優化DNS架構 降低新型態資安衝擊

在當前資安問題層出不窮的情況下，即便企業做好相關的防護工作，也經常會出現許多意料之外的事件影響整體資安狀況。就如同之前出現微軟Windows的漏洞問題之後，近期又出現Linux Samba的相關漏洞，讓企業的資安工作疲於奔命。面對這樣的問題，台灣資安廠商翔偉資安營運長杜世鵬就表示，在面對這些新型態的攻擊時，需要零時差的防衛機制，但是這些過去的端點防護機制都還達不到這樣的效率。因此，要解決這樣的問題，最主要的還是必須透過安全的DNS來解決。

安全DNS機制受重視

杜世鵬指出，以目前發生的資安事件來說，如果在事件發生的當下，設備遭受攻擊或感染後，藉由一線資安大廠的端點防護，或許可以達到修補與移除的程序。但是，要做到針對這些行為式的資安攻擊手法進一步預防，就要藉由安全的DNS機制來執行。因為包括漏洞、殭屍病毒，或是勒索程式的攻擊都是藉由DNS來的，而目前端點防護機制就只能控管系統資訊與IO而已，顯示出有一個安全的DNS的重要性。

杜世鵬進一步強調，目前多數企業所使用的DNS多半是一般ISP所提供的DNS，它不具有相關資訊解析的內容。而現階段許多資訊安全公司已經開始提供透過大數據解析，了解流量其中那些已經成為黑名單的DNS服務。而這些資訊就可以協助企業進一步的事先預防相關的資安事件，因此可以說是當前資安防護機制新的加值防護內容。當前市面上都有針對這些DNS進行信用的價值的評比，企業用戶可以進一步的參考選擇。

就現階段來說，就一個好的DNS服務或架構，應該具備四大層面的內容；首先是具備一般風險與高風險流量分析的能力，其次是具有針對特定設備或軟體進行清除，再者能對作業系統或外掛程式進行強制漏洞填補機制，最後則必須有針對使用者的安全規劃管理作業。

所以，透過這些DNS的作業，企業用戶就可以知道哪些IP出來的資訊原本就是存在疑慮的。因此，在閘道或其他防禦層就可以事先將這些資訊給攔截下來，不但可以降低被資安問題侵害的風險，還能夠達到零時差防禦的效果。最後，杜世鵬強調，不論是使用Windows的環境，或者是Linux的環境，最好不同版本的作業環境要超過兩個以上。如此，以方便管理，又能減少漏洞的產生。