新分析研究显示,广泛的 DNS 防护每年可帮全球公司企业省下高达 2,000 亿美元损失。
域名系统 (DNS) 是互联网关键组件,起到机器可读互联网位置与人类可读域名间翻译器的作用。当 DNS 被用作安全措施,也就是所谓 DNS 防火墙,其间好处就相当可观了。
全球网络联盟 (GCA) 最近发布了《DNS 安全的经济价值》报告,称 DNS 防火墙每年可为美国省下 190-370 亿美元损失;全球而言,该数字是 1,500-2,000 亿美元。
尽管 DNS 通常不作为安全工具使用,却能被用于基础设施安全服务。GCA 的研究针对名为防护性 DNS(也被称作 “DNS 防火墙”)的安全控制——能正常处理域名解析请求,但会阻止恶意域名解析的 DNS 服务。
该研究量化了 DNS 防火墙所避免的损失,发现 DNS 防火墙不仅是种有效的安全控制,由于开放或免费 DNS 防火墙的可用性,该解决方案的成本效益也是很高的。而且,在线教程和易上手的配置过程,让该有效安全控制的实现变得十分简单,家庭或个人都能用。
总的说来,DNS 防火墙缓解了所研究事件总数的 1/3,节省下 100 亿美元的潜在损失。另外,由于防护性 DNS (PDNS) 有助于阻止 1/3 数据泄露,如果全球数据泄露损失是 3,000 亿美元,那 PDNS 所能挡住的损失就是 1,000 亿美元。
该报告所含内容包括:
GCA 所用网络犯罪损失数据来自于白宫经济顾问委员会和战略及国际研究中心,在此数据基础上 GCA 估计了 DNS 防火墙之类 DNS 防护措施的经济效益。
GCA 总裁兼首席执行官 Philip Reitinger 称:
使用 DNS 防火墙或保护性 DNS 的成本效益非常突出,每个人都应该考虑一下。很多情况下,DNS 防护服务或 DNS 防火墙都是免费的。
那么,该防护措施的部署或管理难度会不会抵销掉其成本节省上的好处呢?完全不会。大多数情况下都非常容易部署,不涉及任何新增软件。在终端防护上简单到只需在计算机的网络设置中改一下用于 DNS 解析的 IP 地址就行了。对某些公司而言,DNS 防护的采纳也只是比这难上那么一点点而已。
真正的难点在于该防火墙是否开始产生误报,阻止通往合法业务目标地址的流量。一旦发生这种情况,就需要手动重写防火墙规则了。尽管设置了防火墙,如果观察到有人试图访问各种各样的访问,还是得编写一些规则来允许或阻止这些目的地址。
防护提供商可能收集的 DNS 流量中的数据是产生顾虑的一个方面。知晓某公司的流量模式可以窥见该公司本身的大量信息,所以,在签合同或修改解析服务器地址之前问清细节,可以避免未来的一些隐私问题。
全球网络联盟 (GCA)《DNS 安全的经济价值》完整报告下载链接:
https://www.globalcyberalliance.org/wp-content/uploads/Economic-Value-of-DNS-Security-GCA-2019.pdf