Pergunta: Como os administradores podem usar a telemetria DNS para complementar os dados do NetFlow na detecção e interrupção de ameaças?
David Ratner, CEO, Hyas: Durante muitos anos, as equipes de DevSecOps confiaram fortemente em dados de fluxo (informações coletadas pelo NetFlow e tecnologia semelhante) para obter insights sobre eventos que ocorriam em suas redes. No entanto, a utilidade dos dados de fluxo diminuiu com a mudança para a nuvem e o aumento da complexidade da rede.
Monitorar o tráfego de rede é o novo problema do big data. Ou você amostra uma quantidade menor de dados de fluxo ou incorre em altos custos para receber um conjunto mais abrangente. Mas mesmo com todos os dados, detectar incidentes anômalos sutis (talvez envolvendo apenas um ou alguns dispositivos e um volume de tráfego relativamente baixo) que indicam atividade maliciosa ainda é como procurar uma agulha num palheiro.
Administradores e equipes de segurança podem recuperar a visibilidade de suas próprias redes com a telemetria DNS. É mais fácil e barato monitorar do que dados de fluxo e pode identificar domínios desconhecidos, anômalos ou maliciosos com base em dados de inteligência de ameaças. Esses serviços podem alertar os administradores de DevSecOps e fornecer informações sobre exatamente onde procurar para investigar o incidente. Se necessário, os administradores podem acessar os dados de fluxo correspondentes para obter informações adicionais acionáveis sobre o evento, identificar se o evento é inócuo ou malicioso e interromper atividades nefastas em seu caminho. A telemetria DNS resolve o problema do big data, permitindo que as equipes se concentrem com mais rapidez e eficiência nas áreas que precisam de atenção.
Uma maneira fácil de visualizar o problema é imaginar todos os telefones públicos de uma vizinhança vigiados para interceptar chamadas relacionadas a atividades criminosas. Observar ativamente cada telefone público e monitorar o conteúdo de cada chamada feita em cada telefone público seria extremamente tedioso. Porém, nesta analogia, o monitoramento de DNS notificaria que um determinado telefone público fez uma chamada, quando a fez e para quem ligou. Com essas informações, você pode consultar dados de fluxo para descobrir informações adicionais pertinentes, como se a pessoa do outro lado atendeu a chamada e por quanto tempo ela falou.
Um cenário real pode ocorrer assim: seu sistema de monitoramento de DNS percebe vários dispositivos fazendo chamadas para um domínio sinalizado como anômalo e potencialmente malicioso. Embora este domínio específico nunca tenha sido usado antes em um ataque, ele é incomum, anômalo e requer investigação adicional e imediata. Isso aciona um alerta, solicitando que os administradores consultem os dados de fluxo desses dispositivos específicos e da comunicação específica com esse domínio. Com esses dados, você pode determinar rapidamente se alguma atividade maliciosa está realmente acontecendo e, se estiver, pode bloquear a comunicação, cortando o malware de sua infraestrutura C2 e interrompendo o ataque antes que grandes danos sejam causados. Por outro lado, pode ter havido algum motivo legítimo para o tráfego anômalo, e na verdade não é nefasto – talvez o dispositivo esteja simplesmente acessando um novo servidor para atualizações. De qualquer forma, agora você tem certeza.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
