W jaki sposób telemetria DNS pomaga wykrywać i zatrzymywać zagrożenia?

Pytanie: W jaki sposób administratorzy mogą wykorzystać telemetrię DNS do uzupełnienia danych NetFlow w wykrywaniu i powstrzymywaniu zagrożeń?

David Ratner, dyrektor generalny Hyas: Przez wiele lat zespoły DevSecOps w dużym stopniu polegały na danych dotyczących przepływu (informacje zbierane przez NetFlow i podobną technologię), aby uzyskać wgląd w zdarzenia występujące w ich sieciach. Jednak przydatność danych o przepływie zmniejszyła się wraz z przejściem do chmury i wzrostem złożoności sieci.

Monitorowanie ruchu sieciowego to nowy problem dużych zbiorów danych. Albo próbkujesz mniejszą ilość danych o przepływie, albo ponosisz wysokie koszty otrzymania bardziej wszechstronnego zestawu. Ale nawet przy wszystkich danych wykrywanie subtelnych nietypowych incydentów (być może obejmujących tylko jedno lub kilka urządzeń i stosunkowo niewielki ruch), które wskazują na złośliwą aktywność, nadal przypomina szukanie igły w stogu siana.

Administratorzy i zespoły ds. bezpieczeństwa mogą odzyskać wgląd we własne sieci dzięki telemetrii DNS. Jest to łatwiejsze i tańsze w monitorowaniu niż dane o przepływie i może identyfikować nieznane, nietypowe lub złośliwe domeny na podstawie danych analizy zagrożeń. Usługi te mogą ostrzegać administratorów DevSecOps i dostarczać informacji o tym, gdzie dokładnie szukać w celu zbadania incydentu. W razie potrzeby administratorzy mogą uzyskać dostęp do odpowiednich danych przepływu, aby uzyskać dodatkowe przydatne informacje o zdarzeniu, określić, czy zdarzenie jest nieszkodliwe, czy złośliwe, i zatrzymać nikczemne działania. Telemetria DNS rozwiązuje problem dużych zbiorów danych, umożliwiając zespołom szybsze i skuteczniejsze skoncentrowanie się na obszarach wymagających uwagi.

Łatwym sposobem na zobrazowanie problemu jest wyobraź sobie wytyczenie wszystkich automatów telefonicznych w okolicy w celu przechwycenia połączeń związanych z działalnością przestępczą. Aktywne obserwowanie każdego automatu telefonicznego i monitorowanie treści każdego połączenia wykonanego z każdego automatu byłoby niezwykle uciążliwe. Jednak w tej analogii monitorowanie DNS powiadomiłoby cię, że pewien automat telefoniczny wykonał połączenie, kiedy to zrobił i do kogo zadzwonił. Dzięki tym informacjom możesz następnie wyszukiwać dane dotyczące przepływu, aby uzyskać dodatkowe istotne informacje, na przykład, czy osoba po drugiej stronie odebrała połączenie i jak długo rozmawiała.

Rzeczywisty scenariusz może wyglądać następująco: Twój system monitorowania DNS zauważa wiele urządzeń wykonujących połączenia z domeną oznaczoną jako anomalia i potencjalnie złośliwa. Chociaż ta konkretna domena nigdy wcześniej nie była wykorzystywana w ataku, jest niezwykła, anomalna i wymaga dodatkowego i natychmiastowego zbadania. Spowoduje to wyzwolenie alertu, który zachęci administratorów do zapytania danych dotyczących przepływu dla tych konkretnych urządzeń i określonej komunikacji z tą domeną. Mając te dane, możesz szybko ustalić, czy szkodliwa aktywność rzeczywiście ma miejsce, a jeśli tak, możesz zablokować komunikację, odcinając złośliwe oprogramowanie od jego infrastruktury C2 i zatrzymując atak, zanim wyrządzi poważne szkody. Z drugiej strony mógł istnieć jakiś uzasadniony powód nietypowego ruchu, który w rzeczywistości nie jest nikczemny — być może urządzenie po prostu łączy się z nowym serwerem w celu uzyskania aktualizacji. Tak czy inaczej, teraz już wiesz na pewno.