利用DNS检测和响应提高安全效率

防御者必须比攻击者行动得更快

在网络安全方面，防御者的目标是要比攻击者更快地执行决策过程。这意味着网络防御者必须在网络攻击者发起攻击之前识别他们的基础设施。Infoblox DNSDR（DNS检测和响应）的 DNS 威胁情报、设备/用户上下文数据、自动响应以及生态系统的集成补充了XDR(扩展检测和响应)框架，为您提供应对和战胜网络威胁所需的敏捷性和快速决策。

快速演变的威胁环境

网络威胁不断变化并以前所未有的速度持续发展。随着数字化转型渗透到各行各业，企业发现自己正在疲于应对不断扩大的攻击面。攻击面的扩展范围从无限的云领域到互联移动的混合工作环境，并延伸到蓬勃发展的物联网领域。每个新的接触点都为恶意行为者创造了新的利用途径。

DNS 在网络攻击的一系列事件（通常称为 “杀伤链“）中经常扮演关键角色。由于 DNS 在网络通信中的关键作用，网络攻击者及其部署的恶意软件经常利用 DNS，采用域名阴影和速变域名等危险技术来隐藏恶意域并发起隐蔽攻击，而不被防御者察觉。像网络钓鱼这样的策略和技术，包括非常复杂的相似域和持久的低调基础设施恶意软件，利用 DNS 信标建立 C2，可以轻松逃脱当今现代安全策略的检测。

• 涉及相似域名和持续性低调基础设施恶意软件的网络钓鱼可逃避现有的防御系统
• 平均每天创建 200,000 个新域名
• 现在有一些顶级域名看起来像文件扩展名（ZIP、MOV），给最终用户造成困惑
• 研究人员每六个月将约 8000 万个域名标记为恶意域名

数字化举措让问题变得更加严重：

• 多云技术的采用速度正在加快，超过 73% 的受访企业采用了云平台。
• 物联网部署不断增加，到 2030 年将翻一番。
• 人工智能正在成为主流，坏人正在利用人工智能快速设计、扩大和传播复杂的攻击。

攻击面的扩大加重了安全团队的负担，他们必须保持对连接到网络的人员和内容的可见性和控制。传统的安全解决方案各自只关注网络的一部分，安全团队面临着无法应对的挑战，既要猎杀威胁，又要尽量缩短威胁的停留时间。

DNS 是降低风险的前沿和中心

具有独特视角的战略解决方案

网络安全形势不断变化，依赖过时的策略可能导致机密信息被盗、声誉和品牌受损以及经济损失。企业需要采取积极主动的方法，承认威胁的动态性质，并将实时保护作为其核心。这正是 DNSDR 发挥作用的地方。

从被动应对到主动出击：充分利用 DNSDR 的优势

几十年来，网络安全防御者一直处于被动状态。他们把大部分时间都花在应对威胁上，在漏洞得到修补之前紧急追赶利用漏洞的攻击者。依靠运气和过时的工具，这种被动应对的方法使企业长期处于脆弱状态。DNSDR 通过将明亮的聚光灯照射到经常被忽视的域名系统上，从而彻底改变了威胁检测方式。

DNSDR 功能代表了信息技术 (IT)、网络运营中心 (NOC) 和安全运营中心 (SOC) 团队用于保护企业的组合策略的范式转变。将 DNSDR 与其他扩展检测和响应 (XDR) 产品相结合可以增强您的深度防御策略，并在整个生态系统中实现自动响应。DNSDR 的好处包括降低数据泄露的风险、避免相关的潜在财务损失和品牌损害。

DNSDR的关键能力

DNSDR 包含多项扩展且强大的功能，有助于提高网络防御生态系统的弹性和效率，并带来价值。

DNS检测和响应

这是 DNSDR 的五个基本方面：

1. 识别：利用IP 地址管理（IPAM）和基于 DNS 的应用程序发现功能，将 DNS 查询映射到用户或设备活动。通过识别哪些用户或设备正在进行哪些 DNS 查询，有助于了解网络状况。这样做的好处是，安全运营团队无需翻阅多个日志，就能轻松识别网络中受损的资产，从而实现更快分流和缩短 MTTR 的好处。
2. 保护性 DNS：旨在阻止各种类型的网络威胁，包括网络钓鱼、勒索软件、恶意软件命令与控制 (C&C)、域名生成算法 (DGA)、数据泄露等。它还包括内容过滤和 DNSSEC，可保护任何地方的任何系统，包括物联网和 OT 设备。这样做的好处是，保护性 DNS 可以帮助防止恶意活动影响网络。
   
3. 检测：它利用 DNS 威胁情报和 AI/ML 算法检测并阻止未知的恶意 DNS 活动。它使用先进的技术来识别传统安全措施可能无法捕捉到的潜在威胁。这样做的好处是，现在可以更有力地主动防御新出现的威胁。
4. 响应：这涉及通过生态系统集成进行自动修复。它与安全运营中心（SOC）工具共享 DDI 数据并触发对事件的自动响应。对检测到的威胁做出更快、更有效的响应可带来的好处是，有可能更快地阻止杀伤链的执行，并降低数据泄露的风险和损失。
   
5. DNS 威胁情报：DNSDR 将数据科学、DNS 专业知识和AI/ML能力结合在一起，利用以基础设施为中心的威胁情报来识别攻击者的基础设施和威胁行为者，并在其发展过程中对其进行跟踪。在 “犯罪前 “模式下阻止域名的好处是，许多攻击可以在发起之前就被阻止。

DNSDR用例带来重要益处

DNSDR 通过其关键用例，为各个领域带来了诸多益处。它在降低可能导致敏感数据丢失、品牌声誉受损以及收入和运营中断的网络攻击风险方面发挥着至关重要的作用。DNSDR 的核心功能之一是能够快速检测和中断使用 DNS 的杀伤链过程，从而避免潜在的危害。此外，DNSDR 还能大大减少安全运营中心 (SOC) 检测、调查和理解新威胁所需的时间和费用。DNSDR 使用案例包括：

1. DNS 作为单一的企业级控制点，可覆盖整个攻击面，包括本地部署、云、物联网/OT、远程员工和分支机构。
   
2. 利用保护性 DNS 功能阻止已知的不良流量，及早发现威胁并卸载下游安全设备的压力。
3. 使用流分析技术监控 DNS 是否被滥用，以检测数据外泄和 DGA。
4. 利用以基础设施为中心的威胁情报，识别攻击者的基础设施并在犯罪前阻止攻击
5. 用户和设备属性，不仅提供被入侵设备的 IP 地址，还包括设备类型、用户名、网络位置和历史 IP 地址
6. 利用 DNS 数据丰富安全工具，自动触发事件响应
7. 数字品牌保护可识别相似的域名并通过域名缓解服务快速删除违规域名。

关于Infoblox

Infoblox将网络和安全结合起来，提供无可比拟的性能和保护。受到财富100强企业和新兴创新企业的信赖，我们对连接到您的网络的人和物提供实时可见性和控制，因此您的组织可以运行得更快，更早地阻止威胁。