Kako telemetrija DNS pomaga odkriti in zaustaviti grožnje?

Vprašanje: Kako lahko skrbniki uporabljajo telemetrijo DNS za dopolnitev podatkov NetFlow pri odkrivanju in zaustavljanju groženj?

David Ratner, izvršni direktor Hyas: Ekipe DevSecOps so se dolga leta močno zanašale na podatke o pretoku (informacije, ki jih je zbral NetFlow in podobna tehnologija), da bi pridobile vpogled v dogodke, ki se dogajajo v njihovih omrežjih. Vendar pa se je uporabnost podatkov o pretoku zmanjšala s prehodom v oblak in povečano kompleksnostjo omrežja.

Spremljanje omrežnega prometa je nova težava velikih podatkov. Bodisi vzorčite manjšo količino podatkov o pretoku ali pa imate visoke stroške prejema obsežnejšega niza. Toda tudi z vsemi podatki je odkrivanje subtilnih nenormalnih dogodkov (ki morda vključujejo samo eno ali nekaj naprav in razmeroma majhen promet), ki kažejo na zlonamerno dejavnost, še vedno podobno iskanju igle v kupu sena.

Skrbniki in varnostne ekipe lahko ponovno pridobijo vidnost svojih omrežij s telemetrijo DNS. Lažje in ceneje ga je spremljati kot podatke o toku in lahko prepozna neznane, nepravilne ali zlonamerne domene na podlagi podatkov o grožnjah. Te storitve lahko opozorijo skrbnike DevSecOps in zagotovijo informacije o tem, kje točno iskati, da raziščejo incident. Če je potrebno, lahko skrbniki dostopajo do ustreznih podatkov o toku, da pridobijo dodatne informacije o dogodku, na podlagi katerih lahko ukrepajo, ugotovijo, ali je dogodek neškodljiv ali zlonameren, in zaustavijo nečedne dejavnosti. Telemetrija DNS rešuje problem velikih podatkov tako, da ekipam omogoča hitrejše in učinkovitejše osredotočanje na področja, ki potrebujejo pozornost.

Enostaven način za vizualizacijo težave je, da si predstavljate, da zaskušate vse telefonske govorilnice v soseski, da bi prestregli klice, povezane s kriminalnimi dejavnostmi. Aktivno opazovanje vsake telefonske govorilnice in spremljanje vsebine vsakega klica iz posamezne govorilnice bi bilo neverjetno dolgočasno. Vendar bi vas v tej analogiji nadzor DNS obvestil, da je določena govorilnica opravila klic, kdaj ga je opravila in koga je poklicala. S temi informacijami lahko nato povprašate po podatkih o toku, da poiščete dodatne ustrezne informacije, na primer, ali je oseba na drugi strani prevzela klic in kako dolgo je govorila.

Scenarij v resničnem svetu se lahko zgodi takole: vaš sistem za spremljanje DNS opazi več naprav, ki kličejo v domeno, ki je označena kot nenormalna in potencialno zlonamerna. Čeprav ta posebna domena še nikoli ni bila uporabljena v napadu, je nenavadna, nenormalna in zahteva dodatno in takojšnjo preiskavo. To sproži opozorilo, ki skrbnike pozove, naj povprašajo po podatkih o toku za te določene naprave in specifično komunikacijo s to domeno. S temi podatki lahko hitro ugotovite, ali se zlonamerna dejavnost dejansko dogaja, in če se, lahko blokirate komunikacijo, prekinete zlonamerno programsko opremo iz njene infrastrukture C2 in zaustavite napad, preden je povzročena večja škoda. Po drugi strani pa je morda obstajal nek legitimen razlog za nepravilen promet in dejansko ni nečeden - morda naprava preprosto posega po posodobitvah na nov strežnik. Kakor koli že, zdaj zagotovo veste.