Küsimus. Kuidas saavad administraatorid kasutada DNS-i telemeetriat NetFlow andmete täiendamiseks ohtude tuvastamisel ja peatamisel?
David Ratner, Hyas tegevjuht: DevSecOpsi meeskonnad tuginesid paljude aastate jooksul suuresti vooandmetele (NetFlow ja sarnase tehnoloogia kogutud teave), et saada ülevaade nende võrkudes toimuvatest sündmustest. Vooandmete kasulikkus on aga pilvele ülemineku ja võrgu keerukuse suurenemisega kahanenud.
Võrguliikluse jälgimine on uus suur andmeprobleem. Te kas proovite väiksemast vooandmete hulgast või kannate ulatuslikuma komplekti saamisel suuri kulusid. Kuid isegi kõigi andmetega on pahatahtlikule tegevusele viitavate peente anomaalsete juhtumite tuvastamine (võib-olla ainult ühe või mõne seadme ja suhteliselt väikese liiklusmahuga seotud) nagu nõela otsimine heinakuhjast.
Administraatorid ja turvameeskonnad saavad DNS-telemeetria abil taastada oma võrkude nähtavuse. Seda on lihtsam ja odavam jälgida kui andmete voogu ning see suudab ohu luureandmete põhjal tuvastada tundmatuid, anomaalseid või pahatahtlikke domeene. Need teenused võivad hoiatada DevSecOpsi administraatoreid ja anda teavet selle kohta, kust intsidendi uurimiseks täpselt otsida. Vajadusel saavad administraatorid juurdepääsu vastavatele vooandmetele, et saada sündmuse kohta täiendavat teavet, tuvastada, kas sündmus on kahjutu või pahatahtlik, ja peatada pahatahtlikud tegevused. DNS-telemeetria lahendab suure andmeprobleemi, võimaldades meeskondadel kiiremini ja tõhusamalt tegeleda tähelepanu vajavate valdkondadega.
Lihtne viis probleemi visualiseerimiseks on kujutada ette, et naabruskonnas on kõik taksofonid välja pandud, et pealt kuulata kuritegeliku tegevusega seotud kõnesid. Iga taksofoni aktiivne jälgimine ja igast taksofonist tehtud kõne sisu jälgimine oleks uskumatult tüütu. Kuid selle analoogia kohaselt teavitab DNS-i jälgimine teid, et teatud taksofon helistas, millal see helistas ja kellele helistas. Selle teabe abil saate seejärel teha päringuid vooandmete kohta, et saada täiendavat asjakohast teavet, näiteks kas teises otsas olev isik võttis kõne vastu ja kui kaua ta rääkis.
Tegelik stsenaarium võib ilmneda järgmiselt: teie DNS-i jälgimissüsteem märkab, et mitu seadet helistavad domeenile, mis on märgitud anomaalseks ja potentsiaalselt pahatahtlikuks. Kuigi seda konkreetset domeeni pole kunagi varem ründes kasutatud, on see ebatavaline, anomaalne ning nõuab täiendavat ja viivitamatut uurimist. See käivitab hoiatuse, paludes administraatoritel küsida nende konkreetsete seadmete vooandmeid ja konkreetset suhtlust selle domeeniga. Nende andmete abil saate kiiresti kindlaks teha, kas pahatahtlikku tegevust tegelikult toimub, ja kui see nii on, saate blokeerida side, lõigates pahavara selle C2 infrastruktuurist välja ja peatades rünnaku enne suurema kahju tekkimist. Teisest küljest võis anomaalsel liiklusel olla mõni õigustatud põhjus ja see pole tegelikult alatu – võib-olla pöördub seade värskenduste saamiseks lihtsalt uue serveri poole. Mõlemal juhul teate nüüd kindlalt.
