ICANN對外說明,其已知悉近期來自於美國國土安全部、資安廠商如FireEye及Verisign 等有關 DNS 惡意攻擊事件的公開通報內容,並強調目前並無跡象顯示其系統受到損害,ICANN 目前也正與相關社群成員合作,針對頂級域名受攻擊事件進行調查。
ICANN認為域名相關社群如註冊管理機構、受理註冊機構、經銷商和其他利害關係人,都應立即採取積極的預防措施,來保護自身及客戶的系統。ICANN整理以下安全措施檢查清單,作為域名社群的參考。
- 確保已檢視並更新所有系統安全修補;
- 檢查日誌檔案是否有未經授權而存取系統的記錄,尤其是管理員的存取權限;
- 檢查管理員(root)存取的內部控制措施;
- 驗證每個DNS記錄的完整性以及這些記錄的更改歷程;
- 確保密碼有足夠的複雜性;
- 確保密碼沒有與其他使用者共享;
- 確保密碼沒有以明文形式儲存或傳送;
- 強制定時更換密碼;
- 強制執行密碼鎖定政策;
- 確保DNS區域檔案記錄有DNSSEC(DNS Security Extensions)簽章,DNS解析器有DNSSEC驗證;
- 最好確保所有系統啟用多因素身份驗證(multi-factor authentication);
- 最好確保電子郵件網域具有設定SPF(Sender Policy Framework)和/或DKIM(Domain Keys Identified Mail)的DMARC(Domain-based Message Authentication, Reporting and Conformance)政策,並確認電子郵件系統上的其他網域執行此類策略
在即將舉行的ICANN 64神戶會議中,ICANN社群會持續討論這個關鍵性的議題。前述有關近期 DNS惡意攻擊事件的公開內容、以及ICANN安全及穩定諮詢委員會(Security and Stability Advisory Committee,SSAC)所公布的安全最佳典範,可參考本文章。
Photo created by freepik
