Fråga: Hur kan administratörer använda DNS-telemetri för att komplettera NetFlow-data för att upptäcka och stoppa hot?
David Ratner, VD, Hyas: Under många år har DevSecOps-teamen förlitat sig mycket på flödesdata (informationen som samlats in av NetFlow och liknande teknologi) för att få inblick i händelser som inträffar inom deras nätverk. Flödesdatas användbarhet har dock avtagit i och med övergången till molnet och ökad nätverkskomplexitet.
Övervakning av nätverkstrafik är det nya big data-problemet. Du provar antingen en mindre mängd flödesdata eller tar på dig de höga kostnaderna för att få en mer omfattande uppsättning. Men även med all data är det fortfarande som att leta efter en nål i en höstack att upptäcka subtila onormala incidenter (kanske involverar bara en eller en handfull enheter och relativt låg trafikvolym) som indikerar skadlig aktivitet.
Administratörer och säkerhetsteam kan återfå synlighet i sina egna nätverk med DNS-telemetri. Det är enklare och billigare att övervaka än flödesdata och kan identifiera okända, anomala eller skadliga domäner baserat på hotintelligensdata. Dessa tjänster kan varna DevSecOps-administratörer och ge information om exakt var de ska leta för att undersöka incidenten. Om det behövs kan administratörer komma åt motsvarande flödesdata för att få ytterligare åtgärdsinformation om händelsen, identifiera om händelsen är ofarlig eller skadlig och stoppa skändlig aktivitet i dess spår. DNS-telemetri löser big data-problemet genom att låta team snabbare och effektivt nollställa de områden som behöver uppmärksamhet.
Ett enkelt sätt att visualisera problemet är att föreställa sig att sätta ut alla telefonautomater i ett grannskap för att avlyssna samtal relaterade till kriminell aktivitet. Att aktivt titta på varje telefonautomat och övervaka innehållet i varje samtal från varje telefonautomat skulle vara otroligt tråkigt. Men i denna analogi skulle DNS-övervakning meddela dig att en viss telefonautomat ringde ett samtal, när den gjorde det och vem den ringde. Med denna information kan du sedan fråga flödesdata för att ta reda på ytterligare relevant information, som om personen i andra änden svarade på samtalet och hur länge de pratade.
Ett verkligt scenario kan inträffa så här: Ditt DNS-övervakningssystem märker att flera enheter ringer till en domän som flaggats som avvikande och potentiellt skadlig. Även om just den här domänen aldrig har använts tidigare i en attack, är den ovanlig, onormal och kräver ytterligare och omedelbar utredning. Detta utlöser en varning som uppmanar administratörer att fråga flödesdata för de specifika enheterna och den specifika kommunikationen med den domänen. Med den informationen kan du snabbt avgöra om skadlig aktivitet faktiskt inträffar och, om det är det, kan du blockera kommunikationen, skära bort skadlig programvara från dess C2-infrastruktur och stoppa attacken innan större skada har skett. Å andra sidan kan det ha funnits någon legitim anledning till onormal trafik, och det är faktiskt inte skändligt - kanske enheten helt enkelt kontaktar en ny server för uppdateringar. Hur som helst, nu vet du säkert.
