Frage: Wie können Administratoren DNS-Telemetrie nutzen, um NetFlow-Daten bei der Erkennung und Abwehr von Bedrohungen zu ergänzen?
David Ratner, CEO, Hyas: Viele Jahre lang verließen sich DevSecOps-Teams stark auf Flussdaten (die von NetFlow und ähnlichen Technologien gesammelten Informationen), um Einblicke in Ereignisse in ihren Netzwerken zu gewinnen. Allerdings hat der Nutzen von Flussdaten mit der Verlagerung in die Cloud und der zunehmenden Netzwerkkomplexität abgenommen.
Die Überwachung des Netzwerkverkehrs ist das neue Big-Data-Problem. Entweder erfassen Sie eine kleinere Menge an Durchflussdaten oder es entstehen Ihnen die hohen Kosten für den Erhalt eines umfassenderen Satzes. Aber selbst mit all den Daten gleicht das Erkennen subtiler anormaler Vorfälle (die möglicherweise nur ein oder eine Handvoll Geräte betreffen und relativ wenig Datenverkehr betreffen), die auf böswillige Aktivitäten hinweisen, immer noch der Suche nach der Nadel im Heuhaufen.
Administratoren und Sicherheitsteams können mit DNS-Telemetrie wieder Einblick in ihre eigenen Netzwerke erhalten. Es ist einfacher und kostengünstiger zu überwachen als Flussdaten und kann anhand von Threat-Intelligence-Daten unbekannte, anomale oder bösartige Domänen identifizieren. Diese Dienste können DevSecOps-Administratoren alarmieren und Informationen darüber liefern, wo genau sie suchen müssen, um den Vorfall zu untersuchen. Bei Bedarf können Administratoren auf die entsprechenden Flussdaten zugreifen, um zusätzliche verwertbare Informationen über das Ereignis zu erhalten, festzustellen, ob das Ereignis harmlos oder böswillig ist, und schändliche Aktivitäten bereits im Vorfeld zu stoppen. DNS-Telemetrie löst das Big-Data-Problem, indem sie es Teams ermöglicht, sich schneller und effizienter auf die Bereiche zu konzentrieren, die Aufmerksamkeit erfordern.
Eine einfache Möglichkeit, sich das Problem vorzustellen, besteht darin, sich vorzustellen, dass alle Münztelefone in einer Nachbarschaft abgesteckt werden, um Anrufe im Zusammenhang mit kriminellen Aktivitäten abzufangen. Es wäre unglaublich mühsam, jedes Münztelefon aktiv zu überwachen und den Inhalt jedes Anrufs zu überwachen, der von jedem Münztelefon aus getätigt wird. In dieser Analogie würde Sie die DNS-Überwachung jedoch darüber informieren, dass ein bestimmtes Münztelefon einen Anruf getätigt hat, wann und wen es angerufen hat. Mit diesen Informationen können Sie dann Flussdaten abfragen, um zusätzliche relevante Informationen herauszufinden, z. B. ob die Person am anderen Ende den Anruf entgegengenommen hat und wie lange sie gesprochen hat.
Ein reales Szenario könnte wie folgt aussehen: Ihr DNS-Überwachungssystem bemerkt, dass mehrere Geräte Anrufe an eine Domäne tätigen, die als anomal und potenziell bösartig gekennzeichnet ist. Auch wenn diese bestimmte Domäne noch nie zuvor für einen Angriff verwendet wurde, ist sie ungewöhnlich und anomal und erfordert eine zusätzliche und sofortige Untersuchung. Dadurch wird eine Warnung ausgelöst, die Administratoren dazu auffordert, Flussdaten für diese bestimmten Geräte und die spezifische Kommunikation mit dieser Domäne abzufragen. Anhand dieser Daten können Sie schnell feststellen, ob tatsächlich böswillige Aktivitäten stattfinden. Ist dies der Fall, können Sie die Kommunikation blockieren, die Malware von ihrer C2-Infrastruktur abschneiden und den Angriff stoppen, bevor größerer Schaden entsteht. Andererseits könnte es einen legitimen Grund für den anomalen Datenverkehr gegeben haben, und dieser ist nicht wirklich schädlich – vielleicht greift das Gerät einfach auf einen neuen Server zu, um Updates zu erhalten. So oder so, jetzt wissen Sie es genau.
