美國國安局警告企業內導入DoH反增風險 恐淪為資料外洩管道

美國國安局(National Security Agency, NAA)本周發佈安全指引，說明愈來愈多人使用的DNS-over-HTTPS (DoH)技術，在企業內導入可能升高風險。

國安局指出，雖然DoH可加密並隱藏DNS查詢不被國家監控機關或有心人士看到，但是導入到企業中會帶來另一層風險。

DoH雖然安全。卻對企業資安治理有害

NSA指出，DoH無法防範用戶流量被刺探，而且當企業內部網路部署DoH時，可能使許多仰賴分析明碼DNS流量的安全工具無法看到這些流量是否帶有威脅。

此外，現今許多支援DoH的DNS解析伺服器都是由第三方業者代管，不受企業控管，也稽核不到，這就是資安隱憂。

NSA呼籲企業避免在公司內部網路使用加密DNS技術（即DoH），至少要使用在公司內，且公司管得到的DoH DNS解析伺服器。NSA並表示，不只是DoH，上述原則也適用於傳統的DNS伺服器，以及類似DoH的DoT(DNS-over-TLS)。所有其他未受控的DNS解析服務都應封鎖或關閉。

DoH反淪為資料外洩管道

NSA的擔心不是沒道理的。去年8月安全公司發現伊朗駭客組織即利用DoH服務，從受害者網路內將竊取的資料偷偷傳了出去，是DoH被用來從事攻擊的首例。此外，GitHub上也有不少免費工具可用來挾持DoH連線，以便繞過安全偵測工具把內部網路的資料傳送到外部伺服器。

除了NSA，美國網路安全暨基礎架構管理局(CISA)也以安全風險為由，要求所有聯邦政府機關關閉內部網路上的DoH及DoH服務，直到CISA推出官方代管的DoH/DoT解析服務。

來源：ZDNet