威脅檢測(cè)越全面、越立體,越能讓企業(yè)及時(shí)、有效地建立安全防線。Akamai安全研究團(tuán)隊(duì)近期發(fā)現(xiàn),應(yīng)用NOD(Newly Observed Domain,新發(fā)現(xiàn)的域名)這項(xiàng)數(shù)字資產(chǎn),能夠顯著提速標(biāo)記新惡意域名的檢測(cè)效率。
在2022年上半年,Akamai研究人員根據(jù)NOD數(shù)據(jù)集,標(biāo)記了近7900萬個(gè)惡意域名,平均至每月大約1300萬個(gè)惡意域名,在全部成功解析的NOD中占比20.1%。
一款威脅檢測(cè)利器
利用NOD威脅檢測(cè)惡意域名如此高效,那么這一概念具體指的是哪些域名,它又是從何而來的呢?Akamai會(huì)從CacheServe客戶(通常是ISP)提供的匿名DNS(域名系統(tǒng))查詢字段數(shù)據(jù)中提取域名,并跟蹤上次觀測(cè)時(shí)間。對(duì)于過去60天內(nèi)首次查詢的域名,Akamai都會(huì)視其為NOD,即新發(fā)現(xiàn)的域名。
相比于其他監(jiān)控NOD企業(yè)0.5-72h的時(shí)間窗口,Akamai設(shè)置長(zhǎng)達(dá)60天窗口是為了確保只關(guān)注新注冊(cè)且隱蔽性強(qiáng)的域名,也正是在這個(gè)窗口期洞察到了大量新發(fā)現(xiàn)和即將出現(xiàn)的DNS網(wǎng)絡(luò)威脅。通過擴(kuò)增數(shù)據(jù)集規(guī)模,Akamai安全研究人員能夠緊密追蹤從未成功解析的DNS查詢,掌控安全偵測(cè)全局。
多路徑的高效檢測(cè)
如今,Akamai安全研究團(tuán)隊(duì)每天可以發(fā)現(xiàn)約1200萬個(gè)NOD,并成功解析超過200萬個(gè)。監(jiān)控、標(biāo)記惡意域名威脅進(jìn)程中,主要應(yīng)用如下檢測(cè)方法:
四種常用檢測(cè)方法
·域名生成算法(DGA)
應(yīng)用逆向工程掌握DGA內(nèi)部工作機(jī)制創(chuàng)建域名數(shù)據(jù)庫,覆蓋未來30年內(nèi)可能出現(xiàn)的域名。
·啟發(fā)式分析法
Akamai已創(chuàng)建190多個(gè)特定NOD檢測(cè)規(guī)則,并持續(xù)應(yīng)用機(jī)器學(xué)習(xí)技術(shù)擴(kuò)展啟發(fā)式分析法。
·網(wǎng)絡(luò)釣魚檢測(cè)
以對(duì)比已知品牌名稱和熱門網(wǎng)站列表的方式,來檢查NOD相似性的高低,以判斷惡意域名。
·快速威脅檢測(cè)
全自動(dòng)化執(zhí)行NOD檢測(cè),僅需數(shù)分鐘便可依據(jù)新NOD判定惡意域名,在速度上更具優(yōu)勢(shì)。
多層面的立體檢測(cè)
相比于某大型知名威脅情報(bào)綜合分析平臺(tái),僅就啟發(fā)式分析檢測(cè)項(xiàng)目來看,在雙方都標(biāo)記出某個(gè)惡意域名時(shí),Akamai耗時(shí)通常要比綜合分析平臺(tái)早29.6天。
x軸右側(cè)條形圖代表Akamai檢測(cè)系統(tǒng)更快的情況,左側(cè)條形圖代表某綜合分析平臺(tái)更快的情況;y軸代表惡意域名的數(shù)量
為幫助企業(yè)構(gòu)建宏觀的安全視角,Akamai展開的是多層面惡意域名追蹤,由此NOD策略在部分情況下也存在略慢的表現(xiàn)。更為保險(xiǎn)的理想方案是同時(shí)使用NOD策略與綜合分析平臺(tái)。
面對(duì)加密貨幣風(fēng)險(xiǎn)、惡意軟件等攻擊所致的DNS威脅流量威脅,Akamai建議企業(yè)部署多維度的安全策略,將NOD檢測(cè)作為常規(guī)威脅情報(bào)源的補(bǔ)充策略,縮減與攻擊者的信息差,提升網(wǎng)絡(luò)的安全性。
作為DNS領(lǐng)域的市場(chǎng)領(lǐng)導(dǎo)者,Akamai構(gòu)建的Edge DNS解決方案,也能夠發(fā)揮全球規(guī)模邊緣平臺(tái)優(yōu)勢(shì),助力企業(yè)防范DNS中斷,便捷管理DNS成本,全面抵御DNS數(shù)據(jù)偽造帶來的攻擊威脅。