Pertanyaan: Bagaimana administrator menggunakan telemetri DNS untuk melengkapi data NetFlow dalam mendeteksi dan menghentikan ancaman?
David Ratner, CEO, Hyas: Selama bertahun-tahun, tim DevSecOps sangat bergantung pada aliran data (informasi yang dikumpulkan oleh NetFlow dan teknologi serupa) untuk mengumpulkan wawasan tentang peristiwa yang terjadi dalam jaringan mereka. Namun, kegunaan aliran data telah berkurang dengan beralihnya ke cloud dan meningkatnya kompleksitas jaringan.
Pemantauan lalu lintas jaringan adalah masalah data besar yang baru. Anda dapat mengambil sampel data aliran dalam jumlah yang lebih kecil atau mengeluarkan biaya tinggi untuk menerima set yang lebih komprehensif. Tetapi bahkan dengan semua data, mendeteksi insiden anomali halus (mungkin hanya melibatkan satu atau beberapa perangkat dan lalu lintas dengan volume yang relatif rendah) yang menunjukkan aktivitas jahat masih seperti mencari jarum di tumpukan jerami.
Administrator dan tim keamanan dapat memperoleh kembali visibilitas ke jaringan mereka sendiri dengan telemetri DNS. Lebih mudah dan lebih murah untuk memantau daripada mengalirkan data dan dapat mengidentifikasi domain yang tidak diketahui, anomali, atau berbahaya berdasarkan data intelijen ancaman. Layanan ini dapat mengingatkan administrator DevSecOps dan memberikan informasi tentang ke mana harus mencari untuk menyelidiki insiden tersebut. Jika perlu, administrator dapat mengakses data aliran yang sesuai untuk mendapatkan informasi tambahan yang dapat ditindaklanjuti tentang peristiwa tersebut, mengidentifikasi apakah peristiwa tersebut tidak berbahaya atau berbahaya, dan menghentikan aktivitas jahat di jalurnya. Telemetri DNS memecahkan masalah data besar dengan membiarkan tim lebih cepat dan efisien membidik area yang membutuhkan perhatian.
Cara mudah untuk memvisualisasikan masalah adalah membayangkan mengintai semua telepon umum di lingkungan untuk mencegat panggilan yang terkait dengan kegiatan kriminal. Menonton secara aktif setiap telepon umum dan memantau konten setiap panggilan yang dilakukan dari setiap telepon umum akan sangat membosankan. Namun, dalam analogi ini, pemantauan DNS akan memberi tahu Anda bahwa telepon umum tertentu melakukan panggilan, kapan melakukannya, dan siapa yang menelepon. Dengan informasi ini, Anda kemudian dapat melakukan kueri data aliran untuk mengetahui informasi terkait tambahan, seperti apakah orang di ujung sana mengangkat panggilan dan berapa lama mereka berbicara.
Skenario dunia nyata mungkin terjadi seperti ini: Sistem pemantauan DNS Anda melihat beberapa perangkat melakukan panggilan ke domain yang ditandai sebagai anomali dan berpotensi berbahaya. Meskipun domain khusus ini belum pernah digunakan sebelumnya dalam serangan, itu tidak biasa, anomali, dan memerlukan penyelidikan tambahan dan segera. Ini memicu peringatan, mendorong administrator untuk menanyakan data aliran untuk perangkat tertentu dan komunikasi spesifik dengan domain tersebut. Dengan data tersebut, Anda dapat dengan cepat menentukan apakah aktivitas jahat benar-benar terjadi dan, jika ya, Anda dapat memblokir komunikasi, memutus malware dari infrastruktur C2-nya, dan menghentikan serangan sebelum kerusakan besar terjadi. Di sisi lain, mungkin ada beberapa alasan yang sah untuk lalu lintas anomali, dan itu sebenarnya tidak jahat — mungkin perangkat hanya menjangkau server baru untuk pembaruan. Either way, sekarang Anda tahu pasti.
