5 tegn på, at din DNS-infrastruktur ikke er klar til NIS2
Af Jens Arnfelt
De fleste organisationer opdager først deres DNS, når noget går galt — en hjemmeside, der forsvinder, eller e-mails, der lander i spam. Med NIS2's krav om risikostyring er det ikke længere nok at reagere; man skal kunne vise, at man har styr på risiciene på forhånd. Her er fem konkrete tegn på, at din DNS-infrastruktur ikke er klar.
1. Du har ikke DNSSEC aktiveret
Uden DNSSEC kan dine DNS-svar i princippet forfalskes, uden at brugeren opdager det. Det er en velkendt og dokumenteret risiko, og fraværet af signering er ofte det første, en teknisk vurdering falder over. Sådan virker DNSSEC. Hurtigt tjek: slå dit domæne op, og se, om der findes DNSKEY- og DS-records.
2. Din e-mail mangler SPF, DKIM eller DMARC — eller DMARC står på p=none
SPF, DKIM og DMARC afgør, om andre kan misbruge dit domæne til phishing. Mangler de, står døren åben. Og har du DMARC, men den står på p=none, overvåger du blot — du håndhæver ikke. Mange organisationer bliver stående på p=none i årevis. Tjek din opsætning med DMARC-analysatoren.
3. Du overvåger ikke ændringer i din DNS
En ændring i en enkelt record — en omdirigeret MX, en ny A-record — kan være starten på et angreb eller en fejl med store konsekvenser. Hvis ingen bliver adviseret, når din DNS ændrer sig, mangler du en grundlæggende detektionsevne, som risikostyring forudsætter.
4. Du har single points of failure
Ligger hele din DNS hos én navneserver eller én udbyder, er du sårbar over for netop det ene nedbrud. Anbefalingen er mindst to navneservere, gerne spredt på mere end én udbyder eller lokation, så en enkelt fejl ikke tager dig offline. Manglende redundans er svær at forsvare i en NIS2-sammenhæng.
5. Du ved ikke, hvem der kan ændre din DNS
DNS er nøglerne til dit domæne. Hvis du ikke kan svare på, hvem der har adgang til at ændre records — og om de konti har to-faktor og bliver ryddet op, når folk skifter rolle — så mangler du adgangsstyring på et kritisk sted. Ledelsesansvaret i NIS2 gør netop den slags spørgsmål relevante for topledelsen, ikke kun for it.
Sådan kommer du videre
Ingen af punkterne kræver et stort projekt for at komme i gang. Start med at få overblik:
- DNS-sikkerhedstjek — DNSSEC, navneservere og oplagte huller.
- DMARC-analysator — din e-mailbeskyttelse.
Kan du nikke genkendende til flere af de fem tegn, er det ikke et tegn på, at alt er galt — men på, at der er nogle konkrete, overkommelige forbedringer at tage fat på.