Pregunta: ¿Cómo pueden los administradores utilizar la telemetría DNS para complementar los datos de NetFlow a la hora de detectar y detener amenazas?
David Ratner, director ejecutivo de Hyas: Durante muchos años, los equipos de DevSecOps dependieron en gran medida de los datos de flujo (la información recopilada por NetFlow y tecnología similar) para obtener información sobre los eventos que ocurren dentro de sus redes. Sin embargo, la utilidad de los datos de flujo ha disminuido con el cambio a la nube y el aumento de la complejidad de la red.
Monitorear el tráfico de la red es el nuevo problema del big data. O toma muestras de una cantidad menor de datos de flujo o incurre en los altos costos de recibir un conjunto más completo. Pero incluso con todos los datos, detectar incidentes anómalos sutiles (quizás involucrando solo uno o un puñado de dispositivos y un volumen de tráfico relativamente bajo) que indican actividad maliciosa sigue siendo como buscar una aguja en un pajar.
Los administradores y equipos de seguridad pueden recuperar la visibilidad de sus propias redes con la telemetría DNS. Es más fácil y económico de monitorear que los datos de flujo y puede identificar dominios desconocidos, anómalos o maliciosos basándose en datos de inteligencia de amenazas. Estos servicios pueden alertar a los administradores de DevSecOps y proporcionar información sobre dónde buscar exactamente para investigar el incidente. Si es necesario, los administradores pueden acceder a los datos de flujo correspondientes para obtener información procesable adicional sobre el evento, identificar si el evento es inofensivo o malicioso y detener la actividad nefasta en seco. La telemetría DNS resuelve el problema de los big data al permitir que los equipos se concentren de manera más rápida y eficiente en las áreas que necesitan atención.
Una forma sencilla de visualizar el problema es imaginar que hay vigilados todos los teléfonos públicos de un vecindario para interceptar llamadas relacionadas con actividades delictivas. Observar activamente cada teléfono público y monitorear el contenido de cada llamada realizada desde cada teléfono público sería increíblemente tedioso. Sin embargo, en esta analogía, el monitoreo de DNS le notificaría que un determinado teléfono público realizó una llamada, cuándo la hizo y a quién llamó. Con esta información, puede consultar los datos de flujo para obtener información adicional pertinente, como si la persona del otro lado contestó la llamada y cuánto tiempo habló.
Un escenario del mundo real podría ocurrir como este: su sistema de monitoreo de DNS detecta que varios dispositivos realizan llamadas a un dominio marcado como anómalo y potencialmente malicioso. Aunque este dominio en particular nunca antes se ha utilizado en un ataque, es inusual, anómalo y requiere una investigación adicional e inmediata. Esto activa una alerta que solicita a los administradores que consulten los datos de flujo de esos dispositivos en particular y la comunicación específica con ese dominio. Con esos datos, puede determinar rápidamente si realmente se está produciendo actividad maliciosa y, si es así, puede bloquear la comunicación, desconectando el malware de su infraestructura C2 y deteniendo el ataque antes de que se produzca un daño importante. Por otro lado, puede haber alguna razón legítima para el tráfico anómalo, y en realidad no es nefasto: tal vez el dispositivo simplemente esté contactando a un nuevo servidor para obtener actualizaciones. De cualquier manera, ahora lo sabes con seguridad.
- blockchain
- carteras de criptomonedas
- intercambio crypto
- seguridad cibernética
- ciberdelincuentes
- La Ciberseguridad
- Lectura oscura
- departamento de seguridad nacional
- billeteras digitales
- cortafuegos
- Kaspersky
- el malware
- Mcafee
- NexBLOC
- Platón
- platón ai
- Inteligencia de datos de Platón
- Juego de Platón
- PlatónDatos
- juego de platos
- VPN
- seguridad del sitio web
