美国新成立的网络安全及基础设施安全局(CISA)在1月发布紧急指令,要求立即采取措施保护美国联邦信息系统不受DNS劫持与篡改侵害。

CISA于去年11月成立,旨在领导美国关键基础设施防护工作。接到安全公司火眼关于当前DNS劫持与篡改攻击活动的警报后,局长 Chris Krebs 签发了该紧急指令。

指令列出了各机构必须采取的一系列系统强化措施,以及关键安全过程的意识提升及可信度增强操作,这些措施和操作具有风险指示性,简单直白,高效率/低负担。

——Chris Krebs,2019年1月23日

此前国土安全部(DHS)基于火眼公司的报告发出了安全警报,表示劫持有可能出自伊朗的黑客团伙发起协同DNS劫持攻击,篡改了政府机构的DNS记录。

DHS要求各机构采取如下4个操作:

1. 审计DNS记录

10个工作日内,所有.gov或其他机构管辖下的域名,均需审计全部权威及备用DNS服务器上的公共DNS记录,验证这些记录是否解析至既定地址。如有解析错误的情况,上报CISA。

2. 修改DNS账户口令

10个工作日内,能修改机构DNS记录的主机上的所有账户,全体更新登录口令。

3. DNS账户添加多因子身份验证措施

10个工作日内,能修改机构DNS记录的主机上的所有账户,全部实现多因子身份验证(MFA)。

4. 监视证书透明性日志

10个工作日内,通过‘网络卫生( Cyber Hygiene )’,CISA将开始为机构域名的CT(证书透明性)日志,交付最新的额外认证。

修复DNS劫持:政府停摆期间并不容易

据悉,请假的员工会被召回,但由于政府停摆,他们的工作是无偿的。Krebs称:尽管知道某些机构因为政府部分停摆而难以执行该指令,但他们认为这些操作都是必要的,而且是紧急而可以实现的,因为大多数机构都有足够的员工采取必要操作。

美国民众永远不应该质疑与联邦政府互动的安全性,不应该怀疑他们的敏感数据是否存在风险,不应该担心来自政府的信息遭到了篡改。

火眼将此攻击描述为:此类攻击难以防御,因为重要信息可能被盗,即便攻击者从未能够直接访问你公司的网络。可采取的安全强化措施包括:在域名管理门户实现多因子身份验证;验证权威及备用域名服务器DNS记录修改;查找与你域名相关的SSL证书,撤销任何可疑证书;验证OWA/Exchange日志中的源IP;执行内部调查,评估攻击者是否取得自身环境访问权。

美国国土安全部关于成立CISA的通报:

https://www.dhs.gov/cisa/news/2018/11/13/congress-passes-legislation-standing-cybersecurity-agency-dhs

火眼报告:

https://www.fireeye.com/blog/threat-research/2019/01/global-dns-hijacking-campaign-dns-record-manipulation-at-scale.html  

声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。