2024年域名安全报告-CSC

2024 年 年域名安全报告2024 年域名安全报告 | 2简介过去五年，CSC 每年都会率先报告福布斯全球企业 2000 强的域名安全状况。 我们分析了全球 2000 强企业为降低公司防火墙之外的域名生态系统中的网络风险而采取的域名安全措施，以及第三方对线上品牌造成的潜在滥用与侵权事件。今年，我们看到部分企业更加重视安全问题，但仍有很大比例的企业依然存在相当大的域名安全风险。 我们的理念是提高大家对于这些威胁的认识，分享域名安全最佳实践，从而改善所有企业的域名安全状况。CSC 发布年度域名安全报告迎来第五个年头，值此之际，我们对分析福布斯全球企业 2000 强域名安全状况的不懈努力进行了回顾。 今年恰逢 CSC 成立 125 周年，我们会继续致力于提升人们对数字空间中公司外部网络风险以及采取强有力的域名安全措施必要性的认识。2024 年域名安全报告 | 3尽管突出的网络攻击事件数量增加，但医疗设备与服务行业的域名安全排名却出现下降 今年，在按行业划分的域名安全性方面，医疗设备与服务企业的变化最为显著，排名从 2023 年的第 5 位下降了 7 位， 在 2024 年名列第 12 位。 相反，技术硬件与设备公司则从 2023 年的第 13 位上升了 8 位，在 2024 年排名第 5。80% 模仿全球 2000 强品牌名称的注册网络域名（即同形文字域名）由第三方持有，并不属于这些品牌我们发现，80% 的同形文字（外观相似的虚假）域名由第三方而非全球 2000 强品牌所有者持有，在这些域名中，42% 有 MX 记录（即电子邮件交换记录），而 2023 年这一比例为 40%。 MX 记录可用于发送网络钓鱼电子邮件或拦截电子邮件。全球 2000 强企业中，有 107 家公司的域名安全分数为零在全球 2000 强企业中，5% 的企业未部署任何推荐的域名安全措施，因此风险级别最高。 根据我们对关键域名安全措施采用情况的分析，如果一家企业的域名安全分数为零，即表明其未采取任何措施，因此域名安全威胁处于最高风险水平。自 2020 年以来，注册局锁的使用率增长了 7 个百分点，但总体采用率仍然较低，仅为 24%注册局锁支持端到端域名事务的安全性，可减少人为错误，降低第三方风险。 这是一种颇具成本效益的域名保护方法，可防止域名被意外或未经授权的修改或删除。自 2020 年以来，DMARC 采用率增长了 32 个百分点2023 年，反网络钓鱼工作组 (APWG) 报告了近 500 万次记录在案的网络钓鱼攻击，使 2023 年成为网络钓鱼最严重的一年。 攻击频次的加剧推高了基于域名的消息认证、报告和一致性 (DMARC) 的采用率，这是一种电子邮件验证系统，旨在保护企业电子邮件域名，避免被用于诈骗和网络钓鱼欺诈。 重要研究结果摘要2024 年域名安全报告 | 4随着 AI 技术愈加成为网络威胁的助力手段，各种攻击也在不断增加。 这使域名安全成为了公司最高级别网络风险评估中重要的一环，公司的域名生态系统成为此类评估中不可或缺的元素，也是切实存在的可能遭受攻击的漏洞，如图 1 所示。 被入侵或劫持的合法域名或恶意域名注册均可用于实施图 1 所示的所有攻击。图 1：域名生态系统体系域名生态系统存在于外部攻击面之上COMPANY防御性域名注册语音 (VoIP)网站电子邮件IP 客户及合作伙伴门户相似域名被劫持的域名失效域名休眠域名网络钓鱼攻击勒索软件攻击品牌滥用假冒身份攻击商业电子邮件泄露(BEC)恶意软件攻击伪造2024 年域名安全报告 | 5恶意域名注册，比如同形文字域名新近失效的域名被第三方重新注册全球企业的各种事务都要依靠互联网实现，包括网站、电子邮件、身份验证、IP 语音 (VoIP)、客户门户、提供商应用等。 互联网是企业外部受攻击面的一部分，需要持续进行监控，以防范网络犯罪和欺诈。 随着网络风险不断提高，各个企业和网络保险公司在量化风险和降低其破坏能力方面面临着更大的挑战。 这意味着域名是企业网络安全状况的关键要素，因为互联网和域名对企业基础设施和业务连续性至关重要。遭到入侵或劫持的合法域名网络犯罪分子会破坏任何未加保护的域名。 企业应采用分层防御的深度防御策略来防止域名劫持。被劫持的子域名对于子域名劫持这种攻击方式，网络犯罪分子会通过控制不再使用的合法子域名来托管恶意内容，以针对公司进行网络钓鱼或恶意软件攻击。 他们会利用被目标公司遗忘的域名系统 (DNS) 记录（悬挂 DNS），以指向其自己的内容。休眠域名网络犯罪分子可能会注册并持有品牌域名，使其处于闲置状态，以备在网络钓鱼或恶意软件攻击中使用这些域名。 休眠域名通常会逃脱初始检测，因为它们不符合任何为发动攻击而注册的域名的判断指标，例如通常会引发警报的活跃 MX 记录。恶意域名注册域名诈骗组合伎俩和同形文字假冒域名层出不穷，很容易被网络钓鱼者和恶意第三方利用。 这些虚假域名注册的目的是利用消费者对目标品牌的信任，发起令人信服的网络钓鱼攻击，或进行其他形式的数字品牌滥用。新近失效的品牌域名被第三方重新注册企业可能会因为成本压力而选择放弃之前注册的防御性域名。网络犯罪分子会趁机而动，立即出于恶意目的重新注册这些域名。 他们会不断寻找可用的品牌域名，并以此作为武器。域名安全定义域名和 DNS 劫持域名 阴影勒索软件 攻击网络钓鱼 攻击DDoS 攻击假冒身份 攻击在线知识产权和 品牌滥用品牌 伪造数据和 网络泄露缓存 中毒商业电子邮件 泄露遭到入侵或劫持的合法域名被劫持的子域名休眠域名2024 年域名安全报告 | 670%60%50%40%30%20%10%0%2020202120222023202438.9%50.0%61.5%67.3%70.6%在这项分析中，CSC 介绍了全球企业 2000 强对五大关键域名安全措施的采用情况，即：DMARC、DNS 冗余、注册局锁、证书认证机构授权 (CAA) 记录和域名系统安全扩展 (DNSSEC)。 然后，我们按照行业和地区对采用率进行了深入分析。趋势（2020-2024 年）DMARC 见证最快增长鉴于网络钓鱼攻击的各种报道频频登上头条，攻击数量和复杂程度与日俱增， DMARC 的采用率从 2020 年的 39% 迅速上升到 2024 年的 71%（图 3）， 这并不令人意外。另一个推动 DMARC 采用率提高的因素或许还与电子邮件客户端越来越多地采用品牌信息识别指标 (BIMI) 有关， 这使得品牌标志得以在经过验证的电子邮件中展示。 DMARC 是设置 BIMI 的安全前提条件，两者协同配合， 基于电子邮件域名验证公司身份的真实性 。研究结果与分析：全球 2000 强企业采用域名安全措施的情况注册局锁CAA 记录DNSSECDMARCDNS 冗余70%60%50%40%30%20%10%0%采用百分比38.9%50.0%61.5%67.3%70.6%19.2%16.6%22.0%22.8%24.0%16.9%19.2%19.6%18.5%17.0%3.8%5.4%4.0%8.4%9.5%2.6%4.5%5.7%7.7%8.5%20202021202220232024图 2：全球 2000 强企业对五大关键