سؤال: كيف يمكن للمسؤولين استخدام قياس DNS عن بعد لاستكمال بيانات NetFlow في اكتشاف التهديدات وإيقافها؟
ديفيد راتنر، الرئيس التنفيذي لشركة Hyas: لسنوات عديدة، اعتمدت فرق DevSecOps بشكل كبير على بيانات التدفق (المعلومات التي تم جمعها بواسطة NetFlow والتكنولوجيا المماثلة) للحصول على نظرة ثاقبة للأحداث التي تحدث داخل شبكاتهم. ومع ذلك، فقد تضاءلت فائدة تدفق البيانات مع التحول إلى السحابة وزيادة تعقيد الشبكة.
تعد مراقبة حركة مرور الشبكة مشكلة البيانات الضخمة الجديدة. إما أن تأخذ عينة من كمية أقل من بيانات التدفق أو تتحمل تكاليف عالية لتلقي مجموعة أكثر شمولاً. ولكن حتى مع وجود كل البيانات، فإن اكتشاف الحوادث الشاذة الدقيقة (ربما تتضمن جهازًا واحدًا فقط أو مجموعة من الأجهزة وحركة مرور منخفضة الحجم نسبيًا) التي تشير إلى نشاط ضار لا يزال أشبه بالبحث عن إبرة في كومة قش.
يمكن للمسؤولين وفرق الأمان استعادة الرؤية في شبكاتهم الخاصة باستخدام قياس نظام أسماء النطاقات (DNS) عن بُعد. تعتبر مراقبتها أسهل وأرخص من مراقبة بيانات التدفق ويمكنها تحديد المجالات غير المعروفة أو الشاذة أو الضارة بناءً على بيانات الاستخبارات المتعلقة بالتهديدات. يمكن لهذه الخدمات تنبيه مسؤولي DevSecOps وتوفير معلومات حول المكان الذي يجب البحث فيه بالضبط للتحقيق في الحادث. إذا لزم الأمر، يمكن للمسؤولين الوصول إلى بيانات التدفق المقابلة للحصول على معلومات إضافية قابلة للتنفيذ حول الحدث، وتحديد ما إذا كان الحدث غير ضار أو ضار، وإيقاف الأنشطة الضارة في مساراته. يعمل القياس عن بعد لنظام أسماء النطاقات (DNS) على حل مشكلة البيانات الضخمة من خلال السماح للفرق بالتركيز بسرعة وكفاءة أكبر على المناطق التي تحتاج إلى الاهتمام.
إحدى الطرق السهلة لتصور المشكلة هي تخيل مراقبة جميع الهواتف العمومية في أحد الأحياء لاعتراض المكالمات المتعلقة بالنشاط الإجرامي. إن المراقبة النشطة لكل هاتف عمومي ومراقبة محتوى كل مكالمة يتم إجراؤها من كل هاتف عمومي ستكون أمرًا شاقًا للغاية. ومع ذلك، في هذا التشبيه، ستُعلمك مراقبة DNS بأن هاتفًا عموميًا معينًا أجرى مكالمة، ومتى أجرى ذلك، ومن اتصل. باستخدام هذه المعلومات، يمكنك بعد ذلك الاستعلام عن بيانات التدفق لمعرفة معلومات إضافية ذات صلة، مثل ما إذا كان الشخص على الطرف الآخر قد استقبل المكالمة ومدة التحدث.
قد يحدث سيناريو في العالم الحقيقي على النحو التالي: يلاحظ نظام مراقبة DNS لديك أجهزة متعددة تجري مكالمات إلى مجال تم وضع علامة عليه على أنه شاذ ومن المحتمل أن يكون ضارًا. على الرغم من أن هذا المجال بالذات لم يتم استخدامه من قبل في أي هجوم، إلا أنه غير معتاد، وشاذ، ويتطلب تحقيقًا إضافيًا وفوريًا. يؤدي هذا إلى تشغيل تنبيه، ويطالب المسؤولين بالاستعلام عن بيانات التدفق لتلك الأجهزة المحددة والاتصال المحدد بهذا المجال. باستخدام هذه البيانات، يمكنك تحديد ما إذا كان هناك نشاط ضار يحدث بالفعل بسرعة، وإذا حدث ذلك، يمكنك حظر الاتصال وقطع البرامج الضارة عن البنية التحتية C2 الخاصة بها وإيقاف الهجوم قبل حدوث ضرر كبير. من ناحية أخرى، قد يكون هناك سبب مشروع لحركة المرور الشاذة، وهو ليس في الواقع أمرًا شائنًا - ربما يتصل الجهاز ببساطة بخادم جديد للحصول على التحديثات. وفي كلتا الحالتين، الآن أنت تعرف بالتأكيد.
