Spørgsmål: Hvordan kan administratorer bruge DNS-telemetri til at komplementere NetFlow-data til at opdage og stoppe trusler?
David Ratner, CEO, Hyas: I mange år var DevSecOps-teams stærkt afhængige af flowdata (informationen indsamlet af NetFlow og lignende teknologi) for at få indsigt i begivenheder, der fandt sted i deres netværk. Imidlertid er flowdatas anvendelighed aftaget med skiftet til skyen og øget netværkskompleksitet.
Overvågning af netværkstrafikken er det nye big data problem. Du prøver enten en mindre mængde flowdata eller pådrager dig de høje omkostninger ved at modtage et mere omfattende sæt. Men selv med alle dataene, er det stadig som at lede efter en nål i en høstak at opdage subtile unormale hændelser (måske involverer kun én eller en håndfuld enheder og relativt lavt trafikvolumen), der indikerer ondsindet aktivitet.
Administratorer og sikkerhedsteams kan genvinde synlighed i deres egne netværk med DNS-telemetri. Det er nemmere og billigere at overvåge end flowdata og kan identificere ukendte, anomale eller ondsindede domæner baseret på trusselsintelligensdata. Disse tjenester kan advare DevSecOps-administratorer og give oplysninger om præcis, hvor de skal lede for at undersøge hændelsen. Hvis det er nødvendigt, kan administratorer få adgang til de tilsvarende flowdata for at få yderligere handlingsorienterede oplysninger om hændelsen, identificere, om hændelsen er harmløs eller ondsindet, og stoppe ondsindet aktivitet i dens spor. DNS-telemetri løser big data-problemet ved at lade teams hurtigere og mere effektivt søge ind på de områder, der har brug for opmærksomhed.
En nem måde at visualisere problemet på er at forestille sig at sætte alle telefonautomater i et nabolag ud for at aflytte opkald relateret til kriminel aktivitet. Det ville være utrolig kedeligt at aktivt se hver betalingstelefon og overvåge indholdet af hvert opkald, der foretages fra hver betalingstelefon. Men i denne analogi vil DNS-overvågning give dig besked om, at en bestemt betalingstelefon foretog et opkald, hvornår den foretog det, og hvem den ringede til. Med disse oplysninger kan du derefter forespørge flowdata for at finde ud af yderligere relevant information, som om personen i den anden ende tog opkaldet, og hvor længe de talte.
Et scenarie i den virkelige verden kan forekomme som dette: Dit DNS-overvågningssystem bemærker, at flere enheder foretager opkald til et domæne, der er markeret som unormalt og potentielt ondsindet. Selvom dette særlige domæne aldrig har været brugt før i et angreb, er det usædvanligt, unormalt og kræver yderligere og øjeblikkelig undersøgelse. Dette udløser en advarsel, der beder administratorer om at forespørge flowdata for de bestemte enheder og den specifikke kommunikation med det pågældende domæne. Med disse data kan du hurtigt afgøre, om der rent faktisk sker ondsindet aktivitet, og hvis det er tilfældet, kan du blokere kommunikationen, afskære malwaren fra dens C2-infrastruktur og stoppe angrebet, før der sker større skade. På den anden side kan der have været en eller anden legitim grund til uregelmæssig trafik, og det er faktisk ikke ondsindet – måske søger enheden simpelthen ud til en ny server for at få opdateringer. Uanset hvad, nu ved du det med sikkerhed.
