Soru: Yöneticiler, tehditleri tespit etme ve durdurmada NetFlow verilerini tamamlamak için DNS telemetrisini nasıl kullanabilir?
David Ratner, Hyas'ın CEO'su: DevSecOps ekipleri, uzun yıllar boyunca ağlarında meydana gelen olaylara ilişkin içgörü toplamak için büyük ölçüde akış verilerine (NetFlow ve benzer teknoloji tarafından toplanan bilgiler) güvendi. Ancak buluta geçiş ve ağ karmaşıklığının artmasıyla birlikte akış verilerinin kullanışlılığı azaldı.
Ağ trafiğini izlemek yeni büyük veri sorunudur. Ya daha az miktarda akış verisi numunesi alırsınız ya da daha kapsamlı bir set almanın yüksek maliyetine katlanırsınız. Ancak tüm verilerle bile, kötü amaçlı faaliyete işaret eden incelikli anormal olayları (belki de yalnızca bir veya birkaç cihazı ve nispeten düşük hacimli trafiği içeren) tespit etmek hâlâ samanlıkta iğne aramak gibidir.
Yöneticiler ve güvenlik ekipleri, DNS telemetrisi ile kendi ağlarında görünürlüğü yeniden kazanabilirler. Akış verilerini izlemekten daha kolay ve daha ucuzdur ve tehdit istihbaratı verilerine dayalı olarak bilinmeyen, anormal veya kötü amaçlı etki alanlarını tespit edebilir. Bu hizmetler DevSecOps yöneticilerini uyarabilir ve olayı araştırmak için tam olarak nereye bakılması gerektiği konusunda bilgi sağlayabilir. Gerektiğinde yöneticiler, olayla ilgili eyleme dönüştürülebilir ek bilgiler almak, olayın zararsız mı yoksa kötü amaçlı mı olduğunu belirlemek ve yolundaki zararlı etkinlikleri durdurmak için ilgili akış verilerine erişebilir. DNS telemetrisi, ekiplerin dikkat edilmesi gereken alanlara daha hızlı ve verimli bir şekilde odaklanmasını sağlayarak büyük veri sorununu çözer.
Sorunu görselleştirmenin kolay bir yolu, suç faaliyetleriyle ilgili çağrıları dinlemek için mahalledeki tüm ankesörlü telefonların gözetlendiğini hayal etmektir. Her ankesörlü telefonu aktif olarak izlemek ve her bir ankesörlü telefondan yapılan her aramanın içeriğini izlemek inanılmaz derecede sıkıcı olacaktır. Ancak bu benzetmede DNS izleme, belirli bir ankesörlü telefonun arama yaptığını, ne zaman yaptığını ve kimi aradığını size bildirecektir. Bu bilgilerle, diğer uçtaki kişinin çağrıyı alıp almadığı ve ne kadar süre konuştuğu gibi ek ilgili bilgileri bulmak için akış verilerini sorgulayabilirsiniz.
Gerçek hayatta şöyle bir senaryo ortaya çıkabilir: DNS izleme sisteminiz, birden fazla cihazın anormal ve potansiyel olarak kötü amaçlı olarak işaretlenmiş bir etki alanına çağrı yaptığını fark eder. Bu özel alan daha önce bir saldırıda kullanılmamış olsa da olağandışıdır, anormaldir ve ek ve acil araştırma gerektirir. Bu, yöneticilerin söz konusu belirli cihazlara ilişkin akış verilerini ve bu etki alanıyla olan belirli iletişimi sorgulamasını isteyen bir uyarıyı tetikler. Bu verilerle, kötü amaçlı etkinliğin gerçekten olup olmadığını hızlı bir şekilde belirleyebilir ve eğer öyleyse iletişimi engelleyebilir, kötü amaçlı yazılımın C2 altyapısından bağlantısını kesebilir ve büyük bir hasar meydana gelmeden saldırıyı durdurabilirsiniz. Öte yandan, anormal trafiğin bazı meşru nedenleri de olabilir ve bu aslında kötü niyetli değildir; belki cihaz, güncellemeler için yeni bir sunucuya ulaşıyor olabilir. Her iki durumda da, artık bundan eminsin.
