Domanda: In che modo gli amministratori possono utilizzare la telemetria DNS per integrare i dati NetFlow nel rilevamento e nel blocco delle minacce?
David Ratner, amministratore delegato di Hyas: Per molti anni, i team DevSecOps hanno fatto molto affidamento sui dati di flusso (le informazioni raccolte da NetFlow e tecnologie simili) per ottenere informazioni dettagliate sugli eventi che si verificano all'interno delle loro reti. Tuttavia, l'utilità dei dati di flusso è diminuita con il passaggio al cloud e con l'aumento della complessità della rete.
Il monitoraggio del traffico di rete è il nuovo problema dei big data. Puoi campionare una quantità minore di dati di flusso oppure sostenere i costi elevati per ricevere un set più completo. Ma anche con tutti i dati, rilevare piccoli incidenti anomali (magari che coinvolgono solo uno o una manciata di dispositivi e un volume di traffico relativamente basso) che indicano attività dannose è ancora come cercare un ago in un pagliaio.
Gli amministratori e i team di sicurezza possono riacquistare visibilità nelle proprie reti con la telemetria DNS. È più semplice ed economico da monitorare rispetto al flusso di dati e può identificare domini sconosciuti, anomali o dannosi in base ai dati di intelligence sulle minacce. Questi servizi possono avvisare gli amministratori DevSecOps e fornire informazioni su dove cercare esattamente per indagare sull'incidente. Se necessario, gli amministratori possono accedere ai dati del flusso corrispondente per ottenere ulteriori informazioni utili sull'evento, identificare se l'evento è innocuo o dannoso e fermare sul nascere attività dannose. La telemetria DNS risolve il problema dei big data consentendo ai team di concentrarsi in modo più rapido ed efficiente sulle aree che richiedono attenzione.
Un modo semplice per visualizzare il problema è immaginare di presidiare tutti i telefoni pubblici di un quartiere per intercettare le chiamate relative ad attività criminali. Guardare attivamente ogni telefono pubblico e monitorare il contenuto di ogni chiamata effettuata da ciascun telefono pubblico sarebbe incredibilmente noioso. Tuttavia, in questa analogia, il monitoraggio DNS ti avviserebbe che un determinato telefono pubblico ha effettuato una chiamata, quando l'ha effettuata e chi ha chiamato. Con queste informazioni, puoi quindi eseguire query sui dati del flusso per scoprire ulteriori informazioni pertinenti, ad esempio se la persona dall'altra parte ha risposto alla chiamata e per quanto tempo ha parlato.
Potrebbe verificarsi uno scenario reale come questo: il tuo sistema di monitoraggio DNS rileva più dispositivi che effettuano chiamate a un dominio contrassegnato come anomalo e potenzialmente dannoso. Anche se questo particolare dominio non è mai stato utilizzato prima in un attacco, è insolito, anomalo e richiede ulteriori e immediate indagini. Ciò attiva un avviso, richiedendo agli amministratori di interrogare i dati del flusso per quei particolari dispositivi e la comunicazione specifica con quel dominio. Con questi dati, puoi determinare rapidamente se si sta effettivamente verificando un'attività dannosa e, in tal caso, puoi bloccare la comunicazione, isolando il malware dalla sua infrastruttura C2 e fermando l'attacco prima che si verifichino danni gravi. D'altra parte, potrebbe esserci stata qualche ragione legittima per il traffico anomalo, e in realtà non è nefasta: forse il dispositivo sta semplicemente contattando un nuovo server per gli aggiornamenti. Ad ogni modo, ora lo sai per certo.
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
