Analityka DNS

DNS Analytics to nadzór (gromadzenie i analiza) ruchu DNS w sieci komputerowej . Taka analiza DNS ma istotne zastosowanie w bezpieczeństwie informacji i kryminalistyce komputerowej , przede wszystkim przy identyfikowaniu zagrożeń wewnętrznych , złośliwego oprogramowania , cyberbroni i zaawansowanych kampanii związanych z trwałym zagrożeniem (APT) w sieciach komputerowych.

Ponieważ procesy i interakcje usługi DNS Analytics obejmują komunikację między klientami DNS a serwerami DNS podczas rozstrzygania zapytań i aktualizacji DNS, może ona obejmować takie zadania, jak rejestrowanie żądań, monitorowanie historyczne według węzła, zestawienie ilości żądań i obliczenia na podstawie ruchu sieciowego upraszanie. Podczas gdy głównym czynnikiem napędzającym analizę DNS jest bezpieczeństwo opisane poniżej, inną motywacją jest zrozumienie ruchu w sieci, aby można było ocenić go pod kątem ulepszeń lub optymalizacji. Na przykład DNS Analytics może służyć do zbierania danych w laboratorium, w którym wysyłana jest duża liczba powiązanych żądań aktualizacji oprogramowania komputerowego. Po znalezieniu tego można zainstalować lokalny serwer aktualizacji w celu ulepszenia sieci.

Opublikowane badania

Badania przeprowadzone w domenie publicznej pokazują, że sponsorowane przez państwo złośliwe oprogramowanie i kampanie APT wykazują wskaźniki naruszenia DNS (IOC). Od czerwca 2010 r. laboratoria, w tym Kaspersky Lab , ESET , Symantec , McAfee , Norman Safeground i Mandiant , przeprowadzają analizę platform i agentów broni cybernetycznej . Odkrycia ujawnione przez te organizacje obejmują szczegółową analizę Stuxnet , Flame , Hidden Lynx, Operation Troy, The NetTraveler, Operation Hangover, Mandiant APT1 i Careto. Te złośliwe oprogramowanie i kampanie APT można niezawodnie zidentyfikować w sieciach komputerowych za pomocą narzędzi do analizy DNS.