Запитання: як адміністратори можуть використовувати телеметрію DNS для доповнення даних NetFlow для виявлення та припинення загроз?
Девід Ратнер, генеральний директор Hyas: Протягом багатьох років команди DevSecOps значною мірою покладалися на дані потоку (інформація, зібрана NetFlow та подібною технологією), щоб отримати інформацію про події, що відбуваються в їхніх мережах. Однак корисність потокових даних зменшилася з переходом до хмари та збільшенням складності мережі.
Моніторинг мережевого трафіку є новою проблемою великих даних. Ви або вибираєте меншу кількість даних потоку, або несете високі витрати на отримання повнішого набору. Але навіть маючи всі дані, виявлення ледь помітних аномальних інцидентів (можливо, пов’язаних лише з одним чи кількома пристроями та відносно невеликим трафіком), які вказують на зловмисну активність, усе одно схоже на пошук голки в стозі сіна.
Адміністратори та служби безпеки можуть відновити видимість власних мереж за допомогою телеметрії DNS. Його простіше та дешевше контролювати, ніж дані потоку, і він може ідентифікувати невідомі, аномальні чи шкідливі домени на основі даних розвідки про загрози. Ці служби можуть сповіщати адміністраторів DevSecOps і надавати інформацію про те, де саме шукати для розслідування інциденту. Якщо необхідно, адміністратори можуть отримати доступ до відповідних даних потоку, щоб отримати додаткову корисну інформацію про подію, визначити, чи є подія нешкідливою чи зловмисною, і зупинити нечесну діяльність. Телеметрія DNS вирішує проблему великих даних, дозволяючи командам швидше й ефективніше зосереджуватися на областях, які потребують уваги.
Простий спосіб візуалізувати проблему — уявити, що всі таксофони в околицях перехоплюються, щоб перехопити дзвінки, пов’язані з кримінальною діяльністю. Активне спостереження за кожним таксофоном і моніторинг вмісту кожного дзвінка, зробленого з кожного таксофона, було б неймовірно виснажливим. Однак у цій аналогії DNS-моніторинг сповістить вас про те, що певний таксофон здійснив дзвінок, коли він це зробив і кому він дзвонив. Маючи цю інформацію, ви можете запитувати дані потоку, щоб дізнатися додаткову відповідну інформацію, наприклад, чи відповіла особа на іншому кінці дзвінка та скільки часу вона розмовляла.
У реальному світі може статися такий сценарій: ваша система моніторингу DNS помічає, що кілька пристроїв здійснюють виклики до домену, позначеного як аномальний і потенційно шкідливий. Незважаючи на те, що цей конкретний домен ніколи раніше не використовувався для атаки, він є незвичайним, аномальним і вимагає додаткового та негайного розслідування. Це викликає сповіщення, спонукаючи адміністраторів запитати дані потоку для цих конкретних пристроїв і конкретного зв’язку з цим доменом. За допомогою цих даних ви можете швидко визначити, чи дійсно відбувається зловмисна діяльність, і, якщо це так, ви можете заблокувати зв’язок, відрізавши зловмисне програмне забезпечення від інфраструктури C2 і зупинивши атаку до того, як буде завдано серйозної шкоди. З іншого боку, можливо, існувала якась законна причина для аномального трафіку, і це насправді не є негідним — можливо, пристрій просто звертається до нового сервера для оновлення. У будь-якому випадку, тепер ви точно знаєте.
