Hujjatlar infratuzilma bo'lib qolganida: Copy-paste misollaridagi yashirin xavf

NameOcean'da domain xavfsizligi, DNS sozlamalari va infratuzilma o'rnatish bo'yicha ko'p gaplashamiz. Lekin texnologiya olamida hech kim aytmaydigan g'alati zaiflik bor: hujjatlar o'zimizning infratuzilma bo'lib qolishi.

O'tgan yili bir xavfsizlik tadqiqotchisi third-party-example.com domainini ro'yxatdan o'tkazdi. Oddiy .com, hech kim egasi emas edi. Bir necha kun ichida unga haqiqiy DMARC hisobotlari kelib tushdi. Bir oyda 22 tadan ko'p tashkilotdan. Ularning hech biri bu haqda bilmasdi.

Sir shundaki: bu domain Cloudflare'ning DMARC hujjatlarida misol sifatida chiqqan. Tashkilotlar uni o'zgartirmasdan, to'g'ridan-to'g'ri production DNS'ga qo'yib yuborganlar.

Hujjatlar zanjiridagi muammo

Bu faqat Cloudflare'ga xos emas, shuning uchun jiddiy. Bir xil misol turli tillardagi hujjatlarda, keyin 8 ta boshqa manbalarda tarqalgan. Kod parchasi shunday tarqalganda, u hujjat emas, supply chain zaifligiga aylanadi.

Insonlar misollarga amal qiladi. DMARC birinchi marta sozlayotganingizda, ko'chirib olib qo'yasiz. example@third-party-example.com ni ishonchli joydan ko'rsangiz, DNS TXT'ga joylab, keyingi ishga o'tasiz. Hujjatlar maslahat emas, kod sifatida ishlatiladi.

Qanday ma'lumotlar oqib chiqdi

Nega muhim ekanligini aniq aytaylik. DMARC hisobotlarida:

• To'liq email infratuzilmasi: Faturalar uchun qaysi vendorlar, newsletter'lar uchun qaysi platformalar, backup serverlar IP'lari
• Autentifikatsiya xatolari: SPF/DKIM muvaffaqiyatsizliklari soni va manbalari
• Soxtalashtirish harakati: Domainingizni soxtalashtirishga urinishlar, joylashuvi, hajmi
• Uchinchi tomonlar: Hamkorlar, mijozlar, vendorlar – envelope tahlilida ko'rinadi
• Xizmat bog'lanishlari: Email'ni yo'naltiruvchi yoki qayta yuboruvchi provayderlar

Bu qonuniy data breach emas. Parollar yoki shaxsiy ma'lumotlar emas. Lekin hujumchilar xohlaydi: email xaritasi, vendorlar, zaifliklar, relay hamkorlari – har kuni, avtomatik, bilmasdan.

Sizning infratuzilmangiz uchun saboq

Uchtasi asosiy:

Birinchisi: Hujjat misollarida faqat IANA rezerve domainlari. .example.com emas, balki ro'yxatdan o'tkazib bo'lmaydiganlar. third-party-example.com rezerve eshitiladi, lekin ro'yxatga olinadi – shuning uchun xavfli.

Ikkinchisi: Misollar production'ga tayyor bo'lmasligi kerak. O'zgartirish talab qilishi lozim. Ba'zi jamoalar CHANGEME_ qo'yib, odam aralashuvini majbur qiladi. Bu to'siq, lekin foydali.

Uchinchisi: Hujjatlardan olingan infratuzilmani tekshirish. DMARC'ni DNS'ga qo'yishdan oldin, o'z domainingizga mosligini sinab ko'ring. Hisobot manzilini oldindan tekshiring.

Domain strategiyangiz uchun ahamiyati

Bizda DNS – infratuzilma, internetda domain ishlashining asosi. Uni production koddek qattiq tuting. Hujjatlardan DNS yozuvlarini tushunmasdan ko'chirmang. O'zgarishlarni tekshirmasdan qo'ymang.

22 tashkilotda email xavfsizligi bor edi. DMARC to'g'ri. Lekin o'zgartirmasdan ishlatganlari uchun kuzatuv vositasiga aylandi.

Bu Cloudflare'ga ayblov emas. Hujjat misollarini passiv deb hisoblaymiz, lekin ular infratuzilma. Koddek xavfsiz tutmaguncha, shunday hodisalar takrorlanadi.

Keyingi safar konfiguratsiya misolini ko'chirganda to'xtang. O'zingiz uchun ekanligini tekshiring. Placeholder'larni o'zgartiring. Chunki hujjatlar endi infratuzilmani shakllantirmaydi – u o'zi infratuzilma.