प्रश्न: व्यवस्थापक खतरों का पता लगाने और उन्हें रोकने में नेटफ्लो डेटा को पूरक करने के लिए डीएनएस टेलीमेट्री का उपयोग कैसे कर सकते हैं?
डेविड रैटनर, सीईओ, हयास: कई वर्षों तक, DevSecOps की टीमें अपने नेटवर्क के भीतर होने वाली घटनाओं के बारे में जानकारी प्राप्त करने के लिए प्रवाह डेटा (नेटफ्लो और इसी तरह की तकनीक द्वारा एकत्र की गई जानकारी) पर बहुत अधिक निर्भर थीं। हालांकि, फ्लो डेटा की उपयोगिता क्लाउड में शिफ्ट होने और नेटवर्क जटिलता में वृद्धि के साथ कम हो गई है।
नेटवर्क ट्रैफ़िक की निगरानी करना नई बड़ी डेटा समस्या है। आप या तो प्रवाह डेटा की एक छोटी मात्रा का नमूना लेते हैं या अधिक व्यापक सेट प्राप्त करने की उच्च लागतों को वहन करते हैं। लेकिन सभी डेटा के साथ भी, सूक्ष्म विषम घटनाओं का पता लगाना (शायद केवल एक या मुट्ठी भर डिवाइस और अपेक्षाकृत कम मात्रा वाले ट्रैफ़िक को शामिल करना) जो दुर्भावनापूर्ण गतिविधि को इंगित करते हैं, अभी भी एक घास के ढेर में सुई की तलाश करने जैसा है।
व्यवस्थापक और सुरक्षा दल DNS टेलीमेट्री के साथ अपने स्वयं के नेटवर्क में दृश्यता प्राप्त कर सकते हैं। प्रवाह डेटा की तुलना में निगरानी करना आसान और सस्ता है और खतरे के खुफिया डेटा के आधार पर अज्ञात, विषम, या दुर्भावनापूर्ण डोमेन की पहचान कर सकता है। ये सेवाएँ DevSecOps व्यवस्थापकों को सचेत कर सकती हैं और इस बारे में जानकारी प्रदान कर सकती हैं कि घटना की जाँच कहाँ करनी है। यदि आवश्यक हो, तो व्यवस्थापक ईवेंट के बारे में अतिरिक्त कार्रवाई योग्य जानकारी प्राप्त करने के लिए संबंधित प्रवाह डेटा तक पहुंच सकते हैं, यह पहचान सकते हैं कि ईवेंट हानिरहित या दुर्भावनापूर्ण है, और इसके ट्रैक में नापाक गतिविधि को रोक सकते हैं। डीएनएस टेलीमेट्री बड़ी डेटा समस्या को हल करती है, जिससे टीमों को उन क्षेत्रों में अधिक तेज़ी से और कुशलता से शून्य कर दिया जाता है जिन पर ध्यान देने की आवश्यकता होती है।
समस्या की कल्पना करने का एक आसान तरीका यह है कि आपराधिक गतिविधि से संबंधित कॉलों को इंटरसेप्ट करने के लिए पड़ोस के सभी पेफ़ोन को दांव पर लगाने की कल्पना करें। प्रत्येक पेफ़ोन को सक्रिय रूप से देखना और प्रत्येक पेफ़ोन से किए गए प्रत्येक कॉल की सामग्री की निगरानी करना अविश्वसनीय रूप से थकाऊ होगा। हालाँकि, इस सादृश्य में, DNS मॉनिटरिंग आपको सूचित करेगी कि एक निश्चित पेफ़ोन ने कॉल किया, जब उसने इसे बनाया, और इसे किसने कॉल किया। इस जानकारी के साथ, आप अतिरिक्त प्रासंगिक जानकारी का पता लगाने के लिए प्रवाह डेटा को क्वेरी कर सकते हैं, जैसे कि दूसरे छोर पर मौजूद व्यक्ति ने कॉल उठाया और उन्होंने कितनी देर तक बात की।
एक वास्तविक दुनिया का परिदृश्य इस तरह हो सकता है: आपका DNS मॉनिटरिंग सिस्टम एक डोमेन पर कॉल करने वाले कई उपकरणों को असामान्य और संभावित रूप से दुर्भावनापूर्ण के रूप में चिह्नित करता है। हालांकि इस विशेष डोमेन का पहले कभी किसी हमले में उपयोग नहीं किया गया है, यह असामान्य, असंगत है, और इसके लिए अतिरिक्त और तत्काल जांच की आवश्यकता है। यह एक चेतावनी ट्रिगर करता है, जो प्रशासकों को उन विशेष उपकरणों के लिए प्रवाह डेटा और उस डोमेन के साथ विशिष्ट संचार के लिए क्वेरी करने के लिए प्रेरित करता है। उस डेटा के साथ, आप जल्दी से यह निर्धारित कर सकते हैं कि क्या वास्तव में दुर्भावनापूर्ण गतिविधि हो रही है और, यदि ऐसा है, तो आप संचार को अवरुद्ध कर सकते हैं, मैलवेयर को इसके C2 बुनियादी ढांचे से काट सकते हैं और बड़ी क्षति होने से पहले हमले को रोक सकते हैं। दूसरी ओर, विषम ट्रैफ़िक के लिए कुछ वैध कारण हो सकते हैं, और यह वास्तव में नापाक नहीं है - हो सकता है कि डिवाइस केवल अपडेट के लिए एक नए सर्वर तक पहुंच रहा हो। किसी भी तरह, अब आप निश्चित रूप से जानते हैं।
