美国新成立的网络安全及基础设施安全局(CISA)在1月发布紧急指令,要求立即采取措施保护美国联邦信息系统不受DNS劫持与篡改侵害。
CISA于去年11月成立,旨在领导美国关键基础设施防护工作。接到安全公司火眼关于当前DNS劫持与篡改攻击活动的警报后,局长 Chris Krebs 签发了该紧急指令。
指令列出了各机构必须采取的一系列系统强化措施,以及关键安全过程的意识提升及可信度增强操作,这些措施和操作具有风险指示性,简单直白,高效率/低负担。
——Chris Krebs,2019年1月23日
此前国土安全部(DHS)基于火眼公司的报告发出了安全警报,表示劫持有可能出自伊朗的黑客团伙发起协同DNS劫持攻击,篡改了政府机构的DNS记录。
DHS要求各机构采取如下4个操作:
1. 审计DNS记录
10个工作日内,所有.gov或其他机构管辖下的域名,均需审计全部权威及备用DNS服务器上的公共DNS记录,验证这些记录是否解析至既定地址。如有解析错误的情况,上报CISA。
2. 修改DNS账户口令
10个工作日内,能修改机构DNS记录的主机上的所有账户,全体更新登录口令。
3. DNS账户添加多因子身份验证措施
10个工作日内,能修改机构DNS记录的主机上的所有账户,全部实现多因子身份验证(MFA)。
4. 监视证书透明性日志
10个工作日内,CISA将开始通过‘网络卫生( Cyber Hygiene )’服务为机构域名的证书透明性(CT)日志定期交付新添加的证书。
修复DNS劫持:政府停摆期间并不容易
据悉,请假的员工会被召回,但由于政府停摆,他们的工作是无偿的。Krebs称:尽管知道某些机构因为政府部分停摆而难以执行该指令,但他们认为这些操作都是必要的,而且是紧急而可以实现的,因为大多数机构都有足够的员工采取必要操作。
美国民众永远不应该质疑与联邦政府互动的安全性,不应该怀疑他们的敏感数据是否存在风险,不应该担心来自政府的信息遭到了篡改。
火眼将此攻击描述为:此类攻击难以防御,因为重要信息可能被盗,即便攻击者从未能够直接访问你公司的网络。可采取的安全强化措施包括:在域名管理门户实现多因子身份验证;验证权威及备用域名服务器DNS记录修改;查找与你域名相关的SSL证书,撤销任何可疑证书;验证OWA/Exchange日志中的源IP;执行内部调查,评估攻击者是否取得自身环境访问权。
美国国土安全部关于成立CISA的通报:
火眼报告:
相关阅读