11 เมษายน, 2022
โดย Jeff Ebeling - CISSP, CCSP Advanced Technology Specialist, Skyhigh Security
การใช้ "อายุโดเมน" เป็นคุณลักษณะที่ได้รับการส่งเสริมโดยผู้จําหน่ายไฟร์วอลล์และการรักษาความปลอดภัยเว็บหลายรายเพื่อปกป้องผู้ใช้และระบบจากการเข้าถึงปลายทางอินเทอร์เน็ตที่เป็นอันตราย แนวคิดคือการใช้อายุโดเมนเป็นพารามิเตอร์การกรองการรับส่งข้อมูลทั่วไป ความคิดก็คือโฮสต์ที่เกี่ยวข้องกับโดเมนที่จดทะเบียนใหม่ควรถูกบล็อกแยกหรือปฏิบัติด้วยความสงสัยสูง บล็อกนี้จะอธิบายว่าอายุโดเมนคืออะไรวิธีการสร้างและจดทะเบียนโดเมนมูลค่าอายุโดเมนและวิธีการใช้อายุโดเมนอย่างมีประสิทธิภาพสูงสุดเพื่อเป็นคําชมเชยเครื่องมือรักษาความปลอดภัยเว็บอื่น ๆ
คําจํากัดความของคุณลักษณะอายุโดเมน
ไซต์และโดเมนของอินเทอร์เน็ตมีการเปลี่ยนแปลงและพัฒนาอยู่ตลอดเวลา ตลอดไตรมาสที่สามของปี 2021 มีการจดทะเบียนโดเมน .net และ .com ใหม่โดยเฉลี่ยมากกว่า 40,000 โดเมนต่อวัน ตามข้อมูลของ Verisign https://www.verisign.com/en_US/domain-names/dnib/index.xhtml หากทราบว่าโดเมนของโฮสต์เป้าหมายโดเมนนั้นมีวันที่จดทะเบียนสําหรับการค้นหาจากแหล่งต่างๆ อายุโดเมนคือการคํานวณเวลาอย่างง่ายระหว่างการจดทะเบียนโดเมนครั้งแรกและวันที่ปัจจุบัน
คุณลักษณะอายุโดเมนได้รับการออกแบบมาเพื่อใช้ในการควบคุมนโยบาย ซึ่งผู้ดูแลระบบสามารถกําหนดอายุโดเมนขั้นต่ําที่จําเป็นเพื่ออนุญาตให้เข้าถึงปลายทางอินเทอร์เน็ตที่กําหนดได้ แนวคิดก็คือเนื่องจากโดเมนนั้นง่ายและราคาถูกในการสร้างโดเมนใหม่ควรได้รับการปฏิบัติด้วยความระมัดระวังอย่างยิ่งหากไม่ถูกบล็อกทันที น่าเสียดายที่ด้วยโปรโตคอลและการใช้งานส่วนใหญ่การเลือกนโยบายอายุโดเมนเป็นการตัดสินใจแบบไบนารีเพื่ออนุญาตหรือบล็อก สิ่งนี้ไม่มีประโยชน์มากนักเมื่อปลายทางสุดท้ายคือโฮสต์โดเมนย่อยและที่อยู่ปลายทางที่สามารถเปิดใช้งานเปลี่ยนแปลงและปิดใช้งานได้อย่างรวดเร็วโดยไม่ต้องเปลี่ยนอายุโดเมน ด้วยเหตุนี้การตัดสินใจด้านความปลอดภัยแบบไบนารีโดยพิจารณาจากชื่อโดเมนหรืออายุโดเมนเพียงอย่างเดียวจะส่งผลให้เกิดผลบวกลวงและผลลบลวงซึ่งเป็นอันตรายต่อความปลอดภัยประสบการณ์ของผู้ใช้และประสิทธิภาพการทํางาน
การจดทะเบียนโดเมน
IANA (Internet Assigned Numbers Authority) เป็นแผนกของ ICANN (Internet Corporation for Assigned Names and Numbers) ที่รับผิดชอบในการจัดการการลงทะเบียนของพารามิเตอร์โปรโตคอลชื่อโดเมนที่อยู่ IP และหมายเลขระบบอัตโนมัติ IANA จัดการโซนราก DNS (Domain Name System) และ TLD (โดเมนระดับบนสุด เช่น .com, .org, .edu เป็นต้น) และผู้รับจดทะเบียนมีหน้าที่รับผิดชอบในการทํางานร่วมกับ Internet Registry และ IANA เพื่อจดทะเบียนโดเมนย่อยแต่ละโดเมนภายในโดเมนระดับบนสุด
รายละเอียดของขั้นตอนการลงทะเบียนและคําจํากัดความสามารถพบได้ในเว็บไซต์ IANA (iana.org) สามารถดูรายละเอียดเพิ่มเติมได้ที่นี่: https://whois.icann.org/en/domain-name-registration-process ตําแหน่งนี้มีข้อความต่อไปนี้:
"ในบางกรณี บุคคลหรือองค์กรที่ไม่ต้องการให้ข้อมูลของตนอยู่ใน WHOIS อาจทําสัญญากับผู้ให้บริการพร็อกซีเพื่อจดทะเบียนชื่อโดเมนในนามของพวกเขา ในกรณีนี้ ผู้ให้บริการคือผู้จดทะเบียนชื่อโดเมน ไม่ใช่ลูกค้าปลายทาง"
ซึ่งหมายความว่าผู้ให้บริการและลูกค้าปลายทางมีอิสระที่จะจดทะเบียนโดเมนเพียงครั้งเดียวและใช้ซ้ํามอบหมายใหม่หรือขายโดเมนนั้นโดยไม่ต้องเปลี่ยนวันที่จดทะเบียนหรือเปลี่ยนแปลงข้อมูลการจดทะเบียนอื่น ๆ ผู้รับจดทะเบียนสามารถทําที่อยู่การประมูลเพื่อสร้างตลาดที่กว้างใหญ่สําหรับโดเมน "ผู้บุกรุกและโทรลล์" ผู้โจมตีสามารถซื้อโดเมนที่จัดตั้งขึ้นของธุรกิจที่หมดอายุแล้วในราคาถูก หรือจดทะเบียนโดเมนใหม่ที่ถูกต้องตามกฎหมายโดยสมบูรณ์ และปล่อยทิ้งไว้โดยไม่ได้ใช้งานเป็นเวลาหลายสัปดาห์ เดือน หรือหลายปี ตัวอย่างเช่น ในขณะที่เขียนนี้ airnigeria.com วางจําหน่ายบน godaddy.com ในราคาเพียง $65 USD โดเมน airnigeria.com ได้รับการจดทะเบียนครั้งแรกในปี 2003 IANA และผู้รับจดทะเบียนไม่มีส่วนรับผิดชอบหรือควบคุมการใช้โดเมน
การกําหนดอายุโดเมน
อายุโดเมนถูกกําหนดจากระเบียนโดเมนใน Internet Registry ที่จัดการโดยตัวดําเนินการรีจิสทรีสําหรับ TLD ในที่สุดผู้รับจดทะเบียนมีหน้าที่รับผิดชอบในการจัดตั้งการจดทะเบียนโดเมนและอัปเดตข้อมูลที่เกี่ยวข้อง ระเบียนในรีจิสทรีจะมีวันที่สร้างต้นฉบับ แต่วันที่นั้นจะไม่เปลี่ยนแปลง เว้นแต่การจดทะเบียนสําหรับโดเมนเฉพาะจะหมดอายุ และชื่อโดเมนจะถูกจดทะเบียนใหม่ ด้วยเหตุนี้ อายุโดเมนจึงเป็นการวัดที่ไม่ถูกต้องอย่างยิ่งว่าปลายทางแต่ละแห่งเปิดใช้งานเมื่อใด
และจะเกิดอะไรขึ้นหากทราบเฉพาะที่อยู่ IP ปลายทางในขณะที่ตัดสินใจกรอง นี่อาจเป็นกรณีสําหรับการกรองแพ็กเก็ตแรกที่ส่งไปยังปลายทางเฉพาะ (TCP SYN หรือแพ็กเก็ต UDP แรกของเครือข่ายอื่นหรือโปรโตคอลระดับการขนส่ง) วิธีหนึ่งในการรับโดเมนสําหรับปลายทางคือการค้นหา DNS แบบย้อนกลับ แต่โดเมนสําหรับโฮสต์อาจไม่ตรงกับโดเมนที่ส่งมาเพื่อแก้ปัญหาในตอนแรกดังนั้นอายุโดเมนมีค่าเท่าใด
ตัวอย่างเช่น ขณะนี้ www.skyhighsecurity.com สามารถแก้ไขเป็น 34.111.16.149 ซึ่งย้อนกลับจะแก้ไขเป็น 149.16.111.34.bc.googleusercontent.com ในขณะที่โดเมน skyhighsecurity.com ได้รับการจดทะเบียนเมื่อ 2018-12-14 แต่ googleusercontent.com ได้รับการจดทะเบียนเมื่อ 2010-09-14 ทั้งสองเป็นโดเมนที่มีมายาวนาน แม้ว่าปลายทางนี้จะอยู่ในโดเมน skyhighsecurity.com ที่มีชื่อเสียงและโฮสต์บนโดเมน googlecontent.com ที่มีชื่อเสียง แต่ก็ไม่ได้ระบุว่าปลายทาง www.skyhighsecurity.com หรือ 34.111.16.149 เปิดใช้งานเมื่อใด หรือความเสี่ยงในการสื่อสารกับที่อยู่ IP นั้น อายุโดเมนจะมีประโยชน์น้อยลงเมื่อเราพิจารณาปลายทางที่โฮสต์ในระบบคลาวด์สาธารณะ (IaaS และ SaaS) โดยใช้โดเมนของผู้ให้บริการ
การได้รับโดเมนที่ไม่ถูกต้องและอายุโดเมนที่ไม่ถูกต้องจากการค้นหาแบบย้อนกลับอาจลดลงได้บ้างโดยการติดตามการสืบค้น DNS ของไคลเอ็นต์และพยายามแมปโดเมนเหล่านั้นกลับไปยัง IP ปลายทางที่ร้องขอ อย่างไรก็ตาม การทําเช่นนี้จะขึ้นอยู่กับการมองเห็นคําขอ DNS ทั้งหมดจากไคลเอ็นต์อย่างสมบูรณ์ และถือว่าที่อยู่ IP ปลายทางถูกกําหนดโดยใช้ DNS มาตรฐานหรือโดยระบบที่ให้การกรองอายุโดเมน
ความท้าทายในการใช้อายุโดเมนเป็นเกณฑ์การกรองทั่วไป
แม้ว่าจะสามารถสร้างโดเมนที่ถูกต้องสําหรับการส่งและสามารถเรียกคืนอายุโดเมนได้อย่างถูกต้อง แต่ก็ยังมีปัญหาที่ควรพิจารณา
ผู้รับจดทะเบียนมีอิสระในการบํารุงรักษา เปลี่ยนแปลง และมอบหมายโดเมนที่จัดตั้งขึ้นใหม่ให้กับลูกค้ารายใดก็ได้ และผู้ค้าปลีกก็สามารถทําได้เช่นเดียวกัน สิ่งนี้ช่วยลดประโยชน์ของอายุโดเมนในฐานะพารามิเตอร์การกรองแบบสแตนด์อโลนเนื่องจากผู้ประสงค์ร้ายสามารถรับโดเมนที่มีชื่อเสียงที่มีอยู่ได้อย่างง่ายดายด้วยชื่อเสียงที่เป็นกลางหรือแม้แต่ในเชิงบวก ผู้ประสงค์ร้ายยังสามารถจดทะเบียนโดเมนใหม่ได้นานก่อนที่จะนําไปใช้เป็นโดเมนคําสั่งและการควบคุมหรือการโจมตี
ไซต์ที่ถูกกฎหมายและปลอดภัยอย่างสมบูรณ์ได้รับการจดทะเบียนและจัดตั้งขึ้นอย่างต่อเนื่องในหลายกรณีภายในไม่กี่วันหรือหลายชั่วโมงหลังจากเริ่มใช้งาน เมื่อใช้อายุโดเมนเป็นเกณฑ์การกรอง จะมีการแลกเปลี่ยนระหว่างอัตราผลบวกลวงสูงและอัตราลบลวงสูงเสมอ
นอกจากนี้ควรสังเกตด้วยว่าอายุโดเมนให้ค่าเพียงเล็กน้อยเมื่อเทียบกับเมื่อมีการสร้างระเบียนชื่อโฮสต์แต่ละรายการภายในโดเมน โดเมนที่จัดตั้งขึ้นสามารถมีโดเมนย่อยและโฮสต์แต่ละรายการภายในโดเมนเหล่านั้นได้เกือบไม่จํากัด และไม่มีวิธีใดที่จะระบุอายุของชื่อโฮสต์ได้อย่างถูกต้อง หรือแม้แต่เมื่อชื่อนั้นเชื่อมโยงกับ IP ที่ใช้งานอยู่ สิ่งที่สามารถระบุได้คือชื่อโฮสต์ปลายทางเป็นส่วนหนึ่งของโดเมนที่จดทะเบียนในวันที่ก่อนหน้านี้
บรรทัดล่างคืออายุโดเมนไม่ได้เกือบละเอียดหรือมีสาระสําคัญเพียงพอที่จะตัดสินใจกรองที่มีประโยชน์ด้วยตัวเอง อย่างไรก็ตามอายุโดเมนสามารถให้ค่าความปลอดภัยที่ จํากัด ในกรณีที่ไม่มีเกณฑ์ที่เฉพาะเจาะจงมากขึ้นหากอัตราบวกเท็จและอัตราลบเท็จที่เกี่ยวข้องกับเกณฑ์ความใหม่ที่เลือกสามารถยอมรับได้ อายุโดเมนสามารถให้ค่าเพิ่มเติมเมื่อรวมกับเกณฑ์การกรองที่ชัดเจนอื่น ๆ เช่นโปรโตคอลประเภทเนื้อหาหมวดหมู่โฮสต์ชื่อเสียงของโฮสต์โฮสต์ที่เห็นครั้งแรกความถี่ในการเข้าถึงโฮสต์แอตทริบิวต์บริการเว็บและอื่น ๆ
อายุโดเมนในบริบทของการกรองตาม HTTP/S และพร็อกซี
เกณฑ์ที่เฉพาะเจาะจงมากขึ้นจะพร้อมใช้งานเสมอเมื่อมีการใช้งานโปรโตคอล HTTP การกรอง HTTP และ HTTPS ได้รับการจัดการอย่างมีประสิทธิภาพสูงสุดผ่านพร็อกซีที่ชัดเจนหรือโปร่งใส หากปฏิบัติตามโปรโตคอล (บังคับใช้โดยอุปกรณ์หรือบริการ) จะไม่สามารถถ่ายโอนข้อมูลได้ และไม่สามารถเริ่มการประนีประนอมหรือการโจมตีได้ จนกว่าจะมีการสร้างการเชื่อมต่อ TCP
เนื่องจากการรับส่งข้อมูลกําลังถูกพร็อกซีและสามารถถอดรหัส HTTPS ชื่อโดเมนแบบเต็ม (FQDN) ที่ถูกต้องสําหรับโฮสต์เส้นทาง URL และพารามิเตอร์ URL สามารถระบุและตรวจสอบได้โดยพร็อกซีเพื่อใช้ในการตัดสินใจกรอง ความสามารถในการค้นหาข้อมูลบน FQDN เส้นทาง URL แบบเต็ม และพารามิเตอร์ URL ให้ข้อมูลที่มีค่ามากขึ้นเมื่อเทียบกับประวัติ ระดับความเสี่ยง และการใช้งานไซต์ ปลายทาง และบริการเฉพาะโดยไม่ขึ้นกับโดเมนหรือวันที่จดทะเบียนโดเมน ข้อมูลตามบริบทดังกล่าวสามารถปรับปรุงเพิ่มเติมได้เมื่อพร็อกซีเชื่อมโยงคําขอกับบริการเฉพาะและแอตทริบิวต์ความปลอดภัยของข้อมูล (เช่น ประเภทของบริการ ความเป็นเจ้าของทรัพย์สินทางปัญญา ประวัติการละเมิด ฯลฯ)
ผู้จําหน่ายเว็บพร็อกซีชั้นนําของอุตสาหกรรมรักษาฐานข้อมูลที่กว้างขวางและครอบคลุมของไซต์โดเมนแอปพลิเคชันบริการและ URL ที่ใช้บ่อยที่สุด ฐานข้อมูล Global Threat Intelligence และ Cloud Registry ที่ใช้โดย Skyhigh Security เชื่อมโยงไซต์ โดเมน และ URL กับตําแหน่งทางภูมิศาสตร์ หมวดหมู่ บริการ แอตทริบิวต์บริการ แอปพลิเคชัน ชื่อเสียงด้านความเสี่ยงของข้อมูล ชื่อเสียงของภัยคุกคาม และอื่นๆ ในฐานะที่เป็นประโยชน์ด้านข้างการขาดรายการในฐานข้อมูลสําหรับโฮสต์โดเมนบริการหรือ URL ที่เฉพาะเจาะจงเป็นตัวบ่งชี้ที่แข็งแกร่งและแม่นยํากว่ามากว่าไซต์นั้นถูกสร้างขึ้นใหม่หรือมีการใช้งานเพียงเล็กน้อยดังนั้นจึงไม่ควรเชื่อถือได้โดยเนื้อแท้ ไซต์ดังกล่าวควรได้รับการปฏิบัติด้วยความระมัดระวังและถูกบล็อกหรือฝึกสอนหรือแยกออก (สองตัวเลือกหลังมีให้ใช้งานกับ HTTP / S พร็อกซี่) ตามเกณฑ์เหล่านั้นโดยไม่คํานึงถึงอายุโดเมน
Skyhigh Security Secure Service Edge (SSE) มีฟังก์ชันการทํางานทั้งหมดข้างต้นและรวมถึง: remote browser isolation (RBI) สําหรับไซต์ที่ไม่มีหมวดหมู่ไม่ผ่านการตรวจสอบและมีความเสี่ยง สิ่งนี้ช่วยลดความเสี่ยงของเบราว์เซอร์หรือแอปพลิเคชันอื่น ๆ ที่เข้าถึงไซต์ที่ไม่มีหมวดหมู่โดยไม่ต้องเพิ่มความยุ่งยากของผลบวกลวงและผลลบลวงจากตัวกรองอายุโดเมน
เมื่อใช้ HTTP / S อายุชื่อโฮสต์หรือแม้แต่วันที่เห็นชื่อโฮสต์และ / หรือนามสกุลอาจให้คุณค่าเพิ่มเติม แต่อายุโดเมนค่อนข้างไร้ประโยชน์เมื่อมี FQDN และข้อมูลที่เกี่ยวข้องกับไซต์หรือบริการที่เฉพาะเจาะจงมากขึ้น แนวทางปฏิบัติที่ดีที่สุดคือการบล็อก แยก หรืออย่างน้อยที่สุด ฝึกสอนไซต์และบริการที่ไม่ได้รับการยืนยันโดยไม่คํานึงถึงอายุโดเมน การอนุญาตไซต์หรือบริการที่ไม่ได้รับการยืนยันตามอายุโดเมนจะเพิ่มความเสี่ยงอย่างมากที่จะเกิดผลลบที่ผิดพลาด (ไซต์และบริการที่มีความเสี่ยงได้รับอนุญาตเพียงเพราะโดเมนไม่ได้จดทะเบียนเมื่อเร็ว ๆ นี้) การบล็อกไซต์และบริการโดยทั่วไปตามอายุโดเมนเพียงอย่างเดียวจะนําไปสู่การบล็อกไซต์ที่สร้างชื่อเสียงที่ดีและไม่ควรถูกบล็อก
บทสรุป
อายุโดเมนอาจมีประโยชน์บ้างสําหรับการเสริมการตัดสินใจของตัวกรองในสถานการณ์ที่ไม่มีข้อมูลที่ถูกต้องและเฉพาะเจาะจงอื่น ๆ เกี่ยวกับปลายทางของแพ็กเก็ตเครือข่าย เมื่อพิจารณาการใช้อายุโดเมนสําหรับการกรอง HTTP / S มันเป็นสิ่งทดแทนที่แย่มากสําหรับข่าวกรองภัยคุกคามและฐานข้อมูลบริการที่ครอบคลุมมากขึ้น หากมีการตัดสินใจที่จะเบี่ยงเบนไปจากแนวทางปฏิบัติที่ดีที่สุดและอนุญาตการเชื่อมต่อ HTTP / S ไปยังไซต์ที่ไม่ได้รับการยืนยันโดยไม่มีการแยกอายุโดเมนสามารถให้ค่าเสริมที่ จํากัด โดยการบล็อกเว็บไซต์ที่ไม่ได้รับการยืนยันซึ่งอยู่ในโดเมนที่จดทะเบียนใหม่ สิ่งนี้มาพร้อมกับค่าใช้จ่ายของความรู้สึกปลอดภัยที่ผิดพลาดและความเสี่ยงที่มากขึ้นของผลลบที่ผิดพลาดเมื่อเทียบกับแนวทางปฏิบัติที่ดีที่สุดในการใช้ข่าวกรองภัยคุกคามเว็บที่ครอบคลุมดําเนินการวิเคราะห์คําขอและการตอบสนองอย่างละเอียดและเพียงแค่บล็อกแยกหรือฝึกสอนเว็บไซต์ที่ไม่ได้รับการยืนยัน
สําหรับข้อมูลเพิ่มเติมเกี่ยวกับ Skyhigh Securityโซลูชันแบบองค์รวมและมีประสิทธิภาพสําหรับการปกป้องระบบและข้อมูล โปรดไปที่ Security Service Edge หน้า Landing Page
กลับไปที่บล็อก