سرویس نام دامنه[1] (DNS) مثل یک دفترچه تلفن کامل است که در اختیار اینترنت قرار دارد. در واقع افراد نمی توانند رشتهای طولانی از اعداد مختلف را حفظ کنند، در حالی که اسامی و کلمات را می توانند به راحتی به یاد بسپارند. برای مثال، به خاطر سپردن آدرس پروتکل اینترنت[2] (IP) برای ما سخت است اما میتوانیم آدرسهایی مثل www.google.com و www.facebook.com را به راحتی به ذهن بسپاریم.
وظیفه DNS نیز تبدیل همین نامها به آدرس آیپی و فراهم کردن امکان ارسال درخواستها به مسیر و مقصد درست است. معمولاً برای کاربران اینترنت، قدرت و فناوری که پشت سرویس DNS قرار دارد مشخص نیست اما برای کارشناسان امنیت سایبری، DNS یک ابزار مهم است که از آن می توان برای دفاع فعال، جرم شناسی و تحقیقات سایبری استفاده کرد. دادههای به دست آمده از طریق DNS میتوانند اطلاعات زیادی درباره فعالیتهای مهاجمان از جمله ثبت دامنههای جدید برای پشتیبانی از حملات و ایجاد سرورهای فرماندهی و کنترل برای بدافزارها، حملات فیشینگ و باج افزارها را فراهم کنند. همچنین از آنجا که دادههای DNS آزادانه در شبکه در جریان هستند، مهاجمان دائماً از این دادهها برای استخراج اطلاعات حساس شبکه و جلوگیری از شناسایی شان استفاده میکنند.
تاکنون استفاده از دادههای DNS برای دفاع سایبری توسط سه عامل کلیدی یعنی نیاز به دریافت به موقع دادهها، تحلیل مجموعه دادههای بسیار بزرگ و انجام تحلیلهای کارشناسی از طریق اضافه شدن کار تحلیلگران سایبری محدود شده است. در این مطلب از فراست به شما خواهیم گفت که چگونه میتوان از DNS به عنوان یکی از اجزای طرح دفاع سایبری جامع استفاده کرد. همچنین پیشرفتهای اخیر در خصوص تسریع دسترسی و تحلیل منابع دادهای DNS را بررسی کرده و با یک مثال توضیح میدهیم سازمانها چگونه میتوانند برای تشخیص و مسدود کردن هر چه سریعتر فعالیتهای مخرب از دادههای DNS استفاده کنند.
مقدمه
همه منابع موجود در اینترنت از جمله سرورهای وب و ایمیل یک آدرس آیپی دارند. DNS، نام دامنه را به آیپی تبدیل کرده و به کاربران و سرویسها کمک میکند تا بر اساس آدرس آیپی، به منابع مورد نظرشان دسترسی پیدا کنند. آدرسهای آیپی در دو نسخه 4 و 6 ارایه می شوند. آدرسهای آیپی ورژن 4، به صورت یک عدد و ورژن 6 ترکیبی از اعداد و حروف هستند. (مثل 2001:0db8:85a3:0000:0000:8a2e:0370:7334). بنابراین DNS شامل مجموعهای از دایرکتوریهای توزیع شده است که جدول تبدیل نام دامنه به آیپی در آنها ذخیره میشود.
مدیریت درخواستهای DNS و پاسخ به آنها به کمک محتوای DNS انجام میشود. بر اساس این محتوا، آیپی مورد نظر مشخص شده یا این درخواست به سمت یک منبع معتبر دیگر که قادر به ارایه پاسخ درست باشد، ارسال میشود. با توجه به اینکه این تبدیلها ظرف چند میلی ثانیه انجام میشود عموماً برای کاربران اینترنت، ترافیک پشت صحنه شبکه نسبتاً ناآشنا است.
از سوی دیگر چون روزانه دامنههای جدیدی اضافه شده و سازمانها همواره ارایه دهنده خدمات میزبانی وب خودشان را تغییر میدهند بنابراین میزان جستجوهای روزانه در جدول DNS، تریلیونها بار تخمین زده میشود. از این رو مدیریت DNS کار بسیار پویایی است. ترافیک DNS معمولاً از فایروال سازمان و با استفاده از پروتکل [3] UDP یا گاهی وقت ها پروتکل [4] TCP از پورت 53 عبور میکند.
DNS یک سیستم بلادرنگ است که از جستجو به کمک تبدیل نام دامنه به آیپی پشتیبانی میکند. هر بار که فعالیتی در DNS رخ میدهد، پایگاه داده DNS اطلاعات آدرس آیپی، رکورد DNS و دادههای مربوطه مثل سرورها و دامنهها را ثبت میکند. معمولاً به این دادهها، «DNS منفعل» گفته میشود و میتوان با تحلیل آنها تغییرات و رکوردهای قبلی DNS را مشخص کرد. برای بیشتر کارشناسان فناوری اطلاعات، همین میزان اطلاعات درباره DNS جهت اجرای کارها و انجام وظایف روزمره شان کفایت میکند.
هر چند DNS در پس زمینه اجرا شده و معمولاً توجهی به آن نمیشود اما کارشناسان امنیتی که در زمینه دفاع سایبری، عملیات امنیتی، تحلیل بدافزار، واکنش به حوادث و جرم شناسی رایانه ای فعالیت میکنند، متوجه شدهاند که DNS میتواند اطلاعات ارزشمندی را درباره فعالیتهای پیش از حادثه، حین حادثه و پس از آن برای سازمانها فراهم کند. تا همین اواخر، استفاده از دادههای DNS برای دفاع سایبری کاری بسیار چالش برانگیز بود و به دلیل تأخیر در دریافت آن، نیاز به داشتن مجموعه ای بسیار بزرگ از داده ها و دانش تخصصی برای استخراج اطلاعات ارزشمند از دل دادههای DNS بود.
در ادامه این مطلب، روشهای استفاده از دادههای DNS توسط کارشناسان امنیت سایبری و پیشرفتهای جدیدی که قابلیت استفاده از این دادهها را افزایش می دهند مرور خواهیم کرد. همچنین به بررسی یک مطالعه موردی می پردازیم که نشان میدهد یک سازمان خاص چگونه از دادههای DNS برای بهبود راهبرد دفاع سایبری خود استفاده می کند.
روش مورد استفاده
Aite Group با کمک منابع دادهای که در دسترس عموم قرار دارد و گفتگو با مجموعه برگزیدهای از معمارهای امنیتی، مسئولان واکنش به حادثه، محققان حوزه امنیت و کارشناسان عملیات امنیتی، درباره استفاده از دادههای DNS تحقیقاتی را انجام داده است. همچنین برای این مطالعه موردی با یک مدیر ارشد امنیت اطلاعات، معمار امنیت و مدیر عملیات امنیتی در یک شرکت بزرگ ارایه دهنده محصولات حوزه فناوری مصاحبه کرده است.
بازار
تیمهای امنیت سایبری از منابع مختلفی برای شناسایی فعالیتهای مهاجمان در مراحل قبل، حین و پس از حمله استفاده میکنند. این منابع از نظر کیفیت بسیار با یکدیگر متفاوت هستند و معمولاً برای تبدیل شدن به یک منبع امنیت سایبری کارآمد، فاقد اطلاعات زمینهای مناسب می باشند (جدول الف). هر یک از این منابع، تحت تأثیر سرعت برنامهریزی مهاجمان سازماندهی می شوند.
گرایشات بازار | پیامدهای بازار |
یک سازمان میتواند از هزاران نسخه هوش تهدید کد منبع باز استفاده کند. | نسخههای کد منبع باز از نظر کیفیت و ویژگیهای زمانی، تنوع زیادی دارند. آنها فاقد اطلاعات زمینهای هستند و ممکن است باعث ایجاد تشخیصهای مثبت کاذب شوند. به احتمال زیاد چنین نسخههایی نمیتوانند اطلاعات منسوخه و عملی را در اختیار سازمانها قرار دهند تا آماده مقابله با حملات سایبری شوند. |
وجود منابع مختلف و همپوشان از هوش تهدید میتواند منجر به ایجاد سربار اطلاعاتی شود. | سازمان باید برای انتخاب نسخههای هوش تهدید با دقت عمل کند. |
چندین شرکت امنیت سایبری مختلف، دادههای هوش تهدید را در قالب طرحهای اشتراکی در اختیار مشتریان قرار میدهند. چون همیشه کیفیت و ویژگیهای زمانی مختلف دادهها به مشخص کردن مخارج و هزینهها کمک نمیکنند بنابراین ممکن است تخمین درست بازده سرمایه، کار چالش برانگیزی باشد. | سازمانها باید منحصر به فرد و مناسب بودن نسخههای تهدید تجاری را نسبت به هزینههای آنها بررسی کنند. در صورت امکان، نسخههای تجاری گران قیمت باید متناسب با نیازهای کاری سازمان باشند. |
دادههای تهدید توسط گروههای صنعتی و منابع دولتی مثل مرکز تحلیل و به اشتراک گذاری اطلاعات خدمات مالی[5] (FS-ISAC) و سیستم آگاهی سایبری ورزات امنیت میهن آمریکا عرضه میشوند. | دادههای تهدید ممکن است از منابع بسیار حساسی جمع آوری شده باشند. بعضی از این دادهها باید برای کاربردهای تجاری هویت زدایی شوند. این عوامل به دلیل پیچیدگی فرایندهای تأیید انتشار میتوانند منجر به تأخیر قابل توجهی در توزیع دادهها شوند. |
تحلیل دادههای تهدید میتواند کار سختی باشد و به کارشناسان امنیت سایبری مجرب نیاز دارد تا به زمینه و شرایط لازم برای سازمان برسد. بیشتر سازمانها فاقد ابزارهای تخصصی برای کار با مجموعه دادههای بسیار بزرگ هستند. | سازمانهایی که استفاده از دادههای تهدید را شروع کرده یا استفاده از آن را گسترش میدهند باید با دقت، عامل انسانی را در نظر بگیرند. ابزارهای اتوماسیون و هماهنگ سازی هنوز در اولین مراحل توسعه قرار دارند. |
پیشرفتهای اخیر در زمینه توزیع دادههای تهدید بر اساس DNS و استفاده از هوش مصنوعی و یادگیری ماشینی، ارزش این منابع را به میزان زیادی افزایش داده است. | این بخش از بازار با سرعت زیادی رو به توسعه است و میتواند ارزش دادههای منفعل DNS برای ارتقای دفاع سایبری را افزایش دهد. شرکتهایی مثل ارایه دهندگان خدمات امنیتی مدیریت شده (MSSP) امکان اضافه کردن این منابع داده ای به سرویسهای خودشان را دارند. |
روشهای استفاده از DNS منفعل برای تشخیص حمله
مهاجمان برای اجرای عملیات مخرب خود، دامنههای جدیدی ثبت کرده و از دیتااستریمهای DNS برای استخراج دادههای حساس از سازمانها استفاده میکنند. جدوب «ب» تعدادی از فعالیتهای مهاجمان را نشان میدهد که با استفاده از DNS منفعل قابل شناسایی هستند.
جدول ب: انواع حمله و تشخیص DNS منفعل
فعالیت | زمینه |
مهاجمان میتوانند از الگوریتمهای ساخت دامنه[6] (DGA) در بدافزارها برای تولید تعداد بسیار زیادی از دامنهها استفاده کنند. سپس یک یا چند مورد از این دامنهها را ثبت میکنند تا بدافزار آنها قادر به ارتباط با سرور فرماندهی و کنترلی که خارج از سازمان آلوده قرار گرفته است، باشد. | قبلاً مهندسی معکوس یا تحلیل بدافزار در یک محیط سندباکس جهت بررسی قابلیتهای آن در زمینه تولید دامنه ضروری بود. در حال حاضر با تحلیل دادههای DNS منفعل میتوان الگوهای رفتاری مربوط به DGA را شناسایی کرد. این روش نسبت به تحلیل بدافزار بسیار سریعتر است. |
مهاجمان میتوانند از روش DNS Tunneling برای مخفی کردن ارتباطات خودشان با سرور فرماندهی و کنترل یا استخراج دادههای حساس از طریق درخواستها و پاسخهای DNS استفاده کنند. از آنجا که DNS Tunneling برای کاربردهای بی خطر مثل بهروزرسانی محصولات هم استفاده میشود، به سختی میتوان استفاده از آن توسط مهاجمان را شناسایی کرد. | از دادههای DNS منفعل می توان برای شناسایی دامنههای شناخته شدهای که مربوط به فعالیت مهاجمان هستند استفاده کرد. همچنین دادههای DNS برای بررسی درخواست ها و پاسخها جهت شناسایی نشانه های Tunneling هم قابل استفاده است. به دلیل آن که مهاجمان برای پیشگیری از شناسایی فقط نیاز به یک بازه زمانی کوتاه دارند بنابراین این روش میتواند چالش برانگیز باشد. |
مهاجمان، دامنههایی را ثبت میکنند که برای مدتی طولانی از آنها استفاده نشده است. این دامنهها غیرفعال و ساکن بوده و بعد برای پشتیبانی از حملات مختلف مثل فیشینگ و کمپینهای باج افزاری فعال میشوند. همچنین دامنههایی که به تازگی غیرفعال شدهاند و بعد با سرعت فعال میشوند، معمولاً برای اجرای حمله مورد استفاده قرار میگیرند. | کارشناسان امنیت سایبری میتوانند از دادههای DNS منفعل برای دنبال کردن دامنههایی که از 7 روز پیش فعال نبودهاند مثل دامنههای سطح بالا، دامنههای سطح دوم و دامنههایی با نامهای واجد شرایط استفاده کنند. فعال یا غیرفعال شدن ناگهانی یک دامنه میتواند نشان دهنده فعالیت مخرب باشد. با توجه به این که هکرها برای مدت کوتاهی از دامنهها استفاده میکنند بنابراین تشخیص زودهنگام آنها اهمیت زیادی دارد. |
مهاجمان میتوانند دامنههای مجاز را تحت کنترل بگیرند تا ترافیک آنها را به سمت زیرساختهای خودشان هدایت کنند. این کار با دستکاری رکوردهای DNS انجام میشود. | برای این که نشانه های این حمله شناسایی شوند، تغییرات آیپی یا سرور نام دامنه در دادههای DNS منفعل را می توان ظرف 7 روز اخیر بررسی کرد. معمولاً انجام این کار برای تحلیلگر امنیت زمان بر است، مگر در صورت استفاده از ابزارهای تحلیلی پیشرفته. |
کاربردهای آتی دادههای DNS منفعل
جدول ب، روشهای استفاده از دادههای DNS منفعل را برای شناسایی فعالیتهای مشکوک و حملات واقعی نشان میدهد. دادههای DNS میتوانند یک منبع غنی از اطلاعات ارزشمند جهت شناسایی، تحلیل و بازرسی درباره حملات سایبری باشند اما ارزش واقعی این دادهها هنگامی نمایان میشود که یک سازمان با کمک آنها قادر به پیشگیری از وقوع حمله یا محدود کردن فوری اثرات آن باشد. اگر دادههای DNS منفعل با سرعت به دست آمده و قابلیت اطمینان و زمینه لازم را داشته باشند، سازمان میتواند به شکل پیشگیرانه از فایروال، تعدیل کنندههای بار و فایروال برنامههای کاربردی تحت وب (WAF) برای مسدود کردن آیپیها و دامنههای مشکوک یا منتسب به مهاجمان استفاده کند. در صورت اجرای حملهای موفقیت آمیز از دادههای DNS می توان برای کمک به تیم امنیت سازمان جهت کاهش زمان لازم شناسایی و مقابله با حمله استفاده کرد.
نوآوریهای جدید در خصوص دانش قابل ایجاد با استفاده از DNS، جان تازهای به روشهای استفاده از DNS جهت مقابله پیشگیرانه با حملات سایبری بخشیده است. این نوآوریها شامل جمع آوری دادههای DNS از منابع جهانی مختلف، تجمیع دادهها در قالب نسخههایی که به راحتی قابل استفاده هستند و استفاده از هوش مصنوعی و یادگیری ماشینی برای تحلیل مجموعه دادههای بسیار بزرگ هستند. هم اکنون سازمانها بدون این که به استخدام کارشناس مجرب امنیت سایبری برای استخراج اطلاعات از اقیانوس دادههای رایگان و غیررایگان نیاز داشته باشند میتوانند اطلاعات ارزشمندی را درباره تهدیدات سایبری به ابزارهای امنیت سایبری خودشان اضافه کنند. همچنین دادههای پیشرفته DNS باعث اضافه شدن قابلیتهای جدید به مرکز عملیات امنیت مدیریت شده (MSSP[7]) میشود تا خدمات ارزشمندی را در اختیار مشتریان قرار دهند. Aite Group باور دارد که این نوآوریها به منظور افزایش قابلیتها و ارزش دادههای DNS منفعل در سال 2020 و پس از آن شتاب میگیرند.
مطالعه موردی
تیم امنیت سایبری سازمانی بزرگ با درآمد سالیانه بیش از 1.2 میلیارد دلار، یک طرح ابتکاری برای بررسی روشهای جدید شناسایی و کاهش اثر حملات سایبری دارد. این تیم با هدف تحلیل رفتار مهاجمان، از دادههای DNS منفعل و منابع موجود درباره تهدیدات سایبری استفاده میکرد اما در نهایت به این نتیجه رسید که استفاده از این منبع، کار پرزحمتی است و این روش سرعت لازم برای پیشی گرفتن از مهاجمان را ندارد. به ویژه این که با توجه به تعداد زیاد تشخیصهای مثبت کاذب ایجاد شده توسط سایر منابع، این تیم کارمندان لازم برای انجام تحقیقات جامع در خصوص مهاجمان سایبری را نداشت.
بنابراین این تیم، طرح اشتراک در سرویس UltraThreat Feeds که محصول جدیدی از شرکت Neustar (ارایه دهنده راهکارهای امنیتی) است را تهیه کرد. بیش از 22 سال است که Neustar سرویسهای DNS را به مشتریان عرضه کرده و یک منبع غنی از دادههای تاریخچهای DNS را در اختیار داشته است. Neustar روزانه بیش از 100 میلیارد جستجوی DNS از شبکه جهانی متشکل از پلتفرمهای مختلف را مدیریت میکند. همچنین Neustar دادههای لازم را از سرویسهای اختصاصی OneID خودش استخراج میکند. منبع UltraThreat Feeds دادههای OneID و DNS خود شرکت Neustar است که میتواند به طور چشمگیری سرعت شناسایی فعالیتهای مشکوک یا حملات واقعی را افزایش دهد. همچنین Neustar قابلیتهای یادگیری ماشینی و هوش مصنوعی را به دادههای جمع آوری شده اعمال کرده و از آنها در ترکیب با دادههای تاریخچهای خود استفاده میکند تا به سرعت بتواند اطلاعات منسوخه لازم را استخراج کرده و زمان تحلیل مجموعه دادههای بزرگ را نسبت به روش دستی، به میزان قابل توجهی کاهش دهد.
این تیم امنیت سایبری، یک پکیج UltraThreat Feeds را از سرویس ذخیره اطلاعات ساده آمازون[8] (S3) تهیه کرد. این منابع تقریباً به صورت لحظهای یعنی هر 15 دقیقه یک بار توسط Neustar بهروزرسانی میشوند. این تیم یک اسکریپت برای وب سرویسهای آمازون (AWS) نوشت تا به شکل خودکار، دادههای نسخه را از باکت S3 در بازههای زمانی منظم استخراج کرده و دادههای مربوط به این تهدیدات سایبری را با استفاده از یک APIی REST به پلتفرم مدیریت رویداد و اطلاعات امنیتی[9] (SIEM) خودش ارسال کند. این تیم در ابتدا بر هشدارهای مربوط به DGAها و آیپیهای ناشناس متمرکز شد.
هر چند هنگام مصاحبه با اعضای این تیم، آنها فقط حدود 7 هفته از نسخههای Neustar استفاده کرده بودند اما این سازمان و مدیر ارشد امنیت اطلاعات آن از افزایش چشمگیر ارزش دادههای DNS منفعل خبر دادند. با توجه به این که تعداد تشخیصهای مثبت کاذب به میزان چشمگیری کاهش یافته بود، این تیم متوجه بهبود قابل توجهی در سرعت کارها نسبت به سایر نسخههای تهدید شدند. برای این که تصمیم گیری درباره اقدامات سایبری پیشگیرانه با سرعت بیشتری انجام شود، از این دادهها به شکل فعالانه در عملیات امنیتی استفاده میشود. دادههای لازم هم از طریق یک داشبورد Kibana در اختیار تیمهای عملیاتی قرار میگیرد. این گروه، دادههای به دست آماده را به درخواستهای واقعی وب سرور، نشانه های باتنت و فعالیتهایی ارتباط دادند که میتوانستند مربوط به آسیبپذیریهای تشریح شده در گزارش «پروژه باز امنیت برنامههای کاربردی تحت وب» باشند.
این گروه، نسخههای UltraThreat Feeds را یک پیشرفت مهم در فناوری سایبری دانسته و اعلام کردند که به زودی قابلیتهای دیگری را بر اساس نسخههای تهدید پیادهسازی میکنند.
توصیهها
Aite Group به سازمانها توصیه کرده برای استفاده از دادههای DNS منفعل پیشرفته جهت تکمیل برنامههای امنیت سایبری خودشان این اقدامات را انجام دهند:
- اگر در حال حاضر از نسخههای تهدید مبتنی بر DNS استفاده نمیکنید، حتماً برای تکمیل دفاع سایبری خودتان استفاده از آن را در نظر داشته باشید تا درباره فعالیتهای مخربی که میتوانند نشان دهنده حمله سایبری باشند، هشدارهایی پیشرفته را دریافت کنید.
- اگر سازمانی از چندین منبع رایگان و غیررایگان برای دسترسی به هوش تهدید استفاده میکند باید ارزش ایجاد شده توسط هر یک از آنها را مشخص کند. بررسی کنید که آیا میتوان دادههای پیشرفته DNS را جایگزین نسخههای ضعیف یا تکراری کرد یا خیر.
- کارشناسان امنیت باید دانش خودشان درباره نحوه کار DNS و دادههای قابل استخراج از منابع DNS فعال و تاریخچهای را افزایش دهند. کارشناسان امنیت به ویژه آنهایی که در فعالیتهای دفاع سایبری نقش دارند باید با چگونگی کار نهادهای ثبت دامنه و نحوه استفاده از DNS Tunneling توسط هکرها جهت استخراج دادههای حساس آشنا باشند. Reading Room از مؤسسه SANS منبعی ارزشمند از اطلاعات پیشرفته درباره امنیت DNS است.
- تیمهای تحلیل جرم شناسی و واکنش به حوادث میتوانند هنگام بررسی رویدادهای سایبری و نشانه های نفوذ، از منابع عظیم تاریخچه DNS و تحلیلهای پیشرفته استفاده کنند.
- ارایه دهندگان راهکارهای امنیتی به ویژه MSSP باید بررسی کنند که آیا میتوانند به عنوان یک سرویس متمایز، نسخههای تهدید استخراج شده از دادههای DNS را به موقع به مشتریان شان عرضه کنند یا خیر.
- سازمانها باید استفاده از نسخههای تهدید پیشرفته بر اساس دادههای DNS منفعل و فرصتهای اتوماسیون و هماهنگ سازی مربوطه را در نظر داشته باشند چون این قابلیتها به سرعت رشد و توسعه پیدا میکنند.
نتیجه گیری
- دادههای DNS سال ها است که به سازمانها امکان شناسایی فعالیتهای مخرب مربوط به ثبت دامنه و DNS Tunneling جهت اجرای حملات سایبری را دادهاند. با این وجود، به موقع نبودن عرضه این دادهها، نبود زمینه و شرایط لازم، نیاز به مهارتهای پیشرفته و بالا بودن میزان تشخیص کاذب؛ همگی باعث شده استفاده عملی از این دادهها برای دفاع سایبری پیشگیرانه بسیار چالش برانگیز شود.
- نسخههای تهدید مبتنی بر DNS از جمله ثبت دامنه، استفاده از پروکسیها و باتهای ناشناس و غیره میتوانند طیف وسیعی از فعالیتهای مهاجمان را آشکار کنند.
- سازمانهایی که از نسخههای تهدید باکیفیت و به موقع استفاده میکنند میتوانند از سازوکارهای دفاعی سنتی مثل فایروالها، ابزارهای تعدیل بار و فایروالهای برنامههای کاربردی تحت وب جهت مسدود کردن به موقع دامنهها و آیپیهای مشکوک یا منتسب به مهاجمان استفاده کنند.
- نسخههای تهدید مبتنی بر DNS پیشرفته میتوانند تعداد تشخیصهای مثبت کاذب را کاهش داده و به کارشناسان امنیت این امکان را امکان دهند که متمرکز بر اطلاعات منسوخه و کاربردی شوند. در صورت وقوع حملات موفق، نسخههای تهدید مبتنی بر DNS به تیمهای امنیتی کمک میکنند زمان لازم برای تشخیص و مقابله را کاهش دهند.
- پیشرفتهای اخیر مثل فراهم شدن امکان استفاده از شبکهای بزرگ متشکل از حسگرهای جهانی، یادگیری ماشینی و هوش مصنوعی استفاده از دادههای به دست آمده از DNS برای تصمیم گیریهای دفاعی مهم را آسانتر کرده است. قطعاً در سال 2020 و پس از آن شاهد پیشرفت هر چه بیشتر در این عرصه خواهیم بود.
[1] Domain Name Service
[2] Internet Protocol
[3] User Datagram Protocol
[4] Transmission Control Protocol
[5] Financial Services Information Sharing and Analysis Center
[6] Domain Generation Algorithms
[7] Managed Security Services Provider
[8] Simple Storage Service
[9] Security Information and Event Management