企業如何處理網域查詢
在多數企業網路中,端點要連到外部服務,會先向 DNS 伺服器發出查詢(DNS Query),取得該網域的 IP 後才建立連線。為了集中管理,企業通常要求端點把系統內的 DNS 伺服器指向公司自建的 DNS Proxy,這個 Proxy 會再去詢問外部 DNS(例如 8.8.8.8),以快取(Cache)縮短回覆時間,並啟用進階功能:留下查詢紀錄並透過 DNS 區域(如 Response Policy Zone, RPZ)比對網域黑名單。同時,防火牆也會禁止端點直接對外部 DNS 訪問,確保所有查詢都經由公司的 DNS Proxy。
DNS Proxy 是企業網路的「守門員」?
當惡意軟體入侵企業內某個端點後,絕大多數都必須與 C2 伺服器(Command & Control)連線,以回報資訊或下載指令,才能展開下一步攻擊。一旦切斷 C2 與受駭端點的通訊,攻擊鏈便難以推進。傳統防禦策略會嘗試從封包內容辨識 C2 連線,但當大部分 C2 逐漸改走 HTTPS/TLS 加密通訊,成功攔截的機率明顯下滑。相對地,若善用威脅情資提供的入侵指標(Indicators of Compromise, IoC),包含網域與 IP 清單,則可在 DNS 查詢階段先行阻斷。當端點欲查詢的網域列於惡意清單,或解析後取得的 IP 屬於惡意清單,即可立即封鎖,這是效益最高且對業務影響最小的策略之一。而 DNS Proxy 正是最適當的執行者 — 它不只是查詢轉送器,更是攔截威脅的守門員。不過,基於實務需求,企業也常放行部分 IoT 裝置或訪客電腦直接連線外部 DNS 伺服器(UDP/53),此時 DNS Proxy 無法介入管控,因而形成可視性與防護的缺口。
DNS 加密與駭客手段的「升級」
強化上網隱私是網際網路發展的重要方向。近年來,DNS 加密機制(如 DNS over HTTPS, DoH)開始落地,DNS 查詢被封裝在 HTTPS 連線內。雖然提升了隱私保護,卻也讓企業控管更加困難:既看不到端點查了哪個網域,也難以判定某條 HTTPS 連線是否就是 DoH。於是,攻擊者或惡意程式可以輕易透過 HTTPS 穿越 DNS Proxy 與防火牆的聯合防線,直接與外部 DoH 服務互動。更糟的是,駭客工具不斷進化,為了隱匿行跡,他們乾脆不用 DNS,改用其他管道取得「網域與 IP 的對應」,例如從雲端硬碟下載目標 IP 清單,或以 Google Calendar API 分享含 IP 資訊的行事曆事件,從根本避開 DNS 監控。
GRISM-T:以「DNS 來歷」驗證每一條連線
DNS 查詢的監控與檢核是資安防禦中極為關鍵的環節,雖然 DNS Proxy 具備網路位置的優勢,但前提是所有端點都「主動向它發出查詢」。一旦網路環境中存在管理例外、加密 DNS,或其他繞過傳統解析機制的行為,單靠 DNS Proxy 或一般防火牆/IPS 便難以有效因應。
GRISM-T 的設計並非取代 DNS Proxy,而是在不更動任何 DNS Proxy 設定與網路拓撲的前提下,強化整體防禦能力。GRISM-T 以透通模式(類 IPS)部署於資料平面,一方面執行 Passive DNS,完整解析並保存結構化的 DNS 訊息(主要為 A/AAAA,含 CNAME 脈絡,亦可擴充 TXT 等);另一方面,結合威脅情資,對所有封包(包含 DNS 封包)進行即時檢測與分析:
(1)若偵測到目的 IP 屬於惡意 IP 清單,可發出 Syslog 告警並即時阻斷
(2)對所有 DNS 查詢進行檢測(不限是否經過企業 DNS Proxy),若查詢網域屬於惡意清單,系統便發出 Syslog 告警,並捨棄該查詢,或回覆指向告警頁面的特定 IP。換言之,即便是 IoT/訪客等例外流量,GRISM-T 仍能確實留痕並啟用阻擋,避免今日的「盲點」成為明日的「隱患」。
更關鍵的是,GRISM-T 會把每一條對外連線的目的 IP 與近期觀測到的 DNS 回覆進行關聯分析,若發現「連線目的 IP 找不到相對應的 DNS 來歷」,亦即缺乏可關聯的解析紀錄,系統便視為可疑,並依政策發出告警或直接阻斷。這種「以 DNS 來歷驗證連線正當性」的機制,無論是否看得到網域名稱,都能涵蓋 DoH、硬編碼 IP,以及各種以另類方式取得 IP 的情境;換言之,即使攻擊者刻意隱藏目的網域,這些企圖規避監控的可疑連線仍可被關聯檢出。
「大加密時代」中的一盞明燈
GRISM-T 補強 DNS Proxy 在管理例外與加密情境下的不足,並把攔截與取證前移至資料平面,結合威脅情資與抗「DNS 隱身」的關聯偵測,在維持既有網路架構與終端不變的前提下,延伸 DNS 守門員的效力。GRISM-T 讓企業在面對網路威脅時,不論連線是否看得見網域名稱,都能主動防禦,也為「大加密時代」中漸失的網路可視性,點亮一盞明燈。
PacketX Technology 簡介
PacketX Technology(瑞擎數位股份有限公司)致力於鞏固網路安全的基石,以具備主動性能見度(Proactive Visibility)的 GRISM 平台來建構零盲區的監控基礎設施(Zero-Blind-Spot Monitoring Infrastructure)。PacketX 方案能整合串聯多種網路安全設備,進而提升整體防禦能量;同時配合巨量 IP 和網域惡意清單資訊在高速網路流量中即時檢核,以偵測、追蹤並阻斷潛在威脅。
PacketX 解決方案的成效已在許多場域獲得驗證,客戶涵蓋政府、金融、電信等產業的大型企業或機構,並透過持續的技術創新,在次世代網路安全領域中佔有一席之地。
關於 PacketX GRISM 網路可視化平台
PacketX 網路可視化平台 GRISM 是可同時服務多種網路安全設備的資料擷取導引系統:利用聚合、過濾,封包處理與分配技巧,讓各網路安全設備只取得其所要分析的資料。
此系統還能辨識低風險流量,避免將其導入網路安全設備;亦可根據外部情資阻斷特定的威脅來源。網路安全設備將因此大幅降載並得以聚焦更進階的威脅攻擊。換言之,PacketX GRISM 系統既是網路安全機制的基礎建設,也是網路安全的第一道防線。