প্রশ্ন: প্রশাসকরা কীভাবে হুমকি সনাক্তকরণ এবং বন্ধ করার জন্য নেটফ্লো ডেটা পরিপূরক করতে DNS টেলিমেট্রি ব্যবহার করতে পারেন?
ডেভিড রাটনার, সিইও, হায়াস: অনেক বছর ধরে, DevSecOps দলগুলি তাদের নেটওয়ার্কের মধ্যে ঘটতে থাকা ইভেন্টগুলির অন্তর্দৃষ্টি সংগ্রহ করতে ফ্লো ডেটা (NetFlow এবং অনুরূপ প্রযুক্তি দ্বারা সংগৃহীত তথ্য) এর উপর ব্যাপকভাবে নির্ভর করে। যাইহোক, ক্লাউডে স্থানান্তর এবং নেটওয়ার্ক জটিলতা বৃদ্ধির সাথে ফ্লো ডেটার উপযোগিতা হ্রাস পেয়েছে।
নেটওয়ার্ক ট্রাফিক মনিটরিং নতুন বড় ডেটা সমস্যা। আপনি হয় অল্প পরিমাণে প্রবাহ ডেটার নমুনা নিন বা আরও ব্যাপক সেট পাওয়ার জন্য উচ্চ খরচ বহন করুন। কিন্তু এমনকি সমস্ত ডেটার সাথেও, সূক্ষ্ম অস্বাভাবিক ঘটনা সনাক্ত করা (সম্ভবত মাত্র এক বা কয়েকটি ডিভাইস এবং তুলনামূলকভাবে কম-ভলিউম ট্র্যাফিক জড়িত) যা দূষিত কার্যকলাপ নির্দেশ করে তা এখনও খড়ের গাদায় সুই খোঁজার মতো।
প্রশাসক এবং নিরাপত্তা দল DNS টেলিমেট্রির মাধ্যমে তাদের নিজস্ব নেটওয়ার্কে দৃশ্যমানতা ফিরে পেতে পারে। ফ্লো ডেটার চেয়ে এটি নিরীক্ষণ করা সহজ এবং সস্তা এবং হুমকি গোয়েন্দা তথ্যের উপর ভিত্তি করে অজানা, অস্বাভাবিক বা দূষিত ডোমেন সনাক্ত করতে পারে। এই পরিষেবাগুলি DevSecOps প্রশাসকদের সতর্ক করতে পারে এবং ঘটনাটি তদন্ত করতে ঠিক কোথায় দেখতে হবে সে সম্পর্কে তথ্য সরবরাহ করতে পারে। প্রয়োজনে, অ্যাডমিনিস্ট্রেটররা ইভেন্ট সম্পর্কে অতিরিক্ত কার্যকরী তথ্য পেতে সংশ্লিষ্ট ফ্লো ডেটা অ্যাক্সেস করতে পারেন, ইভেন্টটি নির্দোষ বা দূষিত কিনা তা শনাক্ত করতে এবং এর ট্র্যাকগুলিতে খারাপ কার্যকলাপ বন্ধ করতে পারেন। DNS টেলিমেট্রি টিমগুলিকে আরও দ্রুত এবং দক্ষতার সাথে শূন্য দেওয়ার মাধ্যমে বড় ডেটা সমস্যার সমাধান করে যেগুলিতে মনোযোগের প্রয়োজন রয়েছে৷
সমস্যাটি কল্পনা করার একটি সহজ উপায় হল অপরাধমূলক কার্যকলাপের সাথে সম্পর্কিত কলগুলিকে আটকানোর জন্য একটি আশেপাশের সমস্ত পেফোনগুলিকে আটকে রাখার কল্পনা করা৷ প্রতিটি পেফোনকে সক্রিয়ভাবে দেখা এবং প্রতিটি পেফোন থেকে করা প্রতিটি কলের বিষয়বস্তু পর্যবেক্ষণ করা অবিশ্বাস্যভাবে ক্লান্তিকর হবে। যাইহোক, এই সাদৃশ্যে, DNS মনিটরিং আপনাকে অবহিত করবে যে একটি নির্দিষ্ট পেফোন কল করেছে, কখন এটি করেছে এবং কাকে কল করেছে। এই তথ্যের সাহায্যে, আপনি অতিরিক্ত প্রাসঙ্গিক তথ্য খুঁজে বের করতে ফ্লো ডেটা জিজ্ঞাসা করতে পারেন, যেমন অন্য প্রান্তে থাকা ব্যক্তি কলটি তুলেছেন কিনা এবং তারা কতক্ষণ কথা বলেছেন।
একটি বাস্তব-বিশ্বের দৃশ্যকল্প এইরকম ঘটতে পারে: আপনার DNS মনিটরিং সিস্টেম একাধিক ডিভাইসকে অস্বাভাবিক এবং সম্ভাব্য দূষিত হিসাবে পতাকাঙ্কিত একটি ডোমেনে কল করছে। যদিও এই নির্দিষ্ট ডোমেনটি আগে কখনও আক্রমণে ব্যবহার করা হয়নি, এটি অস্বাভাবিক, অস্বাভাবিক এবং অতিরিক্ত এবং তাত্ক্ষণিক তদন্তের প্রয়োজন৷ এটি একটি সতর্কতা ট্রিগার করে, প্রশাসকদের সেই নির্দিষ্ট ডিভাইসগুলির জন্য এবং সেই ডোমেনের সাথে নির্দিষ্ট যোগাযোগের জন্য ফ্লো ডেটা জিজ্ঞাসা করতে প্ররোচিত করে। সেই ডেটার সাহায্যে, আপনি দ্রুত নির্ণয় করতে পারেন যে দূষিত কার্যকলাপ আসলেই ঘটছে কিনা এবং, যদি তা হয়, তাহলে আপনি যোগাযোগ ব্লক করতে পারেন, ম্যালওয়্যারটিকে এর C2 অবকাঠামো থেকে বন্ধ করে দিতে পারেন এবং বড় ক্ষতি হওয়ার আগেই আক্রমণ বন্ধ করতে পারেন। অন্যদিকে, অস্বাভাবিক ট্র্যাফিকের জন্য কিছু বৈধ কারণ থাকতে পারে এবং এটি আসলে খারাপ নয় - হতে পারে ডিভাইসটি কেবল আপডেটের জন্য একটি নতুন সার্ভারের সাথে যোগাযোগ করছে। যেভাবেই হোক, এখন আপনি নিশ্চিত জানেন।
