毛茸茸的性爱视频_日本强伦片中文字幕免费看_亚洲最大男人的天堂_亚洲国产成人第一天堂_免费观看男女性av_日本欧美一区二区三区高清_小南特制乳液图片_久久免费看少妇一特黄_国产欧美日韩色图_国产清纯白嫩初高中在线网站

保護(hù)您的域名：邁出第一步

互聯(lián)網(wǎng)上的每一個人和每一件事都依賴于域名系統(tǒng)（DNS）的正常運作。近年來，DNS一直是網(wǎng)絡(luò)攻擊的常見對象，2019年當(dāng)然也不例外。大多數(shù)這類攻擊的目的遠(yuǎn)比簡單地讓一家公司網(wǎng)絡(luò)崩潰或破壞一個網(wǎng)站更加險惡；已知的攻擊包括重定向一家組織的部分或全部域名以獲得訪問受保護(hù)資源的權(quán)限、攔截流量甚至獲得該域名的TLS證書。組織應(yīng)定期進(jìn)行DNS審查和審計。下面的指導(dǎo)說明將讓您的審查邁出第一步。為什么DNS常被攻擊？ DNS對于任何有線上平臺的組織都是至關(guān)重要的。因此，攻擊域名是一個攻擊任何線上組織的有效方法，具體途徑包括拒絕服務(wù)、污損、濫用等其他方式。域名不僅代表您的品牌，也是您的客戶與您進(jìn)行業(yè)務(wù)互動的方式。在當(dāng)今世界，域名對于網(wǎng)頁、語音、視頻、聊天、API及公司可能提供或使用的所有其他服務(wù)都至關(guān)重要。簡而言之，擁有自己域名的控制權(quán)對您的生意至關(guān)重要。 對這個問題缺乏重視是對您的DNS存在的最大威脅。許多組織認(rèn)為DNS的安裝設(shè)置是理所當(dāng)然的，只需配置一次就可以永遠(yuǎn)保留它。然而，對手便會利用這種忽視和由此產(chǎn)生的弱點。定期進(jìn)行DNS審查和審計是一項基本的預(yù)防措施。 攻擊從哪里開始？ 攻擊者可以通過DNS根區(qū)域、DNS注冊中心/頂級域（TLD）（例如.com、.net、.uk、.jp等）、域名注冊器、DNS名稱注冊器（該區(qū)域被委派的實體）、DNS區(qū)域文件、權(quán)威的DNS名稱服務(wù)器和遞歸DNS解析器等對其進(jìn)行攻擊。攻擊者還可以劫持路由，或以欺騙方式得到DNS服務(wù)器的IP地址。綜上所述，攻擊面十分的廣泛。好消息是DNS本身有較強(qiáng)的抵抗能力，而且也有許多組織關(guān)注著DNS的安全、穩(wěn)定和彈性。 第一個重點領(lǐng)域是DNS區(qū)域的管理。DNS區(qū)域管理是許多組織在其安全和網(wǎng)絡(luò)審查中容易忽視的一個問題。不要低估攻擊的范圍和潛在危害：只要進(jìn)入并訪問DNS區(qū)域和/或注冊器，攻擊者就可以重定向入站電子郵件、通過攻擊者控制的主機(jī)引導(dǎo)流量，甚至可以獲得TLS證書。 域名注冊商和DNS區(qū)域文件 除此之外，域名注冊商控制域名的權(quán)威名稱服務(wù)器（或稱“授權(quán)”，delegations）的列表。這些授權(quán)包括對有關(guān)域具有權(quán)威性的DNS服務(wù)器的主機(jī)名和IP地址。權(quán)威的DNS服務(wù)器有一個主區(qū)域文件的副本，并用“權(quán)威答案”回應(yīng)DNS查詢。近年來大規(guī)模攻擊的興起已經(jīng)改變了域所有者操作其權(quán)威命名服務(wù)器的方式。過去，大多數(shù)組織在自己的系統(tǒng)上操作權(quán)威的命名服務(wù)器。而如今，組織有了更多選擇。有些域名注冊商提供全面服務(wù)包，由注冊商負(fù)責(zé)管理和維護(hù)域名的完整DNS配置。 DNS審查和審計工作 新聞報道、計算機(jī)應(yīng)急響應(yīng)小組（CERT）和政府通知可能會敦促您“做DNS審計”，但建議往往到此為止。這篇文章的其余部分是一家組織應(yīng)該審查的主題領(lǐng)域的集合，以評估他們目前的DNS“態(tài)度”。這些建議是基于ICANN的安全和穩(wěn)定性咨詢委員會（SSAC）、DNS操作分析和研究中心（DNS-OARC）以及其他DNS專家的工作所得出。 審查對域名注冊商的訪問 按照注冊商的要求檢查組織中當(dāng)前的域管理員，并確保他們符合您的期望。檢查與注冊商配置的所有域并確保您知道組織中有哪些人可以訪問注冊商的在線門戶，同時與這些用戶進(jìn)行確認(rèn)。如果您有與多個注冊商注冊的域名，確保您向每一個注冊商重復(fù)這個操作。盡管如此，還是建議您考慮將注冊合并到一個單一的注冊商下。同時，找機(jī)會核實您所有的域名都在您的域名注冊審計中——有些人可能已經(jīng)使用個人賬戶注冊了一個域名，如果他們離開了您所在的組織，這可能會導(dǎo)致失去控制。 攻擊者會充分利用一家組織忽略的DNS漏洞。他們會找到?jīng)]有妥善維護(hù)的賬戶，并對其進(jìn)行破壞。因此您的第一步就是在每個注冊商處檢查、更新和記錄哪些人可以訪問哪些區(qū)域。 審查域名系統(tǒng)的角色和責(zé)任 最少化訪問（least access）原則是一個最安全的準(zhǔn)則：人們只需要擁有完成其工作所需的最低訪問權(quán)限。檢查能夠訪問注冊商的用戶是否是其工作職能所必需。除了一次性審查之外，安排對每個人訪問級別的反復(fù)審查。此外，確保至少有兩個人可以訪問每個注冊門戶；否則一旦管理員離職，訪問權(quán)限的喪失將對組織造成災(zāi)難性后果。 請記住，攻擊者經(jīng)常利用社交媒體作為網(wǎng)絡(luò)釣魚嘗試的一部分。他們可以很容易地在社交媒體平臺上鎖定知名度高的員工，因為他們知道組織在重組、裁員或員工退休后可能會忘記刪除注冊信息。 員工權(quán)限轉(zhuǎn)讓 組織的預(yù)終止過程應(yīng)該包括對用戶角色的審核。作為審核的一部分，組織應(yīng)該審核員工對資源的訪問權(quán)限，比如注冊賬戶或DNS云提供者，并終止所有權(quán)限。在合理的情況下，應(yīng)盡快將權(quán)限賦予替代人員或繼任人員。 終止程序還應(yīng)更換或撤銷離職員工可以獲得的所有機(jī)密。除了密碼，這還應(yīng)該包括雙重身份驗證（2FA）令牌、口頭身份驗證密碼以及組織文件中任何授權(quán)員工的登記名單。無論員工離職的情況如何，這些都應(yīng)當(dāng)是一種常規(guī)操作。這并不是對離職員工的玷污，而是組織規(guī)避威脅的必要手段。 更新所有注冊資料 接下來，查看與您注冊的域名相關(guān)聯(lián)的聯(lián)系信息。確保每個域名的有效期足夠長（建議至少一年），并正確設(shè)置其中的各選項如自動續(xù)約等。一個意外過期的域名可能會導(dǎo)致巨大的財務(wù)成本，在最壞的情況下，可能會無可挽回地丟失，或是被競爭對手注冊。 域名也通常有四個聯(lián)系點：注冊人、技術(shù)、管理和賬單聯(lián)系人。您的注冊商可能只會發(fā)送特定類型的訊息給這些角色中的一個，在某些爭端中，注冊人會處于優(yōu)先的位置。確保所有的聯(lián)系信息是最新的——因為在組織發(fā)展壯大、縮小、轉(zhuǎn)移或被并購時，注冊聯(lián)系人的更新問題往往會被忽視。 使用角色賬戶獲取域注冊信息 為了幫助管理域注冊聯(lián)系信息，組織經(jīng)常使用一個角色賬戶（role account）來管理所有的四個必需的域聯(lián)系點。角色賬戶的構(gòu)建因組織而異，但基本思想是建立一個嚴(yán)格限制的郵件列表，所有域名注冊信函都可以發(fā)送到該列表。這些角色職位通常被命名為“域管理員”或“主機(jī)管理員”，并列出組織的總部聯(lián)系信息，包括地址、電話和傳真號碼。確保直接發(fā)送到這些號碼的合法電話和傳真仍將到達(dá)DNS管理員手中。使用角色職位，而不是指定的人員可以使得更改工作職責(zé)或者增加和刪除人員更加靈活，而不需要在注冊商處進(jìn)行重要更新。如果使用郵件列表，您的定期審計應(yīng)審查訂閱郵件列表的員工，以限制潛在的濫用行為。 不要使用個人電子郵件地址 個人電子郵件地址不應(yīng)該用作企業(yè)、政府或組織域管理員的聯(lián)系點。作為審查過程的一部分，確保個人電子郵件地址從未用于域名聯(lián)系信息或注冊商訪問賬戶。 使用員工的個人電子郵件地址作為聯(lián)絡(luò)點，將會將域名的控制權(quán)移交到該員工手中。此外，您也無法知道您的員工在他們的個人電子郵件賬戶上使用了什么樣的安全措施，因此您可能把自己暴露在一個心懷不滿的現(xiàn)任或前任員工的報復(fù)行為面前。您所有的域名聯(lián)系人應(yīng)該包括由您的組織或母組織控制的電子郵件地址。 還應(yīng)該避免使用員工的組織或公司電子郵件地址。暴露參與管理公司域名的個人姓名，就會使他們面臨更大的社會風(fēng)險和針對公司的釣魚式攻擊。相反，應(yīng)該使用基于角色或基于部門的名稱（例如hostmaster-technical@example.com、hostmaster-billing@example.com），最好是讓多個用戶接收發(fā)送到這些地址的通信。 防范釣魚式攻擊 網(wǎng)絡(luò)釣魚是破壞注冊賬戶的主要攻擊之一。您有可能遭遇到針對DNS管理員的釣魚攻擊，所以一個全面的釣魚防御是必不可少的。以下一系列反釣魚技術(shù)可提供有效保護(hù)，防止釣魚式攻擊。 使用通用的、基于角色職能的或基于部門的電子郵件地址，例如domainadmin@example.com。通過基于角色的賬戶收到的釣魚郵件通常更容易被管理員發(fā)現(xiàn)；在年度安全審查中加入反釣魚培訓(xùn)，并要求所有DNS管理員完成培訓(xùn)；在DNS管理員（以及組織中的每個人）使用的所有設(shè)備上部署終端安全/安全軟件并加強(qiáng)安保措施；啟用電子郵件過濾服務(wù)，以防止一些常見的釣魚和惡意軟件攻擊您的DNS管理員以及您的組織的其余部分；過濾DNS查詢，防止員工訪問已知的網(wǎng)絡(luò)釣魚網(wǎng)站。像Akamai的企業(yè)威脅保護(hù)器（ETP）這樣的工具提供DNS級別的企業(yè)安全。 沒有可以阻止網(wǎng)絡(luò)釣魚攻擊的萬全之策，但是采用正確的防御組合將有助于組織降低風(fēng)險。 憑證更新——更改密碼 定期更改密碼是所有在線賬戶的良好做法，域名注冊商賬戶也不例外。在對您的DNS基礎(chǔ)設(shè)施進(jìn)行審查時，要求每個具有注冊服務(wù)器訪問權(quán)限的人輪換他們的憑據(jù)。雖然您的組織可能有一個全面的密碼策略，但是通常會忽略外部服務(wù)，如注冊服務(wù)器。外部賬戶應(yīng)遵守您的內(nèi)部密碼安全指導(dǎo)方針和輪換時間表。注冊服務(wù)器賬戶的密碼應(yīng)該是長而復(fù)雜的；使用密碼管理器可以很容易地以加密、冗長和易找到的方式生成和存儲復(fù)雜的密碼。密碼永遠(yuǎn)不應(yīng)該寫下來或以未加密的形式存儲。 注冊商賬戶雙重認(rèn)證（2FA） 當(dāng)您的注冊商支持時，所有賬戶都應(yīng)該使用雙重身份驗證（2FA）。使用2FA時，任何試圖登錄到注冊器的人不僅需要賬戶密碼，還需要第二個因素，如智能手機(jī)應(yīng)用程序或硬件令牌等。2FA可以阻止本來可能成功的網(wǎng)絡(luò)釣魚嘗試。 如果可能的話，應(yīng)該避免使用基于SMS的2FA?；赟MS的2FA仍然優(yōu)于只使用密碼保護(hù)的賬戶，但其他方法如基于時間的一次性密碼（TOTP）、硬件令牌或基于推送的2FA應(yīng)該是首選的。新的NIST數(shù)字身份指南建議，短信作為2FA的一部分應(yīng)該被廢棄（參見NIST特刊800-63B）。 如果您的注冊商不支持2FA，申請這個功能。如果他們不接受，考慮尋找替代的注冊商。在許多情況下，同一頂級域名、通用頂級域名和通用頂級域名都會存在處于競爭關(guān)系的多個注冊商。 了解注冊商的安全策略、工具和流程 世界上有數(shù)百個域名注冊商，支持超過1500個頂級域名。一些注冊商比其他機(jī)構(gòu)有更好的安全措施。您的組織可以幫助引導(dǎo)行業(yè)朝著更好的方向發(fā)展。通過查看注冊商的在線文檔了解他們的安全實踐和策略。如果無法找到此信息，請與注冊商進(jìn)行對話，并鼓勵他們發(fā)布此信息。 例如，您的注冊商是否提供運營域所需的支持服務(wù)？注冊商是否提供247技術(shù)支持，允許在非營業(yè)時間進(jìn)行故障排除？ICANN的政策要求您的當(dāng)前注冊商通知您，他們從注冊商那里收到的任何域名轉(zhuǎn)移請求，表明有人已經(jīng)要求將域名轉(zhuǎn)移到一個新的注冊商。您的注冊商是否只通過電子郵件發(fā)送此信息，或者您可以選擇通過電話或傳真請求此信息？您的注冊商是否發(fā)送通知所有其他更新到您的域名？ICANN的安全和穩(wěn)定性咨詢委員會（SSAC）與ICANN社區(qū)合作，提供DNS操作和安全指導(dǎo)。ICANN的SAC 40保護(hù)域名注冊服務(wù)免受剝削或濫用的措施和SAC 44注冊人保護(hù)域名注冊賬戶指南是理解和評估注冊商安全實踐的出色指南。 審核隱私注冊選項 許多域名注冊商提供隱私或代理注冊服務(wù)。這些服務(wù)會對公眾隱藏您的個人聯(lián)系信息，并用ICANN-聯(lián)系信息取而代之。歐盟的一般數(shù)據(jù)保護(hù)條例（GDPR）已經(jīng)改變了在像WHOIS這樣的域注冊數(shù)據(jù)庫中發(fā)布信息的方式。作為一般原則，一個基于角色注冊域名信息的方法可以兼容GDPR，同時在您的域名下向社區(qū)提供最新的聯(lián)系信息。 注：在某些情況下，代理服務(wù)器或隱私注冊表會妨礙獲取組織驗證（OV）和擴(kuò)展驗證（EV）SSL/TLS證書所需的驗證過程。啟用或禁用代理或隱私注冊的過程可能因注冊商而異，在訂閱這些服務(wù)之前，應(yīng)充分了解時間表。在關(guān)閉隱私注冊方面的延遲可能會導(dǎo)致證書輪換失敗或域轉(zhuǎn)移的延遲，如果需要這些服務(wù)的話。應(yīng)該仔細(xì)考慮這些風(fēng)險。 在您的區(qū)域內(nèi)檢查和維護(hù)記錄 DNS區(qū)域包含許多主機(jī)名和子域，但許多DNS管理員可能不知道哪個部門或業(yè)務(wù)單位負(fù)責(zé)給定的條目。主機(jī)名（hostname）指的是類型為A、AAAA、CNAME、TXT等的記錄。子域由NS記錄的存在來指示，并將對區(qū)域的該部分的控制委托給另一個名稱服務(wù)器上的區(qū)域。 DNS管理員應(yīng)該知道哪些組或團(tuán)隊負(fù)責(zé)他們組織區(qū)域文件中的每個條目。如果您的組織使用內(nèi)部票據(jù)跟蹤系統(tǒng)，信息可能存儲在系統(tǒng)中，但在短時間內(nèi)可能不容易訪問。確保隨著時間的推移精確地跟蹤區(qū)域的更改可能需要對內(nèi)部流程進(jìn)行更新。一旦您可以在您的區(qū)域文件中確定每個條目的責(zé)任方，您應(yīng)該執(zhí)行定期審查并確保記錄。驗證每個主機(jī)名和子域的所有權(quán)，并刪除過時的條目應(yīng)該是常規(guī)DNS審查的一部分。 對于新的應(yīng)用程序、服務(wù)或現(xiàn)場演示，可以快速添加記錄，但是這些記錄可能在相關(guān)服務(wù)關(guān)閉或遷移之后仍然存在很長時間。作為內(nèi)部產(chǎn)品生命周期的一部分，確保對服務(wù)的關(guān)閉給予了足夠的重視，關(guān)閉過程包括通知DNS管理員不再需要主機(jī)名或子域。 特別要注意委托的子域，因為它們的設(shè)計目的是將區(qū)域的一部分控制權(quán)讓給另一個名稱服務(wù)器。確保NS記錄是準(zhǔn)確的，并且它們?nèi)匀粸樽佑蛱峁?quán)威的答案。如果您的組織將一個子域名委托給第三方DNS服務(wù)提供商，那么經(jīng)常檢查委托子域名的答案就更重要了，因為外部服務(wù)提供商可能會在沒有通知您他們的客戶的情況下重新使用這些IP地址。如果一個區(qū)域被委托給由您的組織在第三方云提供商中運行的名稱服務(wù)器，那么一定要跟蹤IP地址的變化并相應(yīng)地更新區(qū)域委托。公共云計算傾向于快速重新啟用IP地址，因此無法審計您的NS記錄和相關(guān)的IP地址可能會導(dǎo)致域管理權(quán)的變更。 名稱服務(wù)器和區(qū)域文件最佳實踐 DNS審查應(yīng)包括對您控制的所有名稱服務(wù)器上的所有用戶賬戶的審查，包括“初級”和“次級”名稱服務(wù)器?？梢栽L問名稱服務(wù)器的用戶可以直接編輯域文件或更改系統(tǒng)上運行的軟件。不要僅僅依靠操作系統(tǒng)中的訪問許可權(quán)或訪問級別保護(hù)，因為利用或錯誤配置可能允許任何擁有賬戶的人訪問區(qū)域文件或服務(wù)器配置實用程序。確保保存訪問日志以跟蹤什么人登錄到服務(wù)器；訪問控制和問責(zé)制對您的DNS基礎(chǔ)設(shè)施的所有部分都至關(guān)重要。這在主輔模型中尤其重要，其中“初級”名稱服務(wù)器包含區(qū)域文件的規(guī)范副本，而“次級”名稱服務(wù)器定期或根據(jù)請求將其從主服務(wù)器轉(zhuǎn)移過來。 DNS區(qū)域文件修改控制 審查還應(yīng)該包括對區(qū)域文件本身的管理，以確保存在并執(zhí)行適當(dāng)?shù)淖兏芾砹鞒?。區(qū)域文件的主副本應(yīng)該存儲在修訂控制系統(tǒng)或其他訪問控制存儲器中。當(dāng)出現(xiàn)更改請求時，DNS管理員生成一個更新的區(qū)域文件，將其放入一個審查程序中，檢查其是否有錯誤，然后將新的副本推送到生產(chǎn)環(huán)境。在更新導(dǎo)致意外行為的情況下，應(yīng)該有一個定期測試和易于執(zhí)行的過程，將區(qū)域恢復(fù)到最后一個已知的良好狀態(tài)；一個修訂控制系統(tǒng)可以幫助促進(jìn)這種恢復(fù)。審查您的DNS基礎(chǔ)設(shè)施還應(yīng)包括定期審查賬戶，編輯訪問用于維護(hù)區(qū)域文件的修訂控制系統(tǒng)。 與所有重要數(shù)據(jù)一樣，區(qū)域文件及其更改日志應(yīng)定期備份到安全的異地備份。可信備份與修訂控制相結(jié)合，將有助于建立用于恢復(fù)文件的“最后已知良好”版本。如果區(qū)域文件的主副本存在于云DNS提供商中，您應(yīng)該確保所有可以編輯區(qū)域記錄的賬戶都遵守為注冊賬戶服務(wù)的強(qiáng)大安全條例。即使在使用云提供商時，也要確保定期存儲區(qū)域文件的備份副本，以便在災(zāi)難恢復(fù)中使用。 您的域名是否在注冊商處被鎖定？ 域鎖定（domain locking）是防止未經(jīng)授權(quán)更改域注冊的一種方法。大多數(shù)域名注冊商允許注冊域名的注冊商鎖定（registrar locks），也稱為客戶端鎖定（client locks）。與注冊商聯(lián)系，看看他們是否支持這項服務(wù)。如果可用，確保您的域是鎖定的。更具體地說，建議至少您的域名應(yīng)該有客戶端刪除、客戶端更新和客戶端傳輸鎖定功能，不要有客戶端重置鎖定。一些注冊商在他們的門戶只提供一個鎖定選項，這往往會包含上述三個推薦的鎖定功能。鎖定功能集可以防止任何未經(jīng)授權(quán)的更新或傳輸，同時也防止攻擊者在沒有首先解鎖域之前刪除域注冊。而只要不設(shè)置重置鎖定，您仍然可以更新域名或利用注冊商的自動更新功能。許多注冊商不會為鎖定功能收取費用，有些甚至?xí)J(rèn)鎖定域名，無需您做任何事情。 除了客戶端/注冊商鎖定，一些gTLD或ccTLD運營商還提供服務(wù)器鎖定（server lock），也稱為注冊表鎖定（registry lock）。服務(wù)器鎖定為域更新增加了額外的保護(hù)層，只有在注冊人的請求下，才能通過與注冊操作員的協(xié)調(diào)的“帶外”（out-of-band）進(jìn)程（通常是通過電話）添加或刪除服務(wù)器鎖定。與客戶端鎖定一樣，建議的服務(wù)器鎖定是Server Delete、Server Update和Server Transfer，出于與前面相同的原因，不建議使用Server Renew。請注意，有些注冊商/TLD運營商并不提供這項服務(wù)。使用服務(wù)器或注冊表鎖定服務(wù)通常需要額外的成本，并涉及增加的注冊人/注冊商交互。 請注意，添加或刪除服務(wù)器/注冊表鎖定可能會導(dǎo)致更改域的延遲（長達(dá)一周），例如更新注冊聯(lián)系信息、更新委托記錄、域轉(zhuǎn)移或域刪除。例如，當(dāng)轉(zhuǎn)移域之間的注冊，您需要在傳輸過程開始之前解除鎖定域。在對您的域進(jìn)行更改時，請確保使用WHOIS來驗證鎖是否按預(yù)期應(yīng)用。 抱最好的希望，做最壞的打算 域名注冊商已被黑客入侵。DNS管理員賬戶已被攻破。等到這種情況發(fā)生就為時已晚了。將這些情況作為DNS審查工作的一部分進(jìn)行準(zhǔn)備。在您的域被劫持的情況下，向您的注冊商詢問他們的恢復(fù)過程。他們應(yīng)該引導(dǎo)您完成準(zhǔn)備適當(dāng)文檔的過程。ICANN的SAC044服務(wù)建議收集以下文檔，以防備注冊商域名在被劫持的最壞情況：域名注冊記錄的副本（例如：帶有時間戳的WHOIS查找、截圖或來自注冊商門戶的導(dǎo)出）。 結(jié)算記錄，尤其是已顯示付款的記錄。 將域名與您（合法注冊人）發(fā)布的內(nèi)容相關(guān)聯(lián)的日志、存檔或財務(wù)事務(wù)。 電話簿（黃頁）、營銷材料等，其中包含將您（注冊人）與域名相關(guān)聯(lián)的廣告。 來自注冊服務(wù)商和ICANN的提及域名的通信。 將您（注冊人）與域名相關(guān)聯(lián)的法律文件、稅務(wù)申報、政府頒發(fā)的身份證明、營業(yè)稅通知等。這份名單來自ICANN SSAC，一個由ICANN委員會任命的安全專家小組。您的組織應(yīng)該充分利用他們來之不易的恢復(fù)被劫持域的經(jīng)驗。