DNS威胁及缓解措施大盘点

3. DNS 托管可采取的措施：

• 所有 DNS 托管账户均开启 2FA，采用强密码：不易猜解，不跨服务重用。
• 备份关键 DNS 域，以便万一发生安全事件时可以恢复。
• 考虑采用配置即代码 (configuration-as-code) 方法管理 DNS 域变动。
• 启用日志功能，以便审查做过的任何修改。

4. EfficientIP 建议：

• 实现 DNS 流量实时行为威胁检测，这可使发送到安全信息与事件管理 (SIEM) 的不再是杂乱日志而是有用安全事件。
• 采用实时 DNS 分析技术，有助于检测并挫败域名生成算法 (DGA) 恶意软件和零日恶意域名之类高级攻击。
• 网络安全编排过程中集成 DNS 与 IP 地址管理 (IPAM)，辅助自动化安全策略管理，保持策略更新、一致与可审计。

5. ICANN 的 DNS 安全检查清单如下：

• 确保所有系统安全补丁均经过审查并已应用;
• 检查日志文件，查找系统未授权访问，尤其是未授权管理员访问;
• 审查对管理员 (“root”) 权限的内部控制;
• 验证每条 DNS 记录的完整性及其修改历史;
• 强制要求足够的密码复杂度，尤其是密码长度;
• 确保密码不与其他用户共享;
• 保证密码从不以明文存储或传输;
• 实施定期密码修改策略;
• 实施密码输错锁定策略;
• 确保 DNS 域记录经 DNSSEC 签名，DNS 解析服务器执行 DNSSEC 验证;
• 确保电子邮件域名具备以发送方策略框架 (SPF) 和/或 域名密钥识别邮件 (DKIM) 协议实现的域消息身份验证机制，并保证实施了自身电子邮件系统上其他域名提供的此类策略。

【本文是51CTO专栏作者“李少鹏”的原创文章，转载请通过安全牛（微信公众号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文

（编辑：西安站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!