别再等待“零号病人”: DNS安全为什么要走向前置防御

📅 2026/7/7 15:18:14 ✍️ 编辑团队 👁️ 阅读次数
别再等待“零号病人”: DNS安全为什么要走向前置防御
网络安全行业长期以来习惯了一种节奏攻击发生受害者提交样本安全团队提取特征再把规则分发出去。这个办法并没有失效但它有一个绕不开的前提——总要有人先中招。生成式AI把这个问题放大了。钓鱼邮件可以针对收件人的岗位和业务场景临时生成社工对话可以持续数周恶意代码、域名和跳转链路也能快速更换。过去能够在多家企业重复捕获的攻击样本如今可能只为一个目标使用一次。如果每次攻击都换一张面孔继续等待“零号病人”提供样本显然会越来越被动。安全团队需要在恶意代码落地之前寻找攻击者不那么容易绕开的环节。DNS正是其中之一。一、AI改变的是成本和速度不是攻击链AI让钓鱼、深度伪造和自动化社工看上去焕然一新但攻击链并没有凭空消失。攻击者仍要准备域名和服务器把受害者引向钓鱼页面或恶意载荷终端仍要完成域名解析才能建立C2连接窃取的数据也要通过某种通信路径送出去。变化主要发生在规模和速度上。攻击者能够批量注册、快速轮换域名让一个域名只服务于一次活动、一个地区甚至一个目标。它还没来得及成为业内熟知的IOC就已经完成任务并被丢弃。Infoblox《2025 DNS威胁态势报告》基于其每天分析的700多亿次DNS查询指出在一年内观察到的1.008亿个新域名中25.1%被归类为恶意或可疑更值得注意的是95%的威胁相关域名只在一个客户环境中出现过。[1]这里的95%并不是说“95%的域名都是一次性域名”而是说大多数威胁域名缺少跨客户重复出现的机会。等它在多个环境中暴露、积累足够证据再处置往往已经错过了最好的阻断时间。二、为什么DNS是把防线前移的关键位置DNS不是一个孤立的网络组件。员工访问网站、终端连接SaaS、应用调用API、恶意程序连接C2通常都要先把域名解析为IP地址。DNS的价值首先在于位置。它通常发生在建立连接、下载载荷和传出数据之前无论设备在园区、数据中心、云上还是家中办公都离不开名称解析。更重要的是恶意代码可以不断变形攻击者却仍要注册域名、配置解析、部署服务器并维护C2或跳转网络。这些准备动作会留下可供分析的基础设施线索。Protective DNS保护性DNS就是利用这个位置把DNS从单纯的解析服务变成策略执行点它不仅回答域名指向哪里还要判断这个目的地是否应该被访问并在连接建立之前处置恶意、可疑或违反策略的请求。美国CISA已经面向联邦机构提供Protective DNS服务用于阻止用户和系统连接已知或疑似恶意域名并支持本地设备、漫游设备以及与SSE平台的集成。[2] 英国NCSC自2017年开始运营PDNS其2024年度回顾显示该服务累计处理超过2.5万亿次站点请求阻止了对150万个恶意域名的访问。[3]2026年3月发布的NIST SP 800-81 Rev.3则把Protective DNS、DNS日志、DNSSEC和加密DNS纳入企业DNS安全部署指南并明确将DNS作为零信任和纵深防御的一部分。[4] Microsoft也在Windows 11中推进Zero Trust DNS通过可信PDNS解析结果实施基于域名的出站访问控制。[5]这些变化放在一起看趋势已经很清楚DNS正在从基础解析走向策略执行从办公网走向远程终端、混合云和IoT/OT安全团队关注的对象也从已经落地的恶意载荷向域名注册、启用和基础设施聚类前移。与此同时DNS事件开始进入防火墙、EDR、SASE、SIEM和SOAR的运营链路而不是停留在网络团队的日志服务器里。三、Infoblox的关键差异盯住攻击者的基础设施传统威胁情报经常从已经发生的攻击中提取恶意域名、IP、文件哈希和行为特征。Infoblox采用的核心思路不同利用DNS遥测、数据科学、机器学习和威胁研究观察攻击者如何注册域名、配置解析、搭建服务器、连接域名集群并逐步激活攻击基础设施。换句话说它不只追赶已经出现的恶意样本还试图识别攻击者正在搭建的“发射阵地”。在域名被武器化之前寻找线索Infoblox Threat Intel持续分析大规模DNS事件通过新观察域名、域名启用行为、解析关系、托管特征和攻击者基础设施聚类发现尚未进入传统公共黑名单的风险域名。Infoblox公开的产品与报告数据提供了一个观察尺度每天分析超过700亿次DNS事件跟踪超过20.4万个威胁活动集群在首次DNS查询之前识别并阻断82%的威胁平均比其他安全工具提前68.4天识别并阻断相关威胁在超过2000万个指标的口径下误报率为0.0002%相比只依赖已知恶意行为的系统可阻断5倍的高风险域名。[1] [6] [7]这些数字来自Infoblox自身遥测、研究方法和产品测试适合用来理解其技术路线和数据规模不能直接当作每家企业的效果承诺。真正落地时仍应通过检测模式和现网试点验证覆盖率与误报情况。一个DNS控制点覆盖三个攻击阶段Infoblox Threat Defense可以在多个攻击阶段发挥作用用户点击之前或解析时阻止访问钓鱼、仿冒、恶意广告跳转、恶意软件分发及其他高风险域名恶意软件落地之后阻断终端通过DNS寻找C2服务器切断远程控制和后续载荷下载数据外传阶段识别DNS隧道、异常编码查询和可疑高频通信降低攻击者利用DNS绕过传统出口控制的风险。这里容易产生一个误解既然DNS能在多个阶段阻断威胁是不是可以少部署一些终端或边界安全产品答案是否定的。终端安全观察进程和行为防火墙控制连接与边界DNS安全负责名称解析和攻击基础设施层。三者看到的是不同侧面DNS安全的作用是把控制位置向前移而不是取代后面的防线。防火墙之外还有品牌和客户企业面临的风险并不都发生在自己的网络中。仿冒官网、近似域名、虚假活动页面、钓鱼二维码和品牌冒用往往托管在境外或第三方平台上。内部防火墙即使阻断了员工访问也无法自动消除客户、合作伙伴和公众面对的风险。Infoblox的外部风险与域名缓解能力可用于发现近似域名和外部仿冒资产再通过证据收集、通知注册商或托管商等流程推动下架。2026年Infoblox完成对Axur的收购后又把外部数字风险发现、自动下架与DNS层阻断接到了一起。[8] 对企业来说这意味着处置目标不再只是“让内部员工打不开”还包括尽快清除互联网上的仿冒入口。DNS策略不能只留在总部机房DNS安全的价值取决于覆盖范围。如果策略只覆盖总部网络却看不到远程用户、公有云工作负载或分支机构攻击者仍可从盲区建立连接。Infoblox以DDI和Threat Defense为基础把DNS、DHCP、IPAM、资产可见性和安全策略扩展到本地、分支、远程与多云环境。Google Cloud在2025年宣布由Infoblox提供威胁情报能力的DNS Armor为Google Cloud工作负载提供云原生的恶意活动检测。[9] 这类合作说明Protective DNS正在进入云平台而不再只是部署在出口处的一台独立设备。四、企业得到的不只是“多拦截几个域名”企业评估DNS安全不能只看威胁库里有多少条记录。更实际的问题是它能否降低一次攻击变成事故的概率能否帮助业务少停一会儿也能否让安全团队少花时间追逐噪声。恶意域名如果在用户访问、载荷下载或C2连接时就被阻断攻击者进入加密、横向移动和数据窃取阶段的机会自然会减少。企业避免的并非一条告警而可能是停产、停服、赎金、数据泄露通知以及后续的品牌损失。业务连续性也不只是“DNS服务器不能宕机”。一方面关键解析服务需要高可用另一方面正常运行的DNS也不能持续把用户送往危险目的地。将DDI、DNS基础设施保护与Threat Defense结合才同时覆盖了服务可用和访问安全。对SOC而言DNS记录还回答了几个调查中经常出现的问题哪台设备、在什么时间、尝试访问哪个域名如果这些记录能够关联资产、用户、DHCP租约和其他安全告警分析人员会更快确认受影响设备和攻击阶段。威胁在DNS层被挡住后也不会继续触发下游设备上的一串重复告警。此外域名监测与下架保护的是企业外部的客户和合作伙伴与SIEM、SOAR、EDR、NGFW、SASE和工单系统的集成则让DNS情报可以复用现有安全投资。一个成熟的DNS安全项目不应该再造一座告警孤岛。五、企业应如何判断自己是否需要升级DNS安全下面这些问题值得网络和安全团队坐在一起逐项核对。如果其中不少问题只能凭印象回答DNS很可能还是企业安全体系中的盲区全网哪些终端、服务器和云工作负载没有经过企业可控的DNS解析是否能在首次访问时阻断新注册、高风险、仿冒或一次性恶意域名是否能够识别DGA、DNS隧道、C2和DNS数据外传远程办公、分支、IoT/OT和多云环境是否执行一致的DNS安全策略DoH/DoT是被安全纳管还是正在绕过企业策略和日志DNS告警能否关联到真实设备、用户、IP地址和业务资产仿冒企业品牌的外部域名被发现后是否有可跟踪的下架流程DNS安全事件是否已经接入现有SIEM、SOAR和事件响应体系第一步未必是采购或替换。更稳妥的办法是先做一次轻量化的DNS安全态势评估弄清现有安全产品漏过了什么、哪些设备正在绕开企业DNS、是否存在隧道或数据外传迹象以及DNS事件能否进入当前运营流程。有了这组基线再从检测模式、重点用户或云环境开始试点调好策略后逐步扩大范围。验收时可以关注恶意及高风险域名首次查询阻断率C2、DGA、DNS隧道和数据外传发现率每万次拦截的误报数量DNS安全告警平均调查与处置时间接入企业DNS策略的终端和工作负载覆盖率仿冒域名发现至确认、阻断和下架的时间下游防火墙、EDR和SIEM告警量的变化。结语把时间抢在攻击发生之前AI可以帮助攻击者不断换诱饵、换代码、换域名却省不掉搭建和使用基础设施的过程。DNS安全要争取的正是从域名注册、启用到真正发动攻击之间的这段时间。Infoblox的特点也在这里它不满足于维护一份恶意域名黑名单而是借助大规模DNS遥测和预测性威胁情报观察攻击基础设施从形成到激活的过程再把结果用于解析阻断、C2控制、隧道检测和外部仿冒处置。这不是要用DNS安全替代防火墙、EDR或SASE而是给现有纵深防御增加一个更早的控制点。对企业来说真正有价值的变化不是“又多了一套安全产品”而是安全团队不必每次都等到下一个零号病人出现才知道应该阻断什么。如果企业正在评估DNS安全真正困难的往往不是理解某一项产品功能而是如何把DNS与现有网络架构、安全设备和运营流程接起来。哪些风险应该先验证原有防火墙和终端安全如何联动策略怎样上线才不影响业务都需要结合现网判断。数据口径与参考资料Infoblox,2025 DNS Threat Landscape Report1.008亿新观察域名、25.1%恶意或可疑、95%仅见于单一客户环境、每天分析700多亿次DNS查询。https://www.infoblox.com/news/news-events/press-releases/infoblox-unveils-2025-dns-threat-landscape-report-revealing-surge-in-ai-driven-threats-and-malicious-adtech/CISA,Protective DNS FAQ美国联邦机构Protective DNS的定位、覆盖与集成方式。https://www.cisa.gov/sites/default/files/2025-05/Approved CSSO-Protective DNS FAQ 2024.pdfUK NCSC,Annual Review 2024PDNS累计处理超过2.5万亿次请求并阻止访问150万个恶意域名。https://www.ncsc.gov.uk/files/NCSC_Annual_Review_2024.pdfNIST,SP 800-81 Rev.3: Secure Domain Name System (DNS) Deployment Guide, 2026。https://csrc.nist.gov/pubs/sp/800/81/r3/finalMicrosoft Learn,Zero Trust DNS。https://learn.microsoft.com/zh-cn/windows/security/operating-system-security/network-security/zero-trust-dns/Infoblox,Preempt Ransomware and Other Advanced Threats82%、68.4天、0.0002%及威胁集群等产品数据。https://www.infoblox.com/solutions/ransomware/Infoblox,Threat Defense5倍高风险域名阻断、威胁情报与生态集成等产品能力。https://www.infoblox.com/products/threat-defense/Infoblox,Why Axur Marks a New Era for Preemptive Cybersecurity, 2026。https://www.infoblox.com/blog/company/why-the-axur-acquisition-marks-a-turning-point-for-preemptive-security/Infoblox and Google Cloud,Cloud-Native Networking and Security Partnership, 2025。https://www.infoblox.com/news/news-events/press-releases/infoblox-and-google-cloud-announce-partnership-to-deliver-cloud-native-networking-and-security-solutions-reducing-complexity-for-enterprise-customers/注本文中Infoblox产品效果数据来自其公开报告、产品页面及遥测口径。实际效果受网络覆盖、策略配置、授权范围、数据源和企业环境影响应以现网评估及试点结果为准。