執行摘要

• 網域名稱系統（DNS）驅動著每一次數位交易，但對於安全營運中心（SOC）來說，它卻在很大程度上是不可見的。

• 諸如過期記錄（stale records）、懸空 CNAME（dangling CNAMEs）和缺少網域名稱系統安全擴充（DNSSEC）等配置錯誤，正在悄悄地為攻擊者創造切入點。

• 傳統的防禦措施，如防火牆和網頁應用程式防火牆（WAFs），專注於 TCP/IP層的喧囂威脅，使得 DNS 層的風險未能被偵測。

• 代價高昂：DNS 攻擊可能損害品牌聲譽、引發合規罰款，並導致營收損失。

• 解決 DNS 差距的需求正變得越來越迫切。雲端和軟體即服務（SaaS）的採用、多 CDN 策略以及碎片化的記錄，正在導致配置錯誤呈指數級增長。為了跟上步伐，企業必須開始採取一種持續、智能的方法來管理
  DNS 態勢。

• Akamai DNS Posture Management 透過自動化的風險發現、優先排序和引導式修復，將DNS 從一個負擔轉變為一個可衡量的防線。

走進任何現代的安全營運中心（SOC），您都會看到儀表板像午夜的城市天際線一樣閃爍發光。防火牆閃爍著警報。網頁應用程式防火牆（WAFs）吐出可疑請求。安全資訊與事件管理系統（SIEMs）像股票行情顯示器一樣滾動著遙測數據。端點工具亮起了偵測信號。

這是一場永不休止的信號交響樂。然而，在所有這些活動中，數位信任的一個基礎層卻處於令人不安的沉默中：網域名稱系統（DNS）。

您的防火牆無法偵測到的隱藏 DNS 風險

DNS 是幾乎所有數位交易的第一步。每一次登入、每一次 API 呼叫，以及每一次軟體即服務（SaaS）連接，都始於 DNS 查詢，這會產生無數的 DNS 請求，但這些請求卻很少被監控是否存在風險。儘管 DNS 是數位信任的骨幹，但在 SOC 儀表板中，DNS 基礎設施通常是不可見的 — 人們假設它會正常運作，直到它無法運作為止。

這種不可見性正是攻擊者所依賴的。如果無人看管，這些差距是目標式網路攻擊的首選途徑，它們繞過了邊界控制，並濫用了 DNS 層的信任。

事實是：DNS 配置錯誤是您的 SOC 未在關注的最大攻擊面之一。

• 過期記錄（Stale records） 變成了非受管的切入點。

• 缺少網域名稱系統安全擴充（DNSSEC）驗證 招致欺騙（spoofing）。

• 被遺棄的 CNAME 成為開放的後門。

這些問題都沒有可靠地觸發您的防火牆或端點工具。它們悄悄地溜過控制措施，削弱您的網路安全態勢，直到被利用。這不是理論，它每天都在發生。這就是為什麼DNS 不再「只是基礎設施」的原因。它是一個沉默的風險倍增器 — SOC
團隊不能忽視它。

威脅企業安全的常見 DNS 配置錯誤

大多數人甚至不會將 DNS 與安全聯繫起來。防火牆、入侵偵測系統、零信任（Zero Trust）和端點偵測與回應（EDR）主導著網路安全對話。DNS？那不就是網路的電話簿嗎？

實際上，DNS 遠不止於此。它是一個可編輯、動態的系統 — 攻擊者深知這一點。每一次登入、API 呼叫或 SaaS 連接都始於每天數十億次的 DNS 查詢之一。當 DNS 被入侵時，攻擊者就控制了第一步。

這就是為什麼 DNS 不僅僅是基礎設施。它是一個經常被忽視的攻擊面，如果不加檢查，就會讓風險倍增。攻擊者利用的許多漏洞都隱藏在眾目睽睽之下，由簡單的配置錯誤組成，這些錯誤往往被忽視，包括：

• 過期 DNS 記錄（Stale DNS records）

• 缺少 DNSSEC 驗證（Missing DNSSEC validation）

• 懸空 CNAME（Dangling CNAMEs）

過期 DNS 記錄（Stale DNS records）

過期或配置錯誤的 DNS 伺服器不只是錯誤地路由流量 — 它們悄悄地為攻擊者創造了立足點。

缺少 DNSSEC 驗證（Missing DNSSEC validation）

DNSSEC 就像運輸箱上的防拆膠帶。沒有它，攻擊者可以在 DNS 伺服器層級偽造回應，透過 IP 欺騙重定向合法流量，並在不被偵測的情況下繞過身份驗證控制。

懸空 CNAME（Dangling CNAMEs）

配置錯誤的 DNS 伺服器是懸空 CNAME 和欺騙攻擊的基礎。一個被遺忘的 CNAME 指向一個被棄用的雲端服務，就是對入侵者的邀請。

每一個這些問題都會削弱您的網路安全態勢。攻擊者透過各種攻擊類型利用 DNS 漂移（DNS drift） — 從子網域劫持到欺騙和快取中毒 — 所有這些都濫用了解析層的信任。

為什麼防火牆和傳統安全工具無法保護 DNS

防火牆和 WAFs 實施速率限制，以阻止 IP 位址或 TCP 連接層的分散式阻斷服務（DDoS）攻擊 和洪水攻擊，通常是在 IPv4 層級。攻擊者通常在任何防禦措施啟動之前就消耗了頻寬。然而，即使防火牆和 WAFs
具有基於令牌桶演算法的高級速率限制規則，DNS 層的配置錯誤也可以完全繞過這些防禦，並可能使關鍵伺服器資源不堪重負。

此外，隨著 IPv6 的擴展，攻擊者可以利用指向錯誤 IPv4 或舊版 IP 位址的 DNS 記錄，使 SOC 團隊無法真正了解根本原因。

了解傳統網路安全控制的限制

雖然防火牆和 WAFs 嚴重依賴速率限制來阻止洪水攻擊，但 DNS 錯誤卻完全繞過了這些門檻。例如，DNS 配置錯誤可以透過利用未使用的 IPv6 記錄來實現劫持、欺騙甚至攻擊，而不會觸發那些舊有的速率限制防禦。解析到被棄用 IP位址的 DNS 記錄創建了無聲的切入點。

傳統的網路安全控制並非設計用於 DNS 層的錯誤：

• 防火牆不檢查過期 DNS 記錄。

• WAFs 不標記缺少 DNSSEC。

• EDR 代理不監控 DNS 映射。

• 即使是重複的 NXDOMAIN 回應 — 這表示對不存在網域的查詢（通常與惡意活動相關）—
  也很少在傳統防禦中觸發警報。

傳統的防禦措施是為喧囂的威脅而設計的 — 惡意軟體、暴力破解和利用嘗試。DNS 配置錯誤？它們靜靜地存在著。這就是為什麼習慣於追逐閃爍警報的 SOC 團隊經常完全錯過它們 — 即使異常的 DNS 請求可能是欺騙或劫持的早期指標。

DNS 配置錯誤的實際後果

很容易將 DNS
問題視為技術內務管理。但攻擊者更了解。他們將配置錯誤視為唾手可得的果實，並利用許多團隊忽略的弱點。

在 IT 環境中，過期記錄可能暴露一個 SaaS 入口。在 OT 安全中，配置錯誤的 DNS 記錄可能重新路由工業系統的流量，並使關鍵伺服器資源緊張。在這裡，停機不僅代價高昂，而且是危險的。

在高峰流量事件期間，攻擊者會繞過傳統的速率限制控制，將惡意活動混入合法流量中，使 DNS 錯誤實際上不可見。攻擊者經常利用被劫持的 DNS 記錄在受信任的子網域上託管機器人（bots）和釣魚工具包。

研究人員將懸空記錄提供給威脅情報平台，而攻擊者也同樣密切監控這些平台。當被利用時，DNS 錯誤甚至可能導致核心權威伺服器停機，使企業無法追蹤惡意查詢或驗證合法查詢。

要了解其影響，請考慮以下 DNS 配置錯誤導致重大安全漏洞的案例：

• 財富 500 強憑證竊取： 在 2024 年，幾家財富 500 強公司面臨憑證竊取，不是因為惡意軟體，而是因為 DNS漂移。被棄用的子網域遭到劫持，登入入口被欺騙，員工受騙。憑證竊取通常始於 DNS 層的 IP 位址映射被劫持。

• 大規模子網域劫持： 安全研究人員定期對 DNS 伺服器和子網域進行全網掃描，並將結果饋送到威脅情報源中。在過去兩年中，近四分之一的財富 1000 強公司至少有一個可利用的懸空記錄漏洞。攻擊者經常利用產生 NXDOMAIN 錯誤的被棄用子網域，悄悄地將它們重新指向攻擊者控制的基礎設施。

• 信任劫持：
  攻擊者透過將配置錯誤或未監控的子網域轉變為釣魚或惡意軟體託管站點來利用它們。一旦被劫持，這些受信任的子網域通常充當殭屍網路命令與控制（C2）節點或釣魚工具包站點，為對手提供一個看起來合法的通道，以發起大規模憑證竊取和品牌冒充活動。

連鎖反應：聲譽、合規和營收面臨風險

除了造成即時安全風險外，DNS 配置錯誤還會帶來連鎖後果，影響您的品牌、合規態勢，甚至您的底線。

• 聲譽損害：
  當您受信任的品牌網域成為攻擊者的傳送機制時，客戶會對您的組織失去信心。

• 合規影響： 導致資料被竊取的配置錯誤可能引發 GDPR、HIPAA 或 PCI 罰款。

• 營收損失： 利用 DNS
  配置錯誤的網路事件可能導致停機、客戶流失，甚至頻寬浪費，所有這些都因可見性和緩解措施的失敗而被放大。長時間的 NXDOMAIN 流量爆發也會消耗解析器容量，降低使用者體驗並掩蓋活躍的威脅，成本會迅速增加。

DNS 劫持疊加在 DDoS 攻擊之上會加劇停機時間並擴大損害。即使使用 HTTPS 和 TLS> 憑證，被劫持的 DNS 仍可以將用戶重定向到看起來合法的欺詐目的地。

每一次 DNS>劫持都存在中斷和停機的風險，透過中斷客戶存取、延遲交易和影響營收流，直接威脅業務連續性。

為什麼 DNS 風險已達到關鍵臨界點

DNS 風險已存在多年，那麼為什麼現在不同？答案在於快速數位轉型、營運複雜性和攻擊複雜性不斷增加的匯聚，其中包括：

• 雲端和 SaaS 爆炸性增長

• 多 CDN 複雜性

• 合規差距

• 配置錯誤的指數級增長

雲端和 SaaS 爆炸性增長

每一次雲端遷移、SaaS 上線和行銷整合都會產生 DNS 條目。DevOps 團隊快速行動，在數小時內啟動服務。採用多雲和網路即服務（NaaS）模型的企業每天都會成倍增加其DNS 記錄。

由於服務供應商眾多，DNS 記錄變得碎片化，每個記錄都是一個潛在的可見度差距。如果態勢管理不是持續的，這些環境就會變得難以管理，並容易出現 DNS 漂移。清理工作很少是優先事項，攻擊者則在由此產生的殘骸中茁壯成長。

多 CDN 複雜性

為了保證正常運行時間，企業採用了多 CDN 策略。雖然這種方法有利於彈性，但它也擴大了 DNS 的蔓延。更多的供應商意味著更多的 DNS 記錄，更多的記錄意味著更多的機會出現被忽視的配置和安全差距。

合規差距

稽核員會檢查加密、修補和存取控制，但他們很少檢查企業 DNS 伺服器的健康狀況，儘管 DNS 是服務連續性的基礎。稽核員不會檢查 CNAME 是否指向一個被棄用的雲端儲存桶，或是否存在過期記錄。而這些正是攻擊者瞄準的差距。

配置錯誤的指數級增長

服務、記錄和配置錯誤之間的關係是複合式的，而非線性的。更多的服務產生更多的 DNS 記錄，更多的記錄增加了配置錯誤的可能性，而更多的配置錯誤創造了更多的利用機會。這種指數級增長意味著，如果沒有主動管理，企業將迅速達到
DNS 安全的臨界點。

透過先進的 DNS 態勢管理重新獲得控制

傳統的網路防禦措施從未被設計來處理現代 DNS 環境的速度和複雜性。企業需要一個能夠提供持續可見度、可行性洞察和自動化修復的解決方案。

DNS 態勢管理不會取代防火牆、託管偵測與回應（MDR）或現有的網路安全控制 — 它是對它們的補充。透過提供對 DNS 錯誤的即時可見度和與即時威脅情報相關的上下文風險優先排序，它加強了跨多雲和 SaaS 生態系統的緩解和身份驗證策略。

先進的機器學習模型可以透過發現漂移或欺騙嘗試，在它們升級之前持續標記異常的 DNS 模式。這成為託管網路安全的一個關鍵部分，確保 SOCs 能夠看到傳統控制措施錯過的可見度差距。與傳統防禦不同，態勢管理增加了專為 DNS
可見度量身定制的安全功能 — 監控漂移、驗證 DNSSEC，並在異常查詢演變成攻擊之前標記它們。

最終，態勢管理有助於同時優化 DNS 性能和安全性，確保過期記錄被淘汰、DNSSEC 得到驗證，並且流量流與企業意圖保持一致。

加強安全

複雜的 DNS 態勢管理透過以下方式加強安全：

• 持續監控 跨多雲、SaaS 和 CDN 生態系統

• 風險優先排序 與子網域劫持和欺騙等即時威脅相關聯

• 策略對齊 與合規基線和內部標準保持一致

• 可操作的修復 — 而非堆積如山的靜態報告

DNS態勢管理提升了真正重要的少數可利用問題。引導式自動化將修復推送到現有工作流程中，減少手動工作，並將修復時間從數小時加速到數分鐘。

• 對於分析師來說，這意味著 DNS 風險會出現在他們已經工作的安全資訊與事件管理系統（SIEMs）、安全協調、自動化和回應（SOARs），以及態勢儀表板中。透過浮現與已知殭屍網路行為相關聯的異常 DNS 模式，態勢管理使 SOCs 能夠在詐欺活動紮根之前，優先處理和阻止 C2 基礎設施。

• 對於 CISOs來說，這意味著可以自信地回答董事會的問題，例如「我們的網域是否安全，不會被劫持？」。

將 DNS 從風險轉變為韌性工具

DNS 態勢可見度不再僅僅是一個 IT 任務 — 它是雲端資料保護的基石。如果 DNS 被入侵，雲端中的每個工作負載、SaaS 應用程式和 API 都面臨風險。

使用 Akamai DNS Posture Management 的企業正在扭轉局面。DNS 不再是一個負擔，而成為一條防線。透過監控異常的 DNS 查詢，DNS Posture Management 在威脅升級之前就突顯了它們。它的設計旨在為整個組織帶來效益：

• 對於安全團隊： 更少的誤報、更多的可行性洞察和更短的潛伏時間

• 對於合規領導者： 在稽核員提問之前就滿足稽核的 DNS 態勢數據

• 對於業務利害關係人： 客戶可以看到的正常運行時間、彈性和信任

這不僅僅是基本的 DNS 維護 —
這是關於保護每個數位服務的基礎，保護每個使用者互動和業務交易的第一步。

SOC 視角：將 DNS 作為第一線安全控制

SOC 分析師不想要另一個儀表板。他們想要在他們已經信任的儀表板中獲得清晰度。DNS Posture Management 透過以下方式整合到 SOC 工作流程中：

• 將數據饋送到 SIEMs 和 SOARs 中，同時提供危害指標（IOCs），以幫助 SOC 析師優先處理攻擊者正在利用的真實風險，包括那些透過輕量級基於 UDP 的 DNS 查詢傳遞的風險。該數據隨後可以在 SOAR 中觸發劇本驅動的自動化 —
  隔離有風險的主機、阻止惡意 CNAMEs，或開啟優先級工單供人工審查。

• 將配置錯誤映射到活躍的攻擊向量，而非假設的風險。

• 提供 SOC 領導者可以隨時間追蹤的指標。

• 發出攻擊者通常偽裝成良性 DNS 查詢的 DDoS 活動信號。

對於 CISOs 來說，這些能力將 DNS 態勢提升到策略性安全對話的層次。它不再被埋藏在基礎設施中；它是可衡量、可治理和可報告的。

五個步驟：安全領導者如何加強其組織的 DNS 態勢

以下是企業今天就可以控制 DNS 風險的五種方法：

1. 盤點 DNS 足跡： 了解存在哪些記錄、哪些是活躍的，哪些是過期的。

2. 查找懸空 CNAMEs： 檢查對已退役或被棄用服務的引用，防止攻擊者利用它們。

3. 盡可能啟用 DNSSEC： 雖然不完美，但 DNSSEC 顯著提高了對欺騙和篡改的門檻。

4. 將 DNS 整合到 SOC 工作流程中： 將 DNS檢查視為持續性的義務，而不是季度內務管理。

5. 採用持續 DNS 態勢管理： 手動稽核無法跟上 SaaS 和雲端的速度。

透過遵循這些步驟，您可以在漏洞被利用之前，賦予安全團隊可見度、上下文和採取行動的信心。

使用 Akamai 保護您的 DNS

每一次登入。每一次客戶 API 呼叫。每一次 SaaS 交易。它們都始於 DNS。長期以來，DNS 一直未受到監控。同時，攻擊者正在掃描漏洞。

透過 Akamai DNS Posture Management，您可以：

• 持續監控混合雲、多雲和 CDN 環境中的 DNS

• 優先處理對攻擊者而言真正重要的風險

• 自動將 DNS 態勢與合規和安全基線對齊

• 透過引導式修復迅速行動 — 而非無休止的警報

即使是最強大的零信任 VPN 或軟體定義的邊界，如果 DNS 配置錯誤留下後門，也可能被破壞。透過態勢管理，組織將 DNS 基礎設施從一個負擔轉變為一個可衡量、有彈性的安全控制。

立即保護您的企業。

了解更多