云采编
美国安全公司CSC发布第三份年度“域名安全报告”。该报告指出,在福布斯全球2000强公司中有四分之三没有采用关键的域名安全措施,从而面临极高的安全威胁风险。
其中137家公司(约占总数的6.8%)未部署任何与域名相关的安全措施,使得公司域名及DNS面临完全暴露,遭受各种攻击的安全风险,包括但不限于域名和DNS劫持攻击、网络和数据泄露、网络钓鱼和勒索软件攻击,以及商业电子邮件入侵。
基于域名的信息验证、报告和一致性措施(DMARC)是今年唯一采用率大幅提高的域名安全措施,在过去的12个月中增加了12个百分点,这主要与网络钓鱼攻击的数量和复杂性快速增加有关。但除此之外,其他安全措施(如域名保护锁、域名系统(DNS)冗余、DNS安全扩展(DNSSEC)以及证书颁发机构授权(CAA)等措施)增长仍然有限。
此外,相似域名注册者也瞄准了这些域名安全措施简陋的公司,数据显示有75%的全球2000强品牌的相似域名是由不相关的第三方注册。这意味着许多全球大品牌需要与看起来与其类似的恶意注册域名进行竞争。这些虚假域名注册者往往利用人们对目标品牌的信任,通过相似域名发动钓鱼攻击或其他形式的数字品牌滥用来诱导访客,从而导致相关公司的收入减少、流量分流和品牌声誉的下降。
CSC相关负责人表示,虽然报告显示,与2021年相比,域名安全取得了一些进展,但大多数上榜的福布斯全球2000强公司仍然忽视一些基本的域名安全措施。对于倡导零信任模式的公司而言,不仅要重视保护合法域名,还需要监测恶意域名,并将此举作为企业防范和对抗网络风险的优先项,否则这些公司将面临重大企业风险,影响其网络安全态势、数据保护状况、知识产权、供应链、消费者安全、收入和声誉。
域名是互联网重要的基础资源之一,是用户访问业务系统的主要入口,同时也是企业传达信息,塑造品牌形象的对外窗口,此外由于其稀缺性和唯一性,优质域名也是企业一项重要的无形资产,由此可见域名对企业的重要性。而与域名相关的DNS则是用户访问网站,接入网站的第一跳,是确保用户通过域名访问服务器,维持网络空间正常访问秩序的导航系统,其在网络结构中的地位和意义不言而喻。因此无论是政府机关还是企业都应将域名及域名解析安全高度重视起来,构建好互联网第一入口的安全屏障,才能保障政企网络安全、数据安全和业务安全不受侵害。
作为中国科学院控股有限公司旗下域名服务器商,中科三方深耕域名相关领域二十余年,始终致力于域名安全新技术和新思路的探索与研发,构建起云解析、SSL证书、IPv6转换、web应用防火墙、DDI等一站式全方位域名安全防护体系,能够有效提升政府和企业的域名和域名解析安全。
