zh

ICANN 在欧盟网络安全月推广网络安全良好实践

2022 年 10 月 3 日
作者: Matt LarsonMatt Larson and Samaneh TajalizadehkhoobSamaneh Tajalizadehkhoob

十月是欧盟的"网络安全月"。我们将利用这次活动,重点介绍我们的组织在推广网络安全良好实践,以及帮助为所有人打造更安全的互联网方面所采取的一些做法。

ICANN 的使命是确保域名系统 (DNS) 的安全、稳定与弹性,在履行这一使命的过程中,我们致力于解决与 DNS 威胁和域名滥用相关的主题。 为此,我们提供了有关 DNS 威胁的培训,分享了一些安全防范提示和最佳实践,并为多个技术项目和倡议提供支持。下面列举了我们开展的四项重要工作。

域名滥用活动报告 (DAAR)

5 年前,ICANN 开发了 DAAR 工具,用于以匿名和汇总的方式可视化和分析安全威胁数据。DAAR 工具将获取有关网络钓鱼、垃圾邮件、恶意软件和僵尸网络命令与控制的一些众所周知的域名信誉拦截清单中出现的域名,并检查这些域名在传统通用顶级域 (gTLD) 和新 gTLD 上的集中程度。借助这一信息,用户也可以对趋势进行时间序列分析。

例如,DAAR 近 4 年的数据显示,尽管传统 gTLD 和新 gTLD 方面的注册域名数量持续增加,但安全威胁域名的总数并没有增长。在按照每个 gTLD 内的注册域名数量对安全威胁域名总数进行规范化处理时,这一趋势甚至看起来略有下降。截至今日,DAAR 数据显示,在所有注册域名中,约有 1% 的域名用于恶意目的。

域名安全威胁信息搜集和报告 (DNSTICR)

DNSTICR 项目在 2019 冠状病毒病 (COVID-19) 疫情期间启动,其目的是监控并打击与疫情相关的网上恶意活动。我们希望搜集可信证据来区分"可疑"域名以及那些明显恶意的域名。我们还希望向注册服务机构提供这些证据,帮助他们快速查明域名是否确实为恶意并采取相应行动。

通过使用与疫情相关的术语表,DAAR 可监控多种语言的新注册。在发现新术语(例如疫苗、变体名称等)时,该术语表也会相应更新。我们还添加了与俄乌战争相关的注册。然后,我们会在 VirusTotal 和 URLScan 等几个来源中查询这些域名,从而确保我们全面了解这些域名的真实状态。从 2020 年初到 2022 年 8 月末,我们观察到有大约 470,000 个新注册与我们的一个或多个搜索词匹配,其中只有大约 26,500 个注册存在主动恶意使用迹象。

域名系统安全扩展 (DNSSEC)

我们强烈支持使用 DNSSEC 来提升 DNS 的整体安全性。它让 DNS 欺骗数据无法实现,进而消除了"缓存投毒"攻击,在这种攻击中,攻击者会使解析器返回欺诈性数据。通过使用 DNSSEC,域名系统数据将由其所有者进行加密签名,而生成的数字签名将在每次查询数据时发送。称为解析器的 DNS 客户端将验证签名,确认自所有者签名以来数据没有发生更改,也没有在传输过程中被攻击者篡改。

在 DNSSEC 中,DNS 根尤为重要,因为它包含最重要的加密公钥,即根密钥签名密钥。该密钥由 ICANN 组织妥善管理。必须在执行验证的所有解析器上配置该密钥。

DNSSEC 部署要求所有人(包括顶级域运营商)都参与到 DNS 生态系统中,以便支持下列两项基本操作:对 DNS 数据签名以及验证该数据。注册人也需要对其 DNS 数据进行签名,这只有在 DNS 软件供应商和 DNS 托管提供商支持 DNSSEC 的情况下才可能实现。只有在 DNS 解析器启用 DNSSEC 验证来实际检查数字签名时,签名数据才有用。

DNS 和域名安全的知识共享和实例规范 (KINDNS)

最后,ICANN 于 2022 年 9 月 6 日发起了 KINDNS 倡议。这一倡议旨在推广 DNS 运营安全最佳实践,并鼓励 DNS 运营商自愿承诺实施这些实践,以便为所有用户打造更安全且更具弹性的互联网。

ICANN 与技术社群合作制定了 KINDNS,作为共享最佳实践和更好地保障 DNS 运营安全的一种机制。其成果是,制定了一个大小型 DNS 运营商都可以轻松、自愿地遵循的简单且有效框架。例如,通过 KINDNS 共享的一种良好实践希望确保域名服务器在地理区域和拓扑结构上的多样性(关于权威服务器运营商和递归服务器运营商的 KINDNS 实践 5)。另一个示例是,鼓励运营商启用 DNSSEC,如前所述(关于权威服务器运营商和递归服务器运营商的 KINDNS 实践 1)。

如本文所示,为了打击网上恶意活动并推广安全最佳实践,ICANN 开发了多个项目。要了解有关我们监控和报告工作的更多信息,请访问 icann.org 上的 DAARDNSTICR 页面。要了解有关 DNS 安全防范和最佳实践的更多信息,请访问 ICANN 的 DNSSEC 页面以及我们专门的 KINDNS 网站。

Authors

Matt Larson

Matt Larson

VP, Research
Read biographyRead biography
Samaneh Tajalizadehkhoob

Samaneh Tajalizadehkhoob

Principal Security, Stability & Resiliency Specialist
Read biographyRead biography