Soru: Yöneticiler, tehditleri tespit etme ve durdurmada NetFlow verilerini tamamlamak için DNS telemetrisini nasıl kullanabilir?
Hyas’ın CEO’su David Ratner: DevSecOps ekipleri, ağlarında meydana gelen olaylara ilişkin içgörüler elde etmek için uzun yıllar boyunca akış verilerine (NetFlow ve benzer teknoloji tarafından toplanan bilgiler) büyük ölçüde güvendi. Ancak, buluta geçiş ve artan ağ karmaşıklığı ile akış verilerinin kullanışlılığı azaldı.
Ağ trafiğini izlemek, yeni büyük veri sorunudur. Ya daha az miktarda akış verisi örneklersiniz ya da daha kapsamlı bir set almanın yüksek maliyetlerine maruz kalırsınız. Ancak tüm verilerle bile, kötü niyetli etkinliği gösteren (belki yalnızca bir veya birkaç cihaz ve nispeten düşük hacimli trafiği içeren) göze çarpmayan anormal olayları tespit etmek yine de samanlıkta iğne aramaya benzer.
Yöneticiler ve güvenlik ekipleri, DNS telemetrisi ile kendi ağlarında görünürlük kazanabilir. Akış verilerini izlemekten daha kolay ve daha ucuzdur ve tehdit istihbaratı verilerine dayalı olarak bilinmeyen, anormal veya kötü niyetli etki alanlarını belirleyebilir. Bu hizmetler DevSecOps yöneticilerini uyarabilir ve olayı araştırmak için tam olarak nereye bakılması gerektiği konusunda bilgi sağlayabilir. Gerekirse yöneticiler, olayla ilgili ek eyleme geçirilebilir bilgiler almak, olayın zararsız mı yoksa kötü amaçlı mı olduğunu belirlemek ve izlerinde zararlı etkinliği durdurmak için ilgili akış verilerine erişebilir. DNS telemetrisi, ekiplerin dikkat edilmesi gereken alanlara daha hızlı ve verimli bir şekilde odaklanmasını sağlayarak büyük veri sorununu çözer.
Sorunu görselleştirmenin kolay bir yolu, suç faaliyetleriyle ilgili aramaları durdurmak için bir mahalledeki tüm ankesörlü telefonları gözetlediğini hayal etmektir. Her ankesörlü telefonu aktif olarak izlemek ve her bir ankesörlü telefondan yapılan her aramanın içeriğini izlemek inanılmaz derecede sıkıcı olurdu. Ancak, bu benzetmede, DNS izleme, belirli bir ankesörlü telefonun arama yaptığını, ne zaman yaptığını ve kimi aradığını size bildirir. Bu bilgilerle, diğer uçtaki kişinin aramayı cevaplayıp cevaplamadığı ve ne kadar süre konuştuğu gibi ek ilgili bilgileri bulmak için akış verilerini sorgulayabilirsiniz.
Gerçek dünya senaryosu şu şekilde olabilir: DNS izleme sisteminiz, anormal ve potansiyel olarak kötü amaçlı olarak işaretlenmiş bir etki alanına çağrı yapan birden çok cihazı fark eder. Bu özel alan daha önce bir saldırıda kullanılmamış olsa da, olağandışı, anormaldir ve ek ve acil araştırma gerektirir. Bu, bir uyarıyı tetikler ve yöneticilerden bu belirli cihazlar ve bu alanla belirli iletişim için akış verilerini sorgulamasını ister. Bu verilerle, kötü niyetli etkinliğin gerçekten olup olmadığını hızlı bir şekilde belirleyebilir ve varsa iletişimi engelleyebilir, kötü amaçlı yazılımı C2 altyapısından kesebilir ve saldırıyı büyük bir hasar oluşmadan durdurabilirsiniz. Öte yandan, anormal trafik için bazı meşru nedenler olabilir ve bu aslında kötü değildir – belki de cihaz güncellemeler için yeni bir sunucuya ulaşıyor olabilir. Her iki durumda da, artık kesin olarak biliyorsunuz.