2024年域名安全报告

CSC 发布年度域名安全报告迎来第五个年头，值此之际，我们对分析福布斯全球企业 2000强域名安全状况的不懈努力进行了回顾。今年恰逢 CSC 成立125 周年，我们会继续致力于提升人们对数字空间中公司外部网络风险以及采取强有力的域名安全措施必要性的认识。 简介 过去五年，CSC 每年都会率先报告福布斯全球企业 2000 强的域名安全状况。我们分析了全球 2000 强企业为降低公司防火墙之外的域名生态系统中的网络风险而采取的域名安全措施，以及第三方对线上品牌造成的潜在滥用与侵权事件。 今年，我们看到部分企业更加重视安全问题，但仍有很大比例的企业依然存在相当大的域名安全风险。我们的理念是提高大家对于这些威胁的认识，分享域名安全最佳实践，从而改善所有企业的域名安全状况。 重要研究结果摘要 尽管突出的网络攻击事件数量增加，但医疗设备与服务行业的域名安全排名却出现下降 今年，在按行业划分的域名安全性方面，医疗设备与服务企业的变化最为显著，排名从 2023 年的第 5 位下降了 7 位，在 2024 年名列第 12位。相反，技术硬件与设备公司则从 2023 年的第 13 位上升了 8 位，在 2024 年排名第 5。 80% 模仿全球 2000 强品牌名称的注册网络域名（即同形文字域名）由第三方持有，并不属于这些品牌 我们发现，80% 的同形文字（外观相似的虚假）域名由第三方而非全球 2000 强品牌所有者持有，在这些域名中，42% 有 MX 记录（即电子邮件交换记录），而 2023 年这一比例为 40%。MX 记录可用于发送网络钓鱼电子邮件或拦截电子邮件。 全球 2000 强企业中，有 107 家公司的域名安全分数为零 在全球 2000 强企业中，5% 的企业未部署任何推荐的域名安全措施，因此风险级别最高。根据我们对关键域名安全措施采用情况的分析，如果一家企业的域名安全分数为零，即表明其未采取任何措施，因此域名安全威胁处于最高风险水平。 自 2020 年以来，注册局锁的使用率增长了 7 个百分点，但总体采用率仍然较低，仅为 24% 注册局锁支持端到端域名事务的安全性，可减少人为错误，降低第三方风险。这是一种颇具成本效益的域名保护方法，可防止域名被意外或未经授权的修改或删除。 自 2020 年以来，DMARC 采用率增长了 32 个百分点 2023 年，反网络钓鱼工作组 (APWG) 报告了近 500 万次记录在案的网络钓鱼攻击，使 2023 年成为网络钓鱼最严重的一年。攻击频次的加剧推高了基于域名的消息认证、报告和一致性 (DMARC) 的采用率，这是一种电子邮件验证系统，旨在保护企业电子邮件域名，避免被用于诈骗和网络钓鱼欺诈。 域名生态系统存在于外部攻击面之上 随着 AI 技术愈加成为网络威胁的助力手段，各种攻击也在不断增加。这使域名安全成为了公司最高级别网络风险评估中重要的一环，公司的域名生态系统成为此类评估中不可或缺的元素，也是切实存在的可能遭受攻击的漏洞，如图 1 所示。被入侵或劫持的合法域名或恶意域名注册均可用于实施图 1 所示的所有攻击。 域名安全定义 遭到入侵或劫持的合法域名 全球企业的各种事务都要依靠互联网实现，包括网站、电子邮件、身份验证、IP 语音 (VoIP)、客户门户、提供商应用等。互联网是企业外部受攻击面的一部分，需要持续进行监控，以防范网络犯罪和欺诈。随着网络风险不断提高，各个企业和网络保险公司在量化风险和降低其破坏能力方面面临着更大的挑战。这意味着域名是企业网络安全状况的关键要素，因为互联网和域名对企业基础设施和业务连续性至关重要。 网络犯罪分子会破坏任何未加保护的域名。企业应采用分层防御的深度防御策略来防止域名劫持。 被劫持的子域名 对于子域名劫持这种攻击方式，网络犯罪分子会通过控制不再使用的合法子域名来托管恶意内容，以针对公司进行网络钓鱼或恶意软件攻击。他们会利用被目标公司遗忘的域名系统 (DNS) 记录（悬挂 DNS），以指向其自己的内容。 休眠域名 网络犯罪分子可能会注册并持有品牌域名，使其处于闲置状态，以备在网络钓鱼或恶意软件攻击中使用这些域名。休眠域名通常会逃脱初始检测，因为它们不符合任何为发动攻击而注册的域名的判断指标，例如通常会引发警报的活跃 MX 记录。 恶意域名注册 域名诈骗组合伎俩和同形文字假冒域名层出不穷，很容易被网络钓鱼者和恶意第三方利用。这些虚假域名注册的目的是利用消费者对目标品牌的信任，发起令人信服的网络钓鱼攻击，或进行其他形式的数字品牌滥用。 新近失效的品牌域名被第三方重新注册 企业可能会因为成本压力而选择放弃之前注册的防御性域名。网络犯罪分子会趁机而动，立即出于恶意目的重新注册这些域名。他们会不断寻找可用的品牌域名，并以此作为武器。 研究结果与分析：全球 2000 强企业采用域名安全措施的情况 在这项分析中，CSC 介绍了全球企业 2000 强对五大关键域名安全措施的采用情况，即：DMARC、DNS 冗余、注册局锁、证书认证机构授权 (CAA) 记录和域名系统安全扩展 (DNSSEC)。然后，我们按照行业和地区对采用率进行了深入分析。 DMARC 见证最快增长鉴于网络钓鱼攻击的各种报道频频登上头条，攻击数量和复杂程度与日俱增， DMARC 的采用率从 2020 年的 39% 迅速上升到 2024 年的 71%（图 3），这并不令人意外。 另一个推动 DMARC 采用率提高的因素或许还与电子邮件客户端越来越多地采用品牌信息识别指标 (BIMI) 有关，这使得品牌标志得以在经过验证的电子邮件中展示。DMARC 是设置 BIMI 的安全前提条件，两者协同配合，基于电子邮件域名验证公司身份的真实性 。 注册局锁采用率平稳缓慢增长 企业对注册局锁的采用率从 2020 年的 17% 增长到 2024 年的 24%。我们还发现，2024 年，在使用企业级注册商的公司中，有 45% 也更频繁地使用了注册局锁。随着加强网络安全的压力日益增大，越来越多的注册商开始为其域名扩展提供锁定功能，以实现端到端域名事务的安全性，从而减少人为错误和第三方风险。 公司的域名组合不断变化，因此，CSC 使用了预测性建模算法来评估域名的 20多个属性，以确定该域名是否对公司运营和线上品牌具有关键的商业意义，并就应锁定的重要域名提出建议。 我们还发现，2024 年，在使用企业级注册商的公司中，有 45% 也更频繁地使用了注册局锁。 DNS 冗余、DNSSEC 和 CAA 记录等安全措施存在不一致问题 尽管部署 DNSSEC 的公司比例仍然很低 但在过去五年中已增加了两倍，从2020 年的 3% 增加到了 2024 年的 9%。DNSSEC 的工作原理是为 DNS 查询和响应提供身份验证和数据完整性，从而防止网络犯罪分子将互联网流量重定向到网络钓鱼网站等恶意网站。 出人意料的是，今年 DNS 冗余再次下降了 1%，使得今年优先考虑采用 DNS 冗余措施的公司比例低于2020 年。DNS 冗余对任何企业的核心基础架构来说都是重要组成部分，但我们发现，这种安全措施的采用率在下滑，原因可能是企业面临不断增加的成本和资源分配压力，需要合理筹划。 最后，CAA 记录的采用率从 2020 年的 4% 上升到了 2024 年的 10%。CAA 记录允许公司指定一个特定的证书认证机构 (CA)，作为其公司域名的唯一数字证书认证机构。此举可防止网络罪犯使用未授权的证书认证机构获取新数字证书，这会导致他们的请求失败，同时公司也会收到相关的警报。 2024 年域名安全措施采用情况 按地区 按行业 2023 年至 2024 年期间，欧洲、中东和非洲地区的域名安全措施采用率增长最快。 2024 年，医疗保健行业排名下降 7 位。 在福布斯全球企业 2000 强涉及的 26 个行业中，医疗设备与服务行业的排名下降了 7 位，跌出了之前的前五名。排名从 2023 年的第 5 位下降到 2024 年的第 12 位，与今年针对医院和医疗保健系统的网络攻击显著上升形成鲜明对比，特别是考虑到医疗保健行业目前是 勒索软件攻击最频繁的目标。12024 年，医疗保健行业已经报告了 280 起网络安全事件，这占“美国 2024 年网络安全事件的 24%，使医疗保健行业高于其他所有行业。”2 科技硬件与设备上升 8 位，排名第 5。对于科技公司来说，进入前五名无疑是有利的，这些公司的采用率增长可能与它们自 2020 年SolarWinds 遭受重大供应链攻击以来一直在实施的安全措施有关。 表现最佳的行业 •商业服务与用品•IT 软件与服务•媒体•零售•科技硬件与设备 表现最差的行业 •建筑•食品、饮料和烟草•食品市场•材料•石油和天然气业务 2024 年按注册商类型划分的域名安全措施 在本报告中，我们根据全球企业 2000 强使用的域名注册商类型，对域名安全措施的采用趋势进行了分析。 很多公司都存在一个误区，认为所有注册商都别无二致，然而，消费级注册商的首先考虑的可能并不是域名安全，甚至不提供域名安全措施，一旦误选了消费级注册商，企业的整体安全状况可能会受到不利影响。这一点在采用注册局锁方面尤为明显，因为大多数消费级注册商都不支持注册局锁 。 企业级注册商： 企业级注册商专门与各个企业和品牌所有人合作，满足他们对于高级业务实践、功能、专业知识的需求，以及对于域名管理、DNS 管理、安全性、品牌保护、欺诈防护、数据治理和网络安全方面的支持团队的需求。 消费级注册商： 消费级注册商面向个人、创业者和刚刚起步的小公司提供域名服务、网站和电子邮件。 域名安全状况 CSC 根据企业域名安全风险等级，对扩展的八项主要安全措施的重要性进行分组，并为每家企业计算出一个平均分。该平均分构成了企业的安全分数，分数越高，表明企业的安全状况越稳固——这也意味着企业遭受域名安全威胁的风险越低。 主要域名安全措施： •域名密钥识别邮件 (DKIM)•DMARC •企业级注册商•注册局锁（多重锁定）•CAA 记录•DNS 冗余•DNSSEC•发件人策略框架 (SPF) 68% 的全球 2000 强企业实施的安全措施不到上述推荐措施的一半。 表现最佳的公司 表现最差的公司 107 家公司的域名安全分数为零。这些公司主要位于亚太地区，该地区的公司占零分公司的 87%。 只有一家公司的得分是 100%，而且去年的得分也是 100%。在满分8 分中，有 12 家公司获得了 7 分。 针对全球 2000 强企业的可疑或恶意域名活动 我们确定并分析了不是由全球 2000 强企业持有但包含这些企业品牌名称中超过 6 个字符的域名。这些第三方域名注册的目的是利用人们对目标品牌的信任，发动网络钓鱼攻击、其他形式的数字品牌滥用或知识产权侵权。这些都会给受影响的品牌带来收入损失、流量分流及品牌声誉的下降。 网络钓鱼者和恶意第三方可以使用不计其数的域名诈骗战术和组合方法。 我们特意关注了常见的同形文字，因为它们是威胁发起者使用的最恶劣攻击方法之一 .COM 域名中常见的同形文字（模糊匹配） 根据对网络钓鱼域名使用情况的密切观察，我们的分析包含了常见的拉丁字符替代字符，例如，使用 C0rnpanyNarne.com 来仿冒 CompanyName.com。 C0rnpanyNarne.com 最常见的替代字符 00cegqE3mnS5lIB8l1mrn 80% 的同形文字域名由第三方所有 在第三方所有的域名中： 在 2024 年有 MX 记录，而在 2023 年，这一比例为 40%。MX 记录可用于发送网络钓鱼电子邮件或拦截电子邮件。 第三方域名会被用于何种目的？ 指向广告、按点击付费的广告或用于域名停放。48% 指向不活跃的网站。 指向可能损害品牌声誉和客户信心的恶意内容 解析到与品牌持有人无关的活跃网站。 与第三方持有的虚假