企業如何處理網域查詢
在多數企業網路中,端點要連到外部服務,會先向 DNS 伺服器發出查詢(DNS Query),取得該網域的 IP 後才建立連線。為了集中管理,企業通常要求端點把系統內的 DNS 伺服器指向公司自建的 DNS Proxy,這個 Proxy 會再去詢問外部 DNS(例如 8.8.8.8),以快取(Cache)縮短回覆時間,並啟用進階功能:留下查詢紀錄並透過 DNS 區域(如 Response Policy Zone, RPZ)比對網域黑名單。同時,防火牆也會禁止端點直接對外部 DNS 訪問,確保所有查詢都經由公司的 DNS Proxy。
DNS Proxy 是企業上網的「守門者」?
當惡意軟體入侵企業內某個端點後,絕大多數都必須與 C2 伺服器(Command & Control)連線,以回報資訊或下載指令,才能展開下一步攻擊。一旦切斷 C2 與受駭端點的通訊,攻擊鏈便難以推進。傳統防禦策略會嘗試從封包內容辨識 C2 連線,但當大部分 C2 逐漸改走 HTTPS/TLS 加密通訊,成功攔截的機會明顯下滑。相對地,若善用威脅情資提供的入侵指標(Indicators of Compromise, IoC),包含網域與 IP 清單,則可在 DNS 查詢階段先行阻斷:當端點欲查詢的網域列於惡意清單,或解析後取得的 IP 屬於惡意清單,即可立即封鎖。這是效益最高且對業務影響最小的策略之一,而 DNS Proxy 正是最適當的執行者 — 它不只是查詢轉送器,更是攔截威脅的守門者。不過,基於實務需求,企業也常放行部分 IoT 裝置或訪客電腦直接連線外部 DNS 伺服器(UDP/53),此時 DNS Proxy 無法介入管控,形成可視性與防護的缺口。
DNS 加密與駭客手段的「升級」
強化上網隱私是網際網路發展的重要方向。近年來,DNS 加密機制(如 DNS over HTTPS, DoH)開始落地,DNS 查詢被封裝在 HTTPS 連線內。這雖提升了隱私保護,卻也讓企業管控更加困難。既看不到端點查了哪個網域,也難以判定某條 HTTPS 連線是否就是 DoH。於是,有心者或惡意程式可以輕易透過 HTTPS 穿越 DNS Proxy 與防火牆的聯合防線,直接與外部 DoH 服務互動。更糟的是,駭客工具箱不斷在進化。為了隱匿行跡,它們乾脆不使用 DNS,而改以其他管道取得「網域與 IP 的對應」,例如從雲端硬碟下載目標 IP 清單,或以 Google Calendar API 分享內含 IP 資訊的行事曆事件,從根本避開 DNS 監控。
GRISM-T 的方法:以「DNS 來歷」驗證每一條連線
DNS 查詢的檢核是資安防禦極為關鍵的環節,DNS Proxy 在此具備地利優勢,但前提是所有端點都「主動向它發出查詢」。當網路存在管理例外、加密 DNS 或另類取得 IP 的機制時,單靠 DNS Proxy 或一般防火牆/IPS 都難以因應。
GRISM-T 的定位並非取代 DNS Proxy,而是在不更動任何 DNS Proxy 設定與網路拓撲的前提下,扮演更完整的守門者。它以透通模式(類 IPS)部署於資料平面,一方面執行 Passive DNS,完整解析 DNS 訊息並保存結構化資訊(主要為 A/AAAA,含 CNAME 脈絡,亦可擴充 TXT 等);另一方面,結合威脅情資檢查所有封包(包含 DNS 訊息):
(1)若偵測到目的 IP 屬於惡意 IP 清單,可發出 Syslog 告警並即時阻斷
(2)對所有 DNS 查詢(不限是否經企業 DNS Proxy),若查詢網域屬於惡意清單,則發出 Syslog 告警,並丟棄該查詢,或回覆一個指向告警頁面的特定 IP。換言之,即便是 IoT/訪客等例外流量,GRISM-T 也能確實留痕並啟用阻擋,避免今日的「盲點」成為明日的「隱患」。
更關鍵的是,GRISM-T 會把每一條對外連線的目的 IP 與近期觀測到的 DNS 回覆進行關聯分析。只要出現「連線的目的 IP 找不到相對應的 DNS 來歷」— 也就是沒有可關聯的解析紀錄,系統便視為可疑,依策略告警或直接阻斷。這種「以 DNS 來歷驗證連線正當性」的方法,不仰賴是否看得到網域名稱,能同時涵蓋 DoH、硬編碼 IP,以及各種以另類方式取得 IP 的情境;換言之,即使攻擊者刻意隱藏目的網域,那些企圖逃避監控的可疑連線仍會被關聯檢出。
「大加密年代」中點亮一盞明燈
GRISM-T 補齊 DNS Proxy 在管理例外與加密情境下的不足,並把攔截與取證前移至資料平面。它結合威脅情資與抗「DNS 隱身」的關聯偵測,在維持現網架構與終端不變的前提下,延伸 DNS 守門者的效力,讓企業在「看得見網域,也看得見沒有網域的連線」兩個維度上同時掌握主動性,也為這個在「大加密年代」中可視性漸失的網路安全領域,點亮一盞明燈。
PacketX Technology 簡介
PacketX Technology(瑞擎數位股份有限公司)致力於鞏固網路安全的基石,以其主動性能見度(Proactive Visibility)平台來建構零盲區監控基礎設施(Zero-Blind-Spot Monitoring Infrastructure)。它能整合串聯多種網路安全設備,進而提升整體防禦能量;同時配合巨量的 IP 和網域惡意清單在高速網路流量中即時檢核, 以偵測、追蹤並阻斷可能威脅。
PacketX Technology 解決方案的優勢已在許多場域獲得驗證,其服務對象涵蓋政府機關、金融產業、電信產業等多家大型企業或機構。而 PacketX 持續的技術創新,也讓其在次世代網路安全領域中佔有一席之地。
關於 PacketX GRISM 網路可視化平台
PacketX 網路可視化平台 GRISM 是可同時服務多種網路安全設備的資料擷取導引系統:利用聚合、過濾,封包處理與分配技巧,讓各網路安全設備只取得其所要分析的資料。
此系統還能辨識低風險流量,避免將其導入網路安全設備;亦可根據外部情資阻斷特定的威脅來源。網路安全設備將因此大幅降載並得以聚焦更進階的威脅攻擊。換言之,PacketX GRISM 系統既是網路安全機制的基礎建設,也是網路安全的第一道防線。