅者。在此背景下，美國國家安全局(NSA)發(fā)布了有關(guān)安全部署DoH的新指南，即在企業(yè)環(huán)境中采用加密DNS。

常見的企業(yè)DNS體系工作機(jī)制

威脅在于，DoH并不能完全阻止威脅參與者看到用戶的流量，當(dāng)部署在網(wǎng)絡(luò)內(nèi)部時，它甚至可以用來繞過許多依賴于嗅探明文DNS流量來檢測威脅的安全工具。再者，許多具有DoH功能的DNS解析器服務(wù)器是在脫離企業(yè)控制和審計能力的外部進(jìn)行托管。而GitHub上發(fā)布的免費(fèi)工具也使得攻擊者劫持加密DoH連接，以此隱藏竊取的數(shù)據(jù)和繞過基于DNS的經(jīng)典防御軟件變得非常常見。

因此，NSA強(qiáng)調(diào)，希望企業(yè)避免使用第三方解析器，而是僅使用其指定的DNS解析器來處理DNS流量。因為第三方解析器可能會將其數(shù)據(jù)置于危險之中。

如果企業(yè)部署不當(dāng)，那么攻擊者很可能會利用這一技術(shù)。對于加密或未加密的DNS流量，僅使用組織指定的企業(yè)DNS服務(wù)器是最安全的路由，而所有其他DNS解析程序應(yīng)該被禁用和阻止。

企業(yè)DNS控制可以預(yù)防網(wǎng)絡(luò)威脅行為者用于初始訪問、指揮和控制以及過濾的眾多威脅手段。

對于諸如DoH這樣的加密DNS保持謹(jǐn)慎態(tài)度的不僅僅是NSA，早在去年美國網(wǎng)絡(luò)安全和基礎(chǔ)架構(gòu)安全局(CISA)曾發(fā)布警告，要求所有美國聯(lián)邦機(jī)構(gòu)出于安全風(fēng)險而禁用其網(wǎng)絡(luò)內(nèi)的DoH和DoT，并且采用由政府托管的官方DoH / DoT解析器。