域名注册局应对安全威胁的处理方法
admin为了履行 ICANN 董事会新顶级域名(gTLD)项目委员会 (NGPC) 对政府咨询委员会 (GAC) 做出的一项承诺,NGPC 承诺 ICANN 将邀请社群参与制定一个,用于指导域名注册局如何应对发现的安全威胁处理方案,此处理文件是非约束性文件,意在详细说明注册局对威胁应该采取的应对方法。
域名注册局的通用顶级域 (gTLD) 政策或服务条款通常会对域名注册局可采用的响应类型做出规定。这些政策根据适用法律、运营要求和技术要求而制定,并且因注册管理机构和管辖区的不同而异。根据新出现的情况和从之前的安全威胁中总结的经验教训,域名注册局可以在符合共识性政策和法律要求的情况下,自行对政策进行修订。
下面列出了域名注册局针对滥用问题可能采取的多数响应方式。
现有域名处理方法
将问题交由域名注册商来处理:
域名注册局通常最先采取的响应是将问题交由域名注册商来处理,因为与域名注册人之间存在合同关系的是域名注册商。应给域名注册商一定的时间来调查安全威胁,并相应地做出响应。即使域名注册商的调查结果是不存在安全威胁,注册管理机构仍然可以采取措施。
暂停域名以使其无法解析:
应用 serverHold 状态可将域名从 TLD 域文件中移除,从而使该域名在公共互联网中无法解析。2 此措施还有一个优势,也就是在处理不当的情况下,很容易撤消。
锁定域名以使其无法更改:
尽管在应对安全威胁问题时很少用到,但应用锁定状态3 就意味着域名不能转让、删除或修改详细信息,但仍可解析。人们有时会将应用锁定状态视为如下操作的一个步骤:锁定域名,同时劫持其域名服务器。
重定向域名的域名服务:
注册管理机构有技术能力来更改域名的域名服务器。通过更改域名的域名服务器,可以为"槽洞攻击检测"(日志流量)重定向与域名关联的服务,从而确定受害者,以便进行补救。
转让域名:
将域名转让给具备适当资格的域名注册商可以避免滥用情况的发生,同时又可以管理域名的生命周期、可扩展供应协议 (EPP) 状态代码和到期时间。
删除域名:
删除域名是一种较为极端的操作,如果不经过仔细慎重的考虑,或者没有相关权威机构的指示,通常不建议这样做。如果发现删除域名不妥当,恢复域名的过程可能会很复杂,不像将域名置于 serverHold 状态的情况那样简单。在抵御安全威胁方面,删除域名通常也不像暂停域名那样有效,因为在域名从域文件中删除后,注册人还可以轻松地重新注册该域名。
不采取任何措施:
此选项始终可用。在某些特定情况下,注册管理机构政策可能会限制这样做,或者当其他响应方式都不合适时,这可以做为默认的措施。此外,域名注册局可能会认为所提到的情况并不构成安全威胁,或者采取措施的后果比威胁本身更严重。出于礼节,域名注册局应该对安全威胁的提出者做出回应,说明对所报告安全威胁采取此响应方式的原因。
未注册(DGA 类型)域名
安全威胁可能会涉及到未注册的域名。如果域名是僵尸网络活动通过自动域名生成算法 (DGA) 而生成,便可能会发生这种情况。这种威胁往往涉及成千上万个域名。
创建域名
注册潜在的恶意域名似乎有悖常理;但在控制得当的条件下,通过这种方法,研究人员和公共安全组织(例如,计算机紧急响应小组 (CERT))可以对域名采取适当的措施(例如,槽洞攻击检测4)。与上面的转让域名选项类似,创建域名也可以帮助确定受攻击的计算机,以便抵御安全威胁。此外,通过下文中的阻止域名注册措施,可以阻止不良分子使用域名。
域名注册局通常有权自行决定是否将以前未注册的域名授权给具有适当资格的域名注册商,或授权给其内部的域名注册商。域名注册局应确保针对其相应的《注册管理机构协议》中的特定合同条款,从 ICANN 获得适当或必要的豁免。当前可通过 ICANN 的注册管理机构加急安全请求 (ERSR) 流程获得此豁免。域名注册局获得豁免的时间取决于 ICANN。
阻止域名注册
域名注册局在获得同意后可保留请求的域名。请求方应与域名注册局一起确定阻止域名注册的适当时间限制(如果有)。
报告安全威胁
尽管信息来源的可信度应由域名注册局来评估,安全威胁的严重程度可以划分为几个级别。域名注册局还必须注意信息提供方在报告中所提供信息的质量和标准,同时考虑以前的报告情况。举例而言,在以下情况下,域名注册局应根据相关政策决定予以重视并快速采取措施:域名注册局所在地的相关执法机构 (LEA) 提出报告,或对域名注册局拥有管辖权的法庭下达法院指令。
A、执法机构提供的报告
如果已确认通知方是政府执法机构(包括国家执法机构或对域名注册局拥有管辖权的其他政府公共安全机构),本方案支持域名注册局将此类报告视为具备较高可信度,对于这样的报告应予以优先处理。对于执法机构 (LEA) 提供的报告,尽管域名注册局在处理时可以认为这类报告具有较高的可信度,但还是应该执行他们认为必要的调查,以确定报告的情况确实构成了安全威胁,并确认报告方的身份真实有效。
B、域名注册局认可的机构提供的报告
域名注册局可以自行决定将来自其认可的实体的报告视为要优先处理的情况,这些实体通常在相关领域具备必要的专业知识,例如,国家 CERT 和安全问题报告组织。
C、其他信息源提供的报告
在适当情况下,域名注册局应妥善处理公共信息来源提供的 DNS 技术滥用报告。此外,还建议域名注册局制定相应的规程,以确保对任何已经确定存在的威胁予以适当的重视。这包括妥善处理用户和公众人员报告的威胁以及通过域名注册局自行选用的技术分析确定的威胁。对于任何来自匿名来源的报告,为避免留下疑问,不得仅仅因为报告是以匿名方式提供便不予重视。域名注册局应根据所提供的证明和证据,审核所有出于善意目的而提供的报告,无论报告是否采用匿名方式,都应如此。
域名注册局响应
需要指明的是,下文中的"响应"是指,在收到安全威胁报告后,如果域名注册局根据其政策认定报告的情况确实构成了安全风险,则域名注册局将采取相应行动,包括但不仅限于向报告的公共安全机构做出回复,说明域名注册局正在对其报告的安全威胁展开调查。
建议域名注册局在收到报告后及时予以响应,初步确认收到报告,并说明是否正在考虑报告的请求。域名注册局应在初步确认收到报告后的 24 小时内,通过合理的方法对请求进行评估,并在可能的情况下根据评估结果告知其选择采取的措施。如果可能,还可以提供采取措施的预计时间表,这样方便双方对预期的工作进行管理。
域名注册局可以根据他们的政策对请求进行评估,并根据以下因素做出后续响应:
1、优先级别
初步就可以评估为"高优先级"的请求应该是十分明显的问题,不需要特别的技能就能确定它是影响到公共安全的威胁。"高优先级"是指报告的情况对人们的生活或重要基础设施产生直接威胁,或者涉及到剥削儿童的情况。造成 DNS 中断的重要威胁也可以视为"高优先级"问题。注册管理机构应根据其内部政策来做出这些判断。对于任何其他不能评为"高优先级"的事件,如果与 DNS 技术滥用有关,应由注册管理机构在法律允许的范围内,根据其反滥用政策进行处理。
2、报告的来源
每个域名注册局都应根据自己的内部政策和流程,对请求来源的合法性进行审查、询问或其他方式的调查。
3、内容
域名注册局应对每个请求的内容进行详细审阅,因为其中可能包含确认信息,或包含对域名注册局的具体请求。高优先级的报告应该包含证明性信息,能够表明所报告的问题明显会对人们的生活或重要基础设施造成潜在危害,或者涉及到剥削儿童的情况。域名注册局应根据各自的内部政策对此类内容(包括向域名注册局提出的任何此类请求)进行评估,并在可能的情况下确定补救措施。
4、负责方
对于某些安全威胁,域名注册局可能并不是解决问题的最佳机构。针对安全威胁确定最相关、最合适的解决方对于及时解决问题至关重要。例如,如果是滥用性注册,那么由域名注册商或经销商来审查和解决注册问题最合适。但如果是系统被攻击,注册人或其托管服务提供商对受影响的系统拥有管理访问权限,他们能更好地解决问题;不过,对于涉及到很多注册人或域名注册商的大规模威胁,由域名注册局来解决最为合适。
如果请求被评为"高优先级",并且来自合法的可信机构,那么域名注册局在确认收到问题后的 24 小时内,可以尽快确定威胁并提供其应对安全威胁的计划措施。如果事件的级别不是"高优先级",建议域名注册局也在 24 小时内做出回复,详细说明他们将采取的措施,包括可能不采取任何措施。建议域名注册局将他们对威胁的分析结果告知请求方,以说明他们采取或不采取进一步措施的原因,或说明应由其他方来应对此问题。
建议域名注册局与其所在管辖区内的一个或多个具有管辖权的执法机构(例如,国家高科技犯罪专案组)或相应的公共安全机构合作,请求这类机构提供以下帮助:
帮助对安全威胁报告进行评估。
帮助确定合适的执法机构和公共安全机构。
帮助协调域名注册局和参与调查的执法机构官员进行合作。
建议域名注册局在适当的情况下与其他域名注册局和有管辖权的执法机构共享被滥用的域名信息,以防止 DNS 滥用。
5、尊重隐私和保密信息
在报告和处理发现的安全威胁的过程中,通常需要由域名注册局、执法机构或具有管辖权的相关机构处理个人身份信息 (PII)。在对发现的安全威胁做出响应时,域名注册局应高度注意各自的隐私政策,以及机密信息、数据安全、数据传输和数据保留方面的公认最佳做法,还要注意当地法律、合同要求或其他具有约束力的要求。
