信息化觀察網(wǎng)

新分析研究顯示，廣泛的 DNS 防護(hù)每年可幫全球公司企業(yè)省下高達(dá) 2,000 億美元損失。

域名系統(tǒng) (DNS) 是互聯(lián)網(wǎng)關(guān)鍵組件，起到機(jī)器可讀互聯(lián)網(wǎng)位置與人類(lèi)可讀域名間翻譯器的作用。當(dāng) DNS 被用作安全措施，也就是所謂 DNS 防火墻，其間好處就相當(dāng)可觀了。

全球網(wǎng)絡(luò)聯(lián)盟 (GCA) 最近發(fā)布了《DNS 安全的經(jīng)濟(jì)價(jià)值》報(bào)告，稱(chēng) DNS 防火墻每年可為美國(guó)省下 190-370 億美元損失；全球而言，該數(shù)字是 1,500-2,000 億美元。

盡管 DNS 通常不作為安全工具使用，卻能被用于基礎(chǔ)設(shè)施安全服務(wù)。GCA 的研究針對(duì)名為防護(hù)性 DNS（也被稱(chēng)作 “DNS 防火墻”）的安全控制——能正常處理域名解析請(qǐng)求，但會(huì)阻止惡意域名解析的 DNS 服務(wù)。

該研究量化了 DNS 防火墻所避免的損失，發(fā)現(xiàn) DNS 防火墻不僅是種有效的安全控制，由于開(kāi)放或免費(fèi) DNS 防火墻的可用性，該解決方案的成本效益也是很高的。而且，在線(xiàn)教程和易上手的配置過(guò)程，讓該有效安全控制的實(shí)現(xiàn)變得十分簡(jiǎn)單，家庭或個(gè)人都能用。

總的說(shuō)來(lái)，DNS 防火墻緩解了所研究事件總數(shù)的 1/3，節(jié)省下 100 億美元的潛在損失。另外，由于防護(hù)性 DNS (PDNS) 有助于阻止 1/3 數(shù)據(jù)泄露，如果全球數(shù)據(jù)泄露損失是 3,000 億美元，那 PDNS 所能擋住的損失就是 1,000 億美元。

該報(bào)告所含內(nèi)容包括：

●DNS 防火墻起效機(jī)制

●實(shí)現(xiàn) DNS 防火墻的平均花費(fèi)

●即時(shí)與長(zhǎng)期經(jīng)濟(jì)收益

●DNS 安全如何防止 1/3 的網(wǎng)絡(luò)事件

GCA 所用網(wǎng)絡(luò)犯罪損失數(shù)據(jù)來(lái)自于白宮經(jīng)濟(jì)顧問(wèn)委員會(huì)和戰(zhàn)略及國(guó)際研究中心，在此數(shù)據(jù)基礎(chǔ)上 GCA 估計(jì)了 DNS 防火墻之類(lèi) DNS 防護(hù)措施的經(jīng)濟(jì)效益。

GCA 總裁兼首席執(zhí)行官 Philip Reitinger 稱(chēng)：

使用 DNS 防火墻或保護(hù)性 DNS 的成本效益非常突出，每個(gè)人都應(yīng)該考慮一下。很多情況下，DNS 防護(hù)服務(wù)或 DNS 防火墻都是免費(fèi)的。

那么，該防護(hù)措施的部署或管理難度會(huì)不會(huì)抵銷(xiāo)掉其成本節(jié)省上的好處呢？完全不會(huì)。大多數(shù)情況下都非常容易部署，不涉及任何新增軟件。在終端防護(hù)上簡(jiǎn)單到只需在計(jì)算機(jī)的網(wǎng)絡(luò)設(shè)置中改一下用于 DNS 解析的 IP 地址就行了。對(duì)某些公司而言，DNS 防護(hù)的采納也只是比這難上那么一點(diǎn)點(diǎn)而已。

真正的難點(diǎn)在于該防火墻是否開(kāi)始產(chǎn)生誤報(bào)，阻止通往合法業(yè)務(wù)目標(biāo)地址的流量。一旦發(fā)生這種情況，就需要手動(dòng)重寫(xiě)防火墻規(guī)則了。盡管設(shè)置了防火墻，如果觀察到有人試圖訪(fǎng)問(wèn)各種各樣的訪(fǎng)問(wèn)，還是得編寫(xiě)一些規(guī)則來(lái)允許或阻止這些目的地址。

防護(hù)提供商可能收集的 DNS 流量中的數(shù)據(jù)是產(chǎn)生顧慮的一個(gè)方面。知曉某公司的流量模式可以窺見(jiàn)該公司本身的大量信息，所以，在簽合同或修改解析服務(wù)器地址之前問(wèn)清細(xì)節(jié)，可以避免未來(lái)的一些隱私問(wèn)題。