DNS valdysena 2026 m.: auditui parengtos registratoriaus kontrolės priemonės

Pirmadienio rytą, 07:42, finansinių technologijų augimo įmonės vyriausiasis informacijos saugumo vadovas gauna pranešimą, kurio niekas nenori matyti. Klientai negali pasiekti mokėjimų portalo, pagalbos tarnyba užversta užklausomis, el. paštas neveikia, o SOC nerado nei kenkėjiškos programinės įrangos, nei ugniasienės sutrikimo, nei debesijos paslaugų teikėjo incidento.

Pagrindinė priežastis tylesnė ir nemalonesnė. Prie registratoriaus paskyros buvo prisijungta naudojant pasenusius administratoriaus lygmens prisijungimo duomenis, kuriais dalijosi keli buvę IT darbuotojai. Užpuolikas pakeitė autoritetinguosius vardų serverius, modifikavo MX įrašus, išjungė DNSSEC ir pakankamai ilgai nukreipė srautą, kad surinktų prisijungimo duomenis ir sutrikdytų partnerių taikomųjų programų sąsajas. Mokėjimų portalas nebuvo nulaužtas tradicine prasme. Buvo kompromituotas organizacijos pasitikėjimo atramos taškas – jos domenas.

09:30 operacinė krizė jau tapo atitikties krize. Valdyba klausia, ar buvo įjungtas registro užraktas. Teisininkai klausia, ar buvo atskleisti asmens duomenys. Duomenų apsaugos pareigūnas klausia, ar tai yra GDPR asmens duomenų saugumo pažeidimas. Reguliuotojas nori žinoti, ar buvo paveikta kritinė arba svarbi funkcija. Kliento auditorius prašo pakeitimo užklausos, kuria buvo patvirtintas DNS pakeitimas.

Per daug organizacijų atsakymas vis dar yra skaičiuoklė, bendra pašto dėžutė ir registratoriaus konsolė, kurios niekas neperžiūrėjo šešis mėnesius.

DNS ir domenų registratorių valdysena 2026 m. nebėra nišinė infrastruktūros tema. Ji yra išpirkos reikalaujančių programų atsparumo, sukčiavimo el. paštu prevencijos, debesijos prieinamumo, tiekėjų rizikos valdymo, reagavimo į incidentus, veiklos tęstinumo ir įrodymais grindžiamos atitikties dalis. Jei jūsų domeną galima užgrobti, jūsų SaaS platforma gali dingti. Jei jūsų DNS įrašus galima pakeisti be patvirtinimo, per kelias minutes gali būti pakenkta el. pašto saugumui, SSO, TLS sertifikatams, API galiniams taškams ir klientų pasitikėjimui.

Kodėl DNS ir registratoriaus valdysena turi būti ISVS dalis

Domeno vardas nėra vien prekės ženklo turtas. Tai loginis turtas, autentifikavimo priklausomybė, maršrutizavimo priklausomybė ir dažnai tiekėjo valdoma paslauga. Jis susieja tapatybės teikėjus, el. pašto autentifikavimą, TLS sertifikatų validavimą, debesijos galinius taškus, klientų portalus, taikomųjų programų sąsajas, CDN paslaugas, stebėsenos zondus ir incidentų komunikaciją.

Clarysec Turto valdymo politika - MVĮ Turto valdymo politika - MVĮ tai aiškiai įtraukia į taikymo sritį:

Skaitmeniniai prisijungimo duomenys ir paslaugos: domenų vardai, skaitmeniniai sertifikatai, API raktai, el. pašto paskyros, debesijos prisijungimai

Iš skyriaus „Taikymo sritis“, politikos punktas 2.2.4.

Ta pati politika reikalauja daugiau nei vien nurodyti domeno vardą:

Turi būti dokumentuota nuosavybė, paskirtis, prieigos teisės ir atnaujinimo terminai.

Iš skyriaus „Politikos įgyvendinimo reikalavimai“, politikos punktas 6.6.2.

Įmonių aplinkoms skirta Clarysec Turto valdymo politika Turto valdymo politika į taikymo sritį taip pat įtraukia loginius turtus:

Loginiai turtai: domenų vardai, licencijos, naudotojų paskyros, bazinės konfigūracijos

Iš skyriaus „Taikymo sritis“, politikos punktas 2.2.5.

Tai yra valdysenos pradinis taškas. DNS ir registratoriaus apskaita turi dokumentuoti:

• Domeno vardą, registrą, registratorių, DNS prieglobos paslaugų teikėją ir autoritetinguosius vardų serverius
• Verslo savininką, techninį savininką, saugumo savininką ir skubių veiksmų tvirtintoją
• Paskirtį, pvz., produkcinį portalą, API, el. paštą, SSO, rinkodarą, testavimo aplinką arba gynybinę registraciją
• Kritiškumo įvertinimą ir priklausomybių susiejimą su verslo paslaugomis
• DNSSEC būseną, DS įrašo būseną, raktų nuosavybę ir periodinio raktų keitimo procesą
• Registro užrakto ir registratoriaus užrakto būseną
• MFA ir privilegijuotos prieigos modelį registratoriaus ir DNS paslaugų teikėjo paskyroms
• Atnaujinimo datą, automatinio atnaujinimo būseną, mokėjimo savininką ir įspėjimus apie galiojimo pabaigą
• Pakeitimų kontrolės reikalavimus zonos redagavimams ir delegavimo pakeitimams
• Žurnalinį registravimą, įspėjimus, stebėseną ir įrodymų saugojimą

Todėl domenų valdysena turi būti įtraukta į ISO/IEC 27001:2022 ISVS taikymo sritį ir rizikos vertinimą. ISO/IEC 27001:2022 reikalauja, kad organizacijos nustatytų kontekstą, suinteresuotųjų šalių reikalavimus, teisines ir sutartines prievoles, sąsajas ir priklausomybes nuo išorės organizacijų. DNS priklauso nuo registratorių, registrų, DNS prieglobos paslaugų teikėjų, debesijos paslaugų teikėjų, sertifikavimo institucijų, MSP ir kartais rinkodaros agentūrų. Jei šios sąsajos neįtraukiamos į ISVS, audito pėdsakas bus neišsamus.

2026 m. DNS grėsmių modelis

Žalingiausi DNS sutrikimai dažnai yra paprasti:

1. Domeno galiojimas baigiasi, nes neaiški atnaujinimo atsakomybė.
2. Buvusi agentūra vis dar turi prieigą prie registratoriaus paskyros.
3. DNSSEC įjungtas, tačiau po DNS paslaugų teikėjo migracijos DS įrašai yra neteisingi.
4. Pakaitos simbolio įrašas nukreipia srautą į apleistą debesijos paslaugą.
5. TXT įrašas pakeičiamas siekiant patvirtinti užpuoliko valdomą SaaS nuomininką arba sertifikato užklausą.
6. MX įrašai pakeičiami sukčiavimo el. paštu arba el. pašto perėmimo kampanijos metu.
7. CNAME į trečiosios šalies platformą tampa pažeidžiamas perėmimui.
8. Registro užraktas taikomas pirminiam domenui, bet ne klientams matomiems šalies kodo domenams.
9. SOC stebi galinius įrenginius, tačiau niekas nestebi zonos failo pakeitimų.

Techninės apsaugos priemonės gerai žinomos. DNSSEC padeda apsaugoti DNS duomenų vientisumą ir kilmės autentifikavimą. Registro užraktas reikalauja papildomo, atskiru kanalu vykdomo patvirtinimo didelės rizikos registro lygmens pakeitimams. Registratoriaus užraktas mažina neautorizuoto perkėlimo riziką. MFA ir privilegijuotos prieigos peržiūros mažina paskyrų perėmimo tikimybę. Pakeitimų kontrolė apsaugo nuo atsitiktinių sutrikimų. Stebėsena aptinka neautorizuotus arba netikėtus pakeitimus.

Atitikties iššūkis kitas: ar galite įrodyti, kad šios apsaugos priemonės egzistuoja, turi savininkus, yra peržiūrimos ir veikia incidento metu?

Būtent įrodymų klausimas yra vieta, kurioje daugelis organizacijų suklumpa.

DNS valdysenos susiejimas su ISO/IEC 27001:2022 ir ISO/IEC 27002:2022

ISO/IEC 27001:2022 suteikia valdymo sistemos struktūrą, leidžiančią DNS kontrolės priemones paversti pakartojamais ir audituojamais procesais. ISO/IEC 27001:2022 Annex A ir ISO/IEC 27002:2022 kontrolės gairės pateikia kontrolės priemonių kalbą, kurios tikisi auditoriai.

Clarysec Zenith Blueprint: auditoriaus 30 žingsnių veiksmų planas Zenith Blueprint tinklo paslaugas traktuoja kaip aiškius audito objektus. Etapo „Kontrolės praktikoje“ 20 žingsnyje komandoms nurodoma validuoti tinklo paslaugų saugumą:

Išvardykite visas vidines ir išorines tinklo paslaugas (DNS, VPN, SMTP, DHCP, API šliuzus, ir kt.).

✓ Kiekvienai paslaugai patvirtinkite, kad naudojami saugūs protokolai (pvz., DNSSEC, TLS 1.2+, SSH vietoj Telnet). ✓ Peržiūrėkite, kaip kontroliuojama prieiga prie kiekvienos paslaugos (pvz., IP baltieji sąrašai, autentifikavimas, sertifikatai). ✓ Jei paslaugą valdo trečiosios šalys (pvz., DNS, SD-WAN, talpinamas VPN), peržiūrėkite saugumo nuostatas SLA arba tiekėjo sutartyje. Atnaujinkite paslaugų registrą ir pažymėkite, kur yra saugumo atsakomybės – viduje ar išorėje.

Iš etapo „Kontrolės praktikoje“, 20 žingsnis: kontrolės priemonės nuo 8.18 iki 8.26.

Tai suteikia praktinį audito kelią: traktuokite DNS kaip išorinę tinklo paslaugą, dokumentuokite, kaip ji apsaugota, ir užfiksuokite, ar atsakomybė tenka organizacijai, registratoriui, DNS paslaugų teikėjui ar MSP.

Clarysec Zenith Controls: kelių atitikties sričių gidas Zenith Controls naudingas todėl, kad DNS valdysena retai susiejama tik su viena sistema. Tas pats DNSSEC arba registro užrakto sprendimas pagrindžia ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST CSF 2.0 ir COBIT 2019 įrodymus.

Tiekėjų stebėsenai Zenith Controls susieja ISO/IEC 27002:2022 kontrolę 5.22 „Tiekėjų paslaugų stebėsena, peržiūra ir pakeitimų valdymas“ su prevencine kontrolės priemone, palaikančia konfidencialumą, vientisumą ir prieinamumą. DNS atveju tai reiškia, kad registratorius ir DNS paslaugų teikėjas nėra „nustatyk ir pamiršk“ tipo tiekėjai. Jų saugumo būklė, paslaugų pakeitimai, sutrikimai, subtvarkytojai ir pranešimų praktika turi būti peržiūrimi.

DNSSEC ir kriptografiniam vientisumui Zenith Controls susieja ISO/IEC 27002:2022 kontrolę 8.24 „Kriptografijos naudojimas“ su prevencine kontrolės priemone, suderinta su saugia konfigūracija. DNSSEC nėra DNS srauto šifravimas, tačiau tai yra kriptografinis patikinimas dėl DNS duomenų vientisumo ir kilmės autentifikavimo.

DNS zonos redagavimams Zenith Controls susieja ISO/IEC 27002:2022 kontrolę 8.32 „Pakeitimų valdymas“ su prevencine kontrolės priemone, palaikančia konfidencialumą, vientisumą ir prieinamumą. DNS pakeitimas yra konfigūracijos pakeitimas. DS įrašo atnaujinimas, MX įrašo pakeitimas, CNAME migracija, SPF arba DMARC atnaujinimas, CDN perjungimas arba vardų serverio delegavimo pakeitimas turi turėti užklausą, rizikos vertinimą, patvirtinimą, testavimo rezultatą ir grąžinimo į ankstesnę būseną planą.

DNSSEC, registro užraktas ir raktų valdymas kritiniams domenams

Ne kiekvieno domeno rizika vienoda. Gynybiniam domenui, naudojamam tik apsisaugoti nuo apsimetimo, gali pakakti stebėsenos ir drausmingo atnaujinimo. Pirminiam klientų portalo domenui reikia stipriausių galimų kontrolės priemonių.

Kritiniams domenams Clarysec paprastai rekomenduoja šį bazinį rinkinį:

• DNSSEC įjungtas ir validuojamas, kai tai palaiko registras, registratorius ir DNS paslaugų teikėjas
• DS įrašai peržiūrimi po kiekvienos DNS paslaugų teikėjo migracijos
• Dokumentuotas KSK ir ZSK periodinio keitimo procesas, kai raktus valdo klientas
• Registro užraktas įjungtas pirminiams produkciniams, tapatybės, API, mokėjimų ir el. pašto domenams
• Registratoriaus užraktas įjungtas visiems domenams, nebent dokumentuota laikina išimtis
• MFA taikomas visiems registratoriaus ir DNS paslaugų teikėjo naudotojams
• Privilegijuoti naudotojai apriboti, vardiniai, patvirtinti ir peržiūrimi
• „Break-glass“ prieiga dokumentuota ir ištestuota
• Zonos failo stebėsena su įspėjimais dėl NS, DS, DNSKEY, MX, TXT, A, AAAA, CNAME, CAA ir pakaitos simbolių pakeitimų
• Išorinė stebėsena iš kelių sprendiklių ir regionų
• Įrodymai saugomi ISVS saugykloje

Clarysec įmonių Kriptografinių kontrolės priemonių politika Kriptografinių kontrolės priemonių politika suteikia valdysenos pagrindą DNSSEC raktams:

Turi būti tvarkomas centralizuotas raktų valdymo registras, kuriame registruojami visi kriptografiniai raktai, jų gyvavimo ciklo būsena, priskirti atsakingi saugotojai ir naudojimo kontekstai.

Iš skyriaus „Valdysenos reikalavimai“, politikos punktas 5.2.

Jei jūsų organizacija tiesiogiai valdo DNSSEC raktus arba kontroliuoja DS paskelbimą registratoriuje, raktų valdymo registras turi dokumentuoti raktų saugojimo atsakomybę, gyvavimo ciklo būseną, periodinio keitimo datas ir tvirtinimo įgaliojimus. Jei DNS paslaugų teikėjas valdo DNSSEC raktus, tiekėjo įrašas turi paaiškinti šią atsakomybę ir įtraukti patikinimo įrodymus.

Registratoriaus prieigos valdysena: MFA, mažiausių privilegijų principas ir avarinė kontrolė

Registratoriaus paskyros dažnai sukuriamos ankstyvame įmonės gyvavimo etape, o vėliau pamirštamos organizacijai bręstant. Steigėjai, agentūros, kūrėjai, finansų naudotojai ir MSP gali turėti istorinę prieigą. Tai rimtas kontrolės priemonių trūkumas.

Clarysec Naudotojų paskyrų ir privilegijų valdymo politika - MVĮ Naudotojų paskyrų ir privilegijų valdymo politika - MVĮ nustato:

Padidintoms arba administratoriaus privilegijoms reikalingas papildomas Generalinio vadovo arba IT vadovo patvirtinimas; jos turi būti dokumentuotos, terminuotos ir periodiškai peržiūrimos.

Iš skyriaus „Politikos įgyvendinimo reikalavimai“, politikos punktas 6.2.2.

Tai tiesiogiai taikykite registratoriaus ir DNS paslaugų teikėjo prieigai:

• Nenaudokite bendrų registratoriaus administratoriaus paskyrų
• MFA kiekvienam naudotojui, pageidautina atsparus sukčiavimui el. paštu, kai palaikoma
• Vardiniai avariniai kontaktai su dokumentuotais įgaliojimais
• Atsiskaitymų naudotojai, kai įmanoma, atskirti nuo techninių administratorių
• Nedelsiant pašalinami buvę darbuotojai, agentūros ir tiekėjai
• Kritinių domenų privilegijuotos prieigos peržiūra atliekama kas ketvirtį
• Išimtys registruojamos su galiojimo pabaigos datomis
• Ištestuotos avarinio atrakinimo ir atkūrimo procedūros, kurios nesukuria nesaugių produkcinių pakeitimų

Registro užrakto įrodymai turi apimti ekrano kopijas arba registratoriaus patvirtinimus, rodančius įjungtą būseną, autorizuotus kontaktus, atrakinimo procesą ir paskutinės peržiūros datą.

Zonos pakeitimų kontrolė: maži DNS redagavimai, didelis poveikis verslui

DNS pakeitimai apgaulingai maži. TXT įrašas gali patvirtinti SaaS platformos nuosavybę. CNAME gali nukreipti klientus į naują aplinką. MX įrašas gali peradresuoti paštą. CAA įrašas gali paveikti sertifikatų išdavimą. Neteisingas DS įrašas gali lemti, kad pasirašytas domenas nebus validuojamas.

Clarysec Pakeitimų valdymo politika - MVĮ Pakeitimų valdymo politika - MVĮ nustato:

Visi pakeitimai turi būti pateikiami kaip pakeitimo prašymas (el. paštu, forma arba pagalbos tarnybos užklausa).

Iš skyriaus „Valdysenos reikalavimai“, politikos punktas 5.1.1.

Įmonių klientams Clarysec Pakeitimų valdymo politika Pakeitimų valdymo politika padidina įrodymų lūkestį:

Visi pakeitimų prašymai, peržiūros, patvirtinimai ir susiję įrodymai turi būti registruojami centralizuotoje Pakeitimų valdymo sistemoje.

Iš skyriaus „Politikos įgyvendinimo reikalavimai“, politikos punktas 6.1.1.

Zenith Blueprint tai sustiprina etapo „Kontrolės praktikoje“ 21 žingsnyje:

Pasirinkite 2–3 naujausius sistemos arba konfigūracijos pakeitimus ir patikrinkite, ar jie buvo apdoroti per jūsų formalią pakeitimų valdymo darbo eigą.

✓ Ar rizikos buvo įvertintos? ✓ Ar patvirtinimai buvo dokumentuoti? ✓ Ar buvo įtrauktas grąžinimo į ankstesnę būseną planas?

Patvirtinkite, kad pakeitimai buvo įgyvendinti kaip suplanuota ir kad visi incidentai arba netikėti poveikiai buvo užregistruoti. Peržiūrėkite žurnalus, versijų kontrolės skirtumus arba audito pėdsakus iš tokių priemonių kaip ServiceNow, Jira arba Git. Užfiksuokite šį procesą pakeitimų įrašų suvestinės žurnale audito nuorodoms.

Iš etapo „Kontrolės praktikoje“, 21 žingsnis: kontrolės priemonės nuo 8.27 iki 8.34.

DNS skirtame pakeitimo įraše turi būti nurodytas paveiktas domenas ir zona, įrašo tipas, reikšmės prieš ir po pakeitimo, verslo pagrindimas, rizikos vertinimas, įgyvendinimo langas, tvirtintojas, įgyvendintojas, tikrintojas, DNS propagacijos patikros, DNSSEC validavimas, grąžinimo į ankstesnę būseną planas, stebėsena po pakeitimo ir eksportuoti įrodymai.

Audito principas paprastas: DNS pakeitimai turi būti atsekami nuo užklausos iki patvirtinimo, įgyvendinimo ir patikrinimo.

Stebėsena ir žurnalinis registravimas: aptikite DNS pakeitimą anksčiau nei klientai

Stipri DNS valdysenos programa daro prielaidą, kad prevencija gali nesuveikti. Stebėsena turi pakankamai greitai aptikti netikėtą pakeitimą, kad palaikytų reagavimą į incidentus.

Clarysec Tinklo saugumo politika - MVĮ Tinklo saugumo politika - MVĮ aiškiai nustato:

DNS žurnalinis registravimas turi būti įjungtas, kad būtų palaikoma grėsmių paieška ir reagavimas į incidentus

Iš skyriaus „Politikos įgyvendinimo reikalavimai“, politikos punktas 6.6.3.

Įmonių Žurnalinio registravimo ir stebėsenos politika Žurnalinio registravimo ir stebėsenos politika prasideda nuo to paties operacinio lūkesčio:

Visos taikymo sričiai priskirtos sistemos turi generuoti žurnalus, fiksuojančius:

Iš skyriaus „Politikos įgyvendinimo reikalavimai“, politikos punktas 6.1.1.

DNS ir registratoriaus valdysenos atveju taikymo sričiai priskirtos sistemos turi apimti registratoriaus portalus, DNS prieglobos konsoles, API pagrindu valdomą DNS, CI/CD konvejerius, kurie diegia DNS kaip kodą, SIEM įspėjimus ir išorines stebėsenos priemones.

Stebėsena turi būti integruota į reagavimą į incidentus. DNS įspėjimas, neturintis savininko, sunkumo lygio arba atkūrimo instrukcijos, yra tik triukšmas.

NIS2, DORA ir GDPR: DNS valdysena kaip reglamentavimo įrodymai

NIS2 Article 21 reikalauja tinkamų ir proporcingų techninių, operacinių ir organizacinių priemonių rizikoms tinklų ir informacinėms sistemoms valdyti bei incidentų poveikiui mažinti. DNS valdysena natūraliai siejasi su turto valdymu, prieigos kontrole, kriptografija, tiekimo grandinės saugumu, incidentų valdymu, veiklos tęstinumu ir veiksmingumo vertinimu.

NIS2 Article 20 taip pat nustato kibernetinį saugumą kaip valdymo organo atsakomybę. Valdyboms nereikia tvirtinti kiekvieno TXT įrašo, tačiau jos turi suprasti, ar kritiniai domenai apsaugoti DNSSEC, registro užraktu, MFA, stebėsena ir ištestuotu atkūrimu. Reikšmingiems incidentams NIS2 Article 23 nustato etapinius pranešimus, įskaitant ankstyvąjį perspėjimą per 24 valandas, pranešimą apie incidentą per 72 valandas ir galutinę ataskaitą ne vėliau kaip per vieną mėnesį po pranešimo apie incidentą.

Reglamentuojamiems finansų subjektams DORA taikomas nuo 2025 m. sausio 17 d. ir veikia kaip sektoriui skirta IRT atsparumo sistema, kai sutampa su NIS2. DNS dažnai palaiko kritines arba svarbias funkcijas, tokias kaip mokėjimų taikomosios programos, mobilioji bankininkystė, prekybos portalai, klientų tapatybė, sukčiavimo prevencijos sistemos, API šliuzai ir trečiųjų šalių integracijos. DORA įrodymai turi rodyti IRT turto priklausomybių atvaizdavimą, incidentų klasifikavimą, atsparumo testavimą, trečiųjų šalių rizikos valdymą ir atkūrimo planavimą DNS bei registratoriaus nesuveikimo scenarijams.

DNS incidentas automatiškai nėra GDPR asmens duomenų saugumo pažeidimas. Juo gali tapti, jei naudotojai nukreipiami į sukčiavimo svetainę, surenkami prisijungimo duomenys, peradresuojamas el. paštas, kuriame yra asmens duomenų, perimamas srautas į asmens duomenų tvarkymo sistemas arba reikšmingai paveikiamas asmens duomenų prieinamumas. GDPR Article 5 reikalauja vientisumo, konfidencialumo ir atskaitomybės. Article 32 reikalauja tinkamų tvarkymo saugumo priemonių. DNS valdysena pateikia įrodymus, kad domenų maršrutizavimas ir nuo DNS priklausomos paslaugos apsaugotos proporcingomis techninėmis ir organizacinėmis priemonėmis.

Sukurkite DNS įrodymų paketą per vieną savaitę

Praktinis DNS valdysenos trūkumų šalinimo planas gali būti greitai įgyvendintas, jei jis grindžiamas įrodymais.

1 diena: sukurkite domenų ir DNS paslaugų registrą

Pradėkite nuo Turto valdymo politikos - MVĮ reikalavimo dokumentuoti nuosavybę, paskirtį, prieigos teises ir atnaujinimo terminus.

2 diena: peržiūrėkite prieigą ir privilegijas

Eksportuokite registratoriaus ir DNS paslaugų teikėjo naudotojus. Pašalinkite pasenusias paskyras. Taikykite MFA. Identifikuokite administratorius. Užregistruokite privilegijuotų naudotojų patvirtinimo įrodymus ir dokumentuokite avarinę prieigą.

3 diena: validuokite DNSSEC ir užraktus

Kiekvienam kritiniam domenui patikrinkite DNSSEC grandinės validavimą, DS įrašo tikslumą, DNSKEY matomumą, registratoriaus užraktą ir registro užraktą. Jei DNSSEC valdo paslaugų teikėjas, dokumentuokite paslaugų teikėjo atsakomybę. Jei valdo klientas, įtraukite DNSSEC raktus ir atsakingus saugotojus į raktų valdymo registrą.

4 diena: paverskite DNS pakeitimus formaliais pakeitimų įrašais

Pasirinkite paskutinius tris DNS pakeitimus ir patikrinkite juos pagal Zenith Blueprint 21 žingsnio kriterijus: rizika įvertinta, patvirtinimas dokumentuotas, grąžinimo į ankstesnę būseną planas įtrauktas, įgyvendinta kaip suplanuota ir netikėtas poveikis užregistruotas. Sukurkite pakeitimų įrašų suvestinės žurnalą.

5 diena: susiekite stebėseną su reagavimu į incidentus

Patvirtinkite žurnalus ir įspėjimus dėl registratoriaus prisijungimo, zonos pakeitimų, DNSSEC pakeitimų, NS pakeitimų, MX pakeitimų, TXT pakeitimų, CAA pakeitimų ir paslaugų teikėjo pranešimų. Išsiųskite testinius įspėjimus SOC arba IT savininkui. Pridėkite įrodymus prie ISVS saugyklos.

6 diena: peržiūrėkite tiekėjų įsipareigojimus

Naudokite Zenith Blueprint 23 žingsnio gaires tiekėjų pakeitimų ir stebėsenos procedūroms:

Nustatykite paprastą, plečiamą procedūrą tiekėjų paslaugų pakeitimams (5.21) vertinti, pvz., migracijai į debesiją, naujiems subtvarkytojams arba infrastruktūros pertvarkymui. Apibrėžkite paleidiklius, kuriems reikalingas pakartotinis saugumo vertinimas. Tada įgyvendinkite pasikartojantį tiekėjų stebėsenos ritmą (5.22), priskirkite savininkus kritiniams tiekėjams ir užtikrinkite, kad veikimas, atitiktis ir rizikos būtų peržiūrimi bent kartą per metus.

Iš etapo „Kontrolės praktikoje“, 23 žingsnis: organizacinės kontrolės priemonės nuo 5.19 iki 5.37.

Clarysec įmonių Trečiųjų šalių ir tiekėjų saugumo politika Trečiųjų šalių ir tiekėjų saugumo politika suteikia sutartinį pagrindą:

Sutartyse su tiekėjais turi būti įtraukta:

Iš skyriaus „Valdysenos reikalavimai“, politikos punktas 5.3.

7 diena: atlikite stalo pratybas

Imituokite neautorizuotą NS įrašo pakeitimą. Komanda turi jį aptikti, klasifikuoti, eskaluoti, susisiekti su registratoriumi, prireikus inicijuoti registro užrakto procedūras, atkurti teisingą delegavimą, validuoti DNSSEC, informuoti suinteresuotąsias šalis, įvertinti GDPR poveikį ir nuspręsti, ar pasiekti NIS2 arba DORA pranešimo slenksčiai. Užfiksuokite įgytą patirtį ir atnaujinkite procedūras.

Audito klausimai, dažnos išvados ir valdybos rodikliai

DNS valdysenos auditas retai atliekamas tik per vieną prizmę.

Dažniausios išvados yra nuspėjamos.

Valdyboms ir vadovų komandoms reikia DNS rodiklių atsparumo kalba. Naudingi rodikliai: kritinių domenų, kuriuose DNSSEC įjungtas ir validuotas, procentas; domenų su registro užraktu procentas; registratoriaus administratorių skaičius; privilegijuotų naudotojų, peržiūrėtų per paskutinį ketvirtį, procentas; DNS pakeitimų, įgyvendintų be formalių užklausų, skaičius; vidutinis neautorizuoto DNS pakeitimo aptikimo laikas; vidutinis teisingos DNS konfigūracijos atkūrimo laikas; domenai, kurių galiojimas baigiasi per 90 dienų; atliktos tiekėjų peržiūros ir neišspręsti DNS stebėsenos įspėjimai.

Paverskite DNS paslėptą riziką auditui tinkamais įrodymais

Jei jūsų organizacija per pastaruosius šešis mėnesius neperžiūrėjo domenų ir DNS valdysenos, laikykite, kad atsirado nukrypimų. Pradėkite nuo kritinių produkcinių domenų, tada plėskite į regioninius domenus, gynybinius domenus, testavimo domenus, įsigijimų domenus ir domenus, kuriuos valdo agentūros arba dukterinės įmonės.

Clarysec gali padėti pereiti nuo padrikų registratoriaus ekrano kopijų prie struktūrizuoto įrodymų paketo naudojant:

• Zenith Blueprint: auditoriaus 30 žingsnių veiksmų planą Zenith Blueprint, skirtą nuosekliam tinklo paslaugų, pakeitimų valdymo, žurnalinio registravimo, stebėsenos ir tiekėjų kontrolės priemonių validavimui
• Zenith Controls: kelių atitikties sričių gidą Zenith Controls, skirtą DNSSEC, registro užrakto, tiekėjų stebėsenos ir zonos pakeitimų valdysenos susiejimui su ISO/IEC 27001:2022, NIS2, DORA, GDPR, NIST ir COBIT 2019 perspektyvomis
• Clarysec politikų šablonus, įskaitant Turto valdymo politika - MVĮ, Pakeitimų valdymo politika - MVĮ, Naudotojų paskyrų ir privilegijų valdymo politika - MVĮ, Tinklo saugumo politika - MVĮ, Turto valdymo politika, Pakeitimų valdymo politika, Žurnalinio registravimo ir stebėsenos politika, Kriptografinių kontrolės priemonių politika ir Trečiųjų šalių ir tiekėjų saugumo politika

Jūsų domenas yra priekinės durys į jūsų skaitmeninį verslą. 2026 m. auditoriai, reguliuotojai, klientai ir valdybos tikėsis, kad įrodysite, jog šios durys užrakintos, stebimos, atkuriamos ir valdomos.

Atsisiųskite Clarysec priemonių rinkinį, atlikite vienos savaitės DNS įrodymų paketo pratimą arba užsisakykite Clarysec vertinimą, kad DNS ir registratoriaus valdyseną paverstumėte auditui tinkamais įrodymais dar iki savo pirmadienio ryto krizės.