DNSFilter 公司公布2025 年度安全報告《2025 DNSFILTER ANNUAL SECURITY REPORT》。報告揭露,該公司目前每日處理高達 1,700 億次 DNS 解析,其中超過 2 億次被識別為活躍威脅並成功攔截。在 2023 年 10 月至 2024 年 9 月期間,整體網路威脅增長達 36%。
報告顯示,目前每 174 次的 DNS 解析中就有一次是惡意。假設用戶每天平均進行 5,000 次 DNS解析,這意味著用戶每天可能遭遇多達 29 次的威脅。這個比例較去年大幅提升,當時的威脅密度為每 1,000 次解析出現一次威脅。
在威脅行為模式方面,
報告發現部分惡意軟體域名展現出高頻率的「回連」(phone home)活動,每小時可能嘗試多達 300 次連線。這種異常的連線模式已成為識別惡意軟體感染的重要指標。在所有被封鎖的請求中,約 10-16% 為惡意內容,且這個比例在 2024 年 9 月持續上升,其中 2024 年 7 月創下最高紀錄,惡意內容佔所有被封鎖內容的 16.6%。
惡意軟體查詢量最高,新域名數量居冠
報告從兩個不同維度展現了網路威脅的全貌。在查詢量方面,惡意軟體相關解析佔據了所有威脅解析的 53.7%,是最主要的威脅來源,其次是釣魚與欺詐類,佔比 26.3%。新註冊域名相關解析則佔 13%,位居第三。
然而,從域名數量的角度來看,情況則大不相同。新註冊域名佔據了高達 68.5% 的威脅域名總數,遠超其他類別。惡意軟體域名和釣魚欺詐域名分別只佔 9.8% 和 11.5%。
這種差異顯示出攻擊者傾向使用大量新註冊的一次性域名來進行攻擊,而惡意軟體則傾向重複使用相同的域名進行連線嘗試。
報告特別指出,雖然 2024 年 7 月出現了最高的惡意軟體流量,但 8 月 15 日這一天創下了當年單日惡意軟體流量的最高紀錄。這些數據反映出網路威脅的動態特性,攻擊者不斷調整其策略,在不同時期採用不同的攻擊手法。
威脅類型分析顯示,惡意軟體查詢在過去一年增加了 14%,在 2024 年 7 月達到高峰,佔所有被封鎖內容請求的 3.66%,相較 2023 年 11 月的 1.704% 成長超過一倍。更值得注意的是,釣魚攻擊呈現驚人的 203% 增長,這與勒索軟體攻擊的分發策略轉變密切相關。
2024 年第三季的勒索軟體受害案件較第二季顯著增加,其中最令人擔憂的是,僅五大勒索軟體集團就佔了 40%攻擊活動。這五大勒索軟體集團分別為 RansomHub、PLAY、LockBit 3.0、MEOW 和 Hunters International,他們在 2024 年展現出高度的組織性和破壞力。
MSP 防護策略
在資安託管業者(MSP)的防護策略方面,報告發現 MSP 與一般企業在內容封鎖政策上存在明顯差異。93% 的 MSP 政策包含加密貨幣挖礦防護,而一般企業則為 88%。MSP 在網路存取管理上採取較為開放的態度,更注重威脅防護而非存取控制,這可從其較低的內容限制比例看出:MSP 對部落格和個人網站的封鎖率僅為 8%(一般企業為 13%),對串流媒體的封鎖率為 7%(一般企業為 11%)。
MSP 與一般企業對內容封鎖政策存在差異
報告特別指出,MSP 的網路流量主要集中在內容伺服器、資訊科技、商業、社交網路和媒體分享五大類別,合計佔整體流量近 80%。這反映出 MSP 更注重維持服務效能,確保這些重要查詢能快速且不受干擾地完成解析,同時也展現了 MSP 在資安防護與服務可用性之間的平衡策略。
這份調查結果突顯了威脅來源的動態性質,以及 MSP 在現代資安防護中扮演的獨特角色。隨著攻擊者不斷改變策略,靈活調整防護政策的重要性也日益突出。
DNS防護未來
DNSFilter 在報告中特別強調AI 技術應用於DNS防護的提升,包括開發專門用於識別早期威脅行為指標的弱監督模型。透過將 DNS 數據整合入安全架構,結合 AI 分析用戶活動模式和網路趨勢,可提前識別和阻擋潛在威脅。
隨著 AI 技術持續發展,報告建議組織加強 DNS 層的安全監控,採用 AI 驅動的威脅偵測系統,並建立主動式的安全防護策略。持續更新威脅情報,特別是針對新興網域的監控,將成為未來資安防護的重要環節。DNSFilter 強調,DNS 層的防護不僅能提供關鍵的可視性,更能在威脅造成實質危害前提前識別並阻擋,是現代資安架構中不可或缺的組成部分。