Октябрь — Месяц кибербезопасности в Европейском Союзе, так что мы пользуемся случаем, чтобы рассказать о некоторых мерах, которые предпринимает наша организация для продвижения хороших практик в области кибербезопасности и укрепления безопасности интернета для всех.
Мы работаем над темами, связанными с угрозами DNS и злоупотреблениями доменными именами, согласно миссии ICANN по обеспечению безопасности, стабильности и отказоустойчивости системы доменных имен (DNS). Для этого мы проводим курсы по угрозам DNS, делимся советами о хорошей гигиене безопасности и лучших практиках, и поддерживаем множество технических проектов и инициатив. Ниже приведено четыре заслуживающих внимания примера наших усилий.
Платформа отчетности о случаях злоупотребления доменами (DAAR)
Пять лет назад ICANN создала инструмент DAAR, чтобы визуализировать и анализировать данные об угрозах безопасности анонимным и агрегированным способом. DAAR пользуется известными репутационными блок-листами, связанными с фишингом, спамом, вредоносным ПО и ботнетами, чтобы проверить, какое количество попадающих в них доменных имен зарегистрированы в классических, а какое — в новых общих доменах верхнего уровня (gTLD). Это позволяет пользователям проводить анализ тенденций на основе временных рядов.
Например, если посмотреть на четыре года данных DAAR, видно, что количество зарегистрированных доменов растет и в классических, и в новых gTLD, а общее количество доменов, представляющих собой угрозы безопасности — не растет. По всей видимости, наблюдается тенденция на снижение, если нормализовать общее количество доменов, представляющих собой угрозы безопасности, относительно общего количества зарегистрированных доменов в каждом gTLD. На сегодняшний день данные DAAR показывают, что приблизительно один процент всех зарегистрированных доменов используется в злоумышленных целях.
Инструмент сбора и регистрации информации об угрозах безопасности доменным именам (DNSTICR)
Проект DNSTICR стартовал во время пандемии COVID-19 для мониторинга злоумышленной деятельности в сети и борьбы с ней, связанной с пандемией. Мы хотели собрать достоверные доказательства, чтобы можно было отличать «подозрительные» домены от доменов, в которых действительно происходит злоумышленная деятельность. Мы также хотели иметь возможность предоставлять эти доказательства регистраторам, чтобы они могли быстро проверить, действительно ли домен используется в злоумышленных целях и предпринять соответствующие меры.
DAAR использует список терминов, связанных с пандемией, чтобы следить за регистрацией на разных языках. Список терминов меняется при выявлении новых терминов (например, вакцины, названия вариантов и т. д.). Мы также добавили случаи регистрации, связанные с российско-украинской войной. Затем эти домены проверяются по разным источникам, например, VirusTotal и URLScan, что позволяет нам получить четкое представление об их настоящем статусе. С начала 2020 года и по конец августа 2022 по нашим наблюдениям приблизительно 470 000 новых регистраций совпали с одним или более из наших поисковых терминов, но активное злоумышленное использование был отмечено только в 26 500 из них.
Расширения безопасности системы доменных имен (DNSSEC)
Мы активно выступаем за использование DNSSEC для повышения общего уровня безопасности DNS. Это делает невозможной подмену данных DNS, исключая возможность совершения атак типа «отравление кэша», где действия злоумышленников приводят к тому, что резолверы предоставляют сфальсифицированные данные. DNSSEC позволяет ставить криптографическую подпись владельца под данными системы доменных имен и получающаяся в результате цифровая подпись передается в ответ на все запросы этих данных. Клиенты DNS, которые называются резолверы, проверяют подпись, чтобы удостовериться в том, что данные не были изменены злоумышленником с момента их подписания владельцем.
В DNSSEC особенно важен корень DNS, так как он содержит самый важный открытый криптографический ключ, ключ для подписания ключей. Корпорация ICANN бережно управляет этим ключом. Этот ключ обязательно должен быть включен в настройках всех резолверов, выполняющих валидацию.
Поддержка этих двух основополагающих операций — подпись данных DNS и валидация этих данных — требует участия всех сторон экосистемы DNS при развертывании DNSSEC, включая операторов доменов верхнего уровня. Владельцы доменов также должны подписывать свои данные DNS, которые доступны только поставщикам ПО для DNS и хостинг-провайдерам DNS, поддерживающим DNSSEC. Подписанные данные полезны только когда в резолверах DNS включена валидация DNSSEC, что и позволяет ставить цифровую подпись.
Программа по обмену знаниями и запуску стандартов для DNS и безопасности в области присвоения имен (KINDNS)
И, наконец, 6 сентября 2022 года, ICANN запустила инициативу KINDNS. Она позволяет продвигать лучшие практики в области безопасности при эксплуатации DNS и предлагает операторам DNS дать добровольное обязательство их применять в целях укрепления безопасности и устойчивости интернета для всех пользователей.
Для решения этой проблемы ICANN вместе с техническим сообществом создала KINDNS в качестве механизма обмена передовым опытом с целью повышения безопасности функционирования DNS. В результате была разработана простая и эффективная концепция, которой могут добровольно и без труда следовать крупные и мелкие операторы DNS. В качестве примера можно привести распространяемую в рамках KINDNS хорошую практику, которая позволяет проследить за географическим и топографическим разнообразием DNS-серверов (Практика-5 KINDNS операторов авторитативных и рекурсивных серверов). Кроме того, операторам можно предлагать включать DNSSEC, как уже говорилось ранее (Практика-1 KINDNS операторов авторитативных и рекурсивных серверов).
Мы видим, что усилия ICANN по борьбе со злоумышленной деятельностью в сети и по продвижению лучших практик в области безопасности позволили ей разработать ряд проектов. Чтобы узнать больше о нашей работе по мониторингу и учету данных, зайдите на страницы DAAR и DNSTICR сайте icann.org. Чтобы узнать больше о гигиене безопасности DNS и лучших практиках, зайдите на страницу DNSSEC ICANN и на сайт, посвященный KINDNS.
