全球企业的域名安全风险

主要要点

• 超过75%的《福布斯全球2000大》公司尚未实施所有的域名安全措施，面临高安全风险。
• 丑化域名（lookalike domains）已成为对这些公司的攻击目标，其中75%的相似域名由无关第三方注册。
• 虽然DMARC采纳率在过去12个月增长了12%，其他域名安全措施却仅增长有限。
• 专家们建议企业应更重视合法域名的保护，以及监控恶意域名的可能性。

根据域名注册商CSC最新报告，全球《福布斯2000大》公司中有高达75%未实施所有域名安全措施，使其暴露在高安全风险之下。报告指出，许多顶尖品牌正面临著恶意注册的相似域名的威胁，这些域名与其品牌相似却由不相关的第三方所拥有。

随著针对企业的网络钓鱼攻击（phishingattacks）增多，其手段也日益复杂，导致基于域名的消息验证、报告和合规（）的采用率在过去一年内增加了12%。然而，其他域名安全措施的增长却显得乏力，包括注册锁（registrylock）、域名系统（DNS）冗余、和证书授权授权（CAA）纪录。

安全专家的警告

CSC数位品牌服务总裁马克·卡兰德拉（MarkCalandra）表示，公司需将保障合法域名与监控恶意域名作为优先事项，尤其是对于倡导零信任原则的企业而言。他指出：

“否则，公司将面临重大企业风险，这可能影响其网络安全状况、数据保护、知识产权、供应链、消费者安全、收入以及声誉。”

Keeper Security的安全与架构副总裁帕特里克·提奎特（PatrickTiquet）也指出，冒名或相似域名对各类企业均构成严重的安全威胁。他提到，企业可透过购买用户可能会混淆的相似域名来防范这些域名，但这并非100%安全的方法，因为用户被冒名域名欺骗的方式千变万化。

“企业可能会陷入‘打地鼠’的困境，当一个恶意冒名域名被关闭后，另一个带有轻微拼写变化的新域名会随之出现，”提奎特说。

网络威胁猎人约翰·班贝克（John Bambenek）指出，互联网上的任何事件都始于一次DNS请求，同样，互联网上的一切坏事也始于DNS请求。他表示：

“DNS是连接互联网的隐形胶水，虽然它不是设计用来应对当前的使用情境（内建安全功能少），但一些安全功能仍然存在。DMARC是防止基于电子邮件的品牌冒名的最佳工具之一，而CAA则有助于避免证书发放问题。”

AppViewX的首席解决方案官穆拉利达兰·帕拉尼萨米（MuralidharanPalanisamy）指出，相似域名通常用于发动网络钓鱼攻击。由于DNS技术未经重大变革，其预算通常维持不变，因此安全团队将面对与DNS相关的挑战和风险。他强调，企业需要实施一些如DNSSEC和CAA等前沿安全特性，因为这些功能如果不进行自动化维护将很难保持。

“此外，相似域名