美國國家網路安全戰略在今年(2023)三月份啟動,提供了數位生態系統中的相關人員更強的協作路線圖,鼓勵更積極合作。該戰略呼籲軟體製造商和美國企業需確保其系統不會被駭客攻擊,同時加快聯邦調查局和國防部打擊全球駭客和勒索組織的行動。
針對改善整體網路安全和減少網路威脅的網路安全策略,可能會對網域名稱安全產生積極的影響。例如,如果美國政府實施新的措施來檢測和防止網路攻擊,這可能有助於減少針對DNS的攻擊次數。在高層次上,美國國家網路安全戰略討論了保護關鍵基礎設施-包括雲端服務、域名受理註冊機構、電子郵件、托管服務、其他數位服務和DNS等。至少,這應該使得更注重安全的企業級受理註冊機構處於一個強勢地位,成為那些未提供KYC(Know Your Customer,KYC)法遵或提供註冊鎖或DNSSEC等其他安全協議的受理註冊機構的模範。該戰略還討論了網際網路和DNS是易受攻擊的基礎設施,白宮表明,「減少網際網路和數位生態系統的基礎中的系統技術漏洞」是未來成為投資在網路韌性(減少網際網路基礎建設及數位生態系統中系統性的技術漏洞)的目標之一。
最近,世界各國政府已經制定了自己的國家網路安全戰略,以應對日益增長的網路威脅。英國、加拿大、澳大利亞和日本等國家都有網路安全戰略,概述了他們處理網路威脅的相應方法。每個國家的戰略都聚焦於更強大的基礎設施,以及進一步促進利益相關者之間的合作。
到目前為止,美國政府實際上還沒有廣泛採用域名安全措施的大規模推動。因其仍存在下列三個問題:
- 在更廣泛的網路釣魚和勒索軟體討論中,很少關注預防措施(與域名相關的安全措施),這些措施可以在勒索軟體攻擊的前期減輕攻擊。
- 目前沒有區分消費級和企業級網域名稱受理註冊機構的標準,這使得消費級受理註冊機構能夠繼續營運其域名的市場,搶注、拍賣和出售品牌或商標網域名稱給最高出價者。
- 這個行業缺乏對域名安全的重要性以及實施有效措施的可用選項的認知,這些措施可以納入他們的風險管理策略中。
對於那些關注網際網路詐騙和網路品牌濫用的人來說,該戰略討論了重點應該放在減輕網路釣魚攻擊、商業電子郵件詐欺(Business Email Compromise,BEC)和電匯詐騙上。由於這些詐騙經常包括模仿信任品牌名稱,對於品牌所有者、商標和知識產權權利倡導者以及線上消費者安全的支持者來說,這是一個積極的發展。這些攻擊通常是通過侵犯合法的網站域名或惡意註冊虛假的網域來實施的。這些偽造的網域名稱註冊的目的是利用對目標品牌的信任來發動網路釣魚攻擊或其他形式的數位品牌濫用或知識產權侵犯,進而導致收入損失、流量轉移和品牌聲譽受損。
總體而言,美國政府的網路安全戰略對域名安全的影響取決於該戰略中包含的具體措施以及它們的有效實施程度。公司可以採用最佳實踐來開始加強產業安全。
| 本文內容純屬筆者個人意見,並不代表TWNIC立場 |
相關連結:By Sue Watts(2023),Digital Brand Services, CSC
檢自:https://circleid.com/posts/20230405-u.s-national-cybersecurity-strategy-and-its-impact-on-domain-security (Apr. 05, 2023)
