Comment la télémétrie DNS aide-t-elle à détecter et arrêter les menaces ?

Question : Comment les administrateurs peuvent-ils utiliser la télémétrie DNS pour compléter les données NetFlow afin de détecter et d'arrêter les menaces ?

David Ratner, PDG, Hyas : Pendant de nombreuses années, les équipes DevSecOps se sont largement appuyées sur les données de flux (les informations collectées par NetFlow et des technologies similaires) pour obtenir des informations sur les événements se produisant au sein de leurs réseaux. Cependant, l’utilité des données de flux a diminué avec le passage au cloud et la complexité croissante des réseaux.

La surveillance du trafic réseau est le nouveau problème du Big Data. Soit vous échantillonnez une plus petite quantité de données de flux, soit vous engagez des coûts élevés pour recevoir un ensemble plus complet. Mais même avec toutes les données, détecter des incidents anormaux subtils (impliquant peut-être un ou plusieurs appareils et un trafic relativement faible) qui indiquent une activité malveillante revient toujours à chercher une aiguille dans une botte de foin.

Les administrateurs et les équipes de sécurité peuvent retrouver une visibilité sur leurs propres réseaux grâce à la télémétrie DNS. Il est plus facile et moins coûteux à surveiller que les données de flux et peut identifier les domaines inconnus, anormaux ou malveillants sur la base des données de renseignement sur les menaces. Ces services peuvent alerter les administrateurs DevSecOps et fournir des informations sur l'endroit exact où chercher pour enquêter sur l'incident. Si nécessaire, les administrateurs peuvent accéder aux données de flux correspondantes pour obtenir des informations exploitables supplémentaires sur l'événement, identifier si l'événement est inoffensif ou malveillant et stopper net toute activité néfaste. La télémétrie DNS résout le problème du Big Data en permettant aux équipes de se concentrer plus rapidement et plus efficacement sur les domaines qui nécessitent une attention particulière.

Une façon simple de visualiser le problème est d’imaginer surveiller tous les téléphones publics d’un quartier pour intercepter les appels liés à des activités criminelles. Surveiller activement chaque téléphone public et surveiller le contenu de chaque appel effectué depuis chaque téléphone public serait incroyablement fastidieux. Cependant, dans cette analogie, la surveillance DNS vous informerait qu'un certain téléphone public a passé un appel, quand il l'a passé et qui il a appelé. Avec ces informations, vous pouvez ensuite interroger les données de flux pour obtenir des informations supplémentaires pertinentes, par exemple si la personne à l'autre bout du fil a décroché l'appel et combien de temps elle a parlé.

Un scénario réel pourrait se produire comme celui-ci : votre système de surveillance DNS remarque plusieurs appareils effectuant des appels vers un domaine signalé comme anormal et potentiellement malveillant. Même si ce domaine particulier n’a jamais été utilisé auparavant dans une attaque, il est inhabituel, anormal et nécessite une enquête supplémentaire et immédiate. Cela déclenche une alerte, invitant les administrateurs à interroger les données de flux pour ces appareils particuliers et la communication spécifique avec ce domaine. Grâce à ces données, vous pouvez rapidement déterminer si une activité malveillante est réellement en cours et, si c'est le cas, vous pouvez bloquer la communication, coupant ainsi le logiciel malveillant de son infrastructure C2 et arrêtant l'attaque avant que des dommages majeurs ne soient causés. D’un autre côté, il peut y avoir une raison légitime à un trafic anormal, et ce n’est pas vraiment néfaste : peut-être que l’appareil contacte simplement un nouveau serveur pour des mises à jour. Quoi qu’il en soit, maintenant vous en êtes sûr.