سرعت بخشی به واکنش‌های امنیتی با کمک اطلاعات DNS

سرویس نام دامنه[1] (DNS) مثل یک دفترچه تلفن کامل است که در اختیار اینترنت قرار دارد. در واقع افراد نمی توانند رشته­‌ای طولانی از  اعداد مختلف را حفظ کنند، در حالی که اسامی و کلمات را می ­توانند به راحتی به یاد بسپارند. برای مثال، به خاطر سپردن آدرس پروتکل اینترنت[2] (IP) برای ما سخت است اما می‌توانیم آدرس‌هایی مثل www.google.com و www.facebook.com را به راحتی به ذهن بسپاریم.

وظیفه DNS نیز تبدیل همین نام‌ها به آدرس آی‌پی و فراهم کردن امکان ارسال درخواست‌ها به مسیر و مقصد درست است. معمولاً برای کاربران اینترنت، قدرت و فناوری که پشت سرویس DNS قرار دارد مشخص نیست اما برای کارشناسان امنیت سایبری، DNS یک ابزار مهم است که از آن می ­توان برای دفاع فعال، جرم شناسی و تحقیقات سایبری استفاده کرد. داده‌های به دست آمده از طریق DNS می‌توانند اطلاعات زیادی درباره فعالیت‌های مهاجمان از جمله ثبت دامنه‌های جدید برای پشتیبانی از حملات و ایجاد سرورهای فرماندهی و کنترل برای بدافزارها، حملات فیشینگ و باج افزارها را فراهم کنند. همچنین از آنجا که داده‌های DNS آزادانه در شبکه در جریان هستند، مهاجمان دائماً از این داده‌ها برای استخراج اطلاعات حساس شبکه و جلوگیری از شناسایی شان استفاده می‌کنند.

تاکنون استفاده از داده‌های DNS برای دفاع سایبری توسط سه عامل کلیدی یعنی نیاز به دریافت به موقع داده‌ها، تحلیل مجموعه داده‌های بسیار بزرگ و انجام تحلیل‌های کارشناسی از طریق اضافه شدن کار تحلیلگران سایبری محدود شده است. در این مطلب از فراست به شما خواهیم گفت که چگونه می‌توان از DNS به عنوان یکی از اجزای طرح دفاع سایبری جامع استفاده کرد. همچنین پیشرفت‌های اخیر در خصوص تسریع دسترسی و تحلیل منابع داده‌ای DNS را بررسی کرده و با یک مثال توضیح می‌دهیم سازمان‌ها چگونه می‌توانند برای تشخیص و مسدود کردن هر چه سریع‌تر فعالیت‌های مخرب از داده‌های DNS استفاده کنند.

مقدمه

همه منابع موجود در اینترنت از جمله سرورهای وب و ایمیل یک آدرس آی‌پی دارند. DNS، نام دامنه را به آی‌پی تبدیل کرده و به کاربران و سرویس‌ها کمک می‌کند تا بر اساس آدرس آی‌پی، به منابع مورد نظرشان دسترسی پیدا کنند. آدرس­‌های آی­‌پی در دو نسخه 4 و 6 ارایه می­ شوند. آدرس­‌های آی‌پی ورژن 4، به صورت یک عدد و ورژن 6 ترکیبی از اعداد و حروف هستند. (مثل 2001:0db8:85a3:0000:0000:8a2e:0370:7334). بنابراین DNS شامل مجموعه‌ای از دایرکتوری‌های توزیع شده است که جدول تبدیل نام دامنه به آی‌پی در آنها ذخیره می‌شود.

مدیریت درخواست­‌های DNS و پاسخ به آنها به کمک محتوای DNS انجام می‌شود. بر اساس این محتوا، آی‌پی مورد نظر مشخص شده یا این درخواست به سمت یک منبع معتبر دیگر که قادر به ارایه پاسخ درست باشد، ارسال می‌شود. با توجه به اینکه این تبدیل‌ها ظرف چند میلی ثانیه انجام می‌شود عموماً برای کاربران اینترنت، ترافیک پشت صحنه شبکه نسبتاً ناآشنا است.

از سوی دیگر چون روزانه دامنه‌های جدیدی اضافه شده و سازمان‌ها همواره ارایه دهنده خدمات میزبانی وب خودشان را تغییر می‌دهند بنابراین میزان جستجوهای روزانه در جدول DNS، تریلیون‌ها بار تخمین زده می‌شود. از این رو مدیریت DNS کار بسیار پویایی است. ترافیک DNS معمولاً از فایروال سازمان و با استفاده از پروتکل [3] UDP یا گاهی وقت ها پروتکل [4] TCP از پورت 53 عبور می‌کند.

DNS یک سیستم بلادرنگ است که از جستجو به کمک تبدیل نام دامنه به آی‌پی پشتیبانی می‌کند. هر بار که فعالیتی در DNS رخ می‌دهد، پایگاه داده DNS اطلاعات آدرس آی‌پی، رکورد DNS و داده‌های مربوطه مثل سرورها و دامنه‌ها را ثبت می‌کند. معمولاً به این داده‌ها، «DNS منفعل» گفته می‌شود و می‌توان با تحلیل آنها تغییرات و رکوردهای قبلی DNS را مشخص کرد. برای بیشتر کارشناسان فناوری اطلاعات، همین میزان اطلاعات درباره DNS جهت اجرای کارها و انجام وظایف روزمره شان کفایت می‌کند.

هر چند DNS در پس زمینه اجرا شده و معمولاً توجهی به آن نمی‌شود اما کارشناسان امنیتی که در زمینه دفاع سایبری، عملیات امنیتی، تحلیل بدافزار، واکنش به حوادث و جرم شناسی رایانه ای فعالیت می‌کنند، متوجه شده‌اند که DNS می‌تواند اطلاعات ارزشمندی را درباره فعالیت‌های پیش از حادثه، حین حادثه و پس از آن برای سازمان‌ها فراهم کند. تا همین اواخر، استفاده از داده‌های DNS برای دفاع سایبری کاری بسیار چالش برانگیز بود و به دلیل تأخیر در دریافت آن، نیاز به داشتن مجموعه ای بسیار بزرگ از داده ها و دانش تخصصی برای استخراج اطلاعات ارزشمند از دل داده‌های DNS بود.

در ادامه این مطلب، روش‌های استفاده از داده‌های DNS توسط کارشناسان امنیت سایبری و پیشرفت‌های جدیدی که قابلیت استفاده از این داده‌ها را افزایش می دهند مرور خواهیم کرد. همچنین به بررسی یک مطالعه موردی می پردازیم که نشان می‌دهد یک سازمان خاص چگونه از داده‌های DNS برای بهبود راهبرد دفاع سایبری خود استفاده می ­کند.

روش مورد استفاده

Aite Group با کمک منابع داده‌ای که در دسترس عموم قرار دارد و گفتگو با مجموعه برگزیده‌ای از معمار‌های امنیتی، مسئولان واکنش به حادثه، محققان حوزه امنیت و کارشناسان عملیات امنیتی، درباره استفاده از داده‌های DNS تحقیقاتی را انجام داده است. همچنین برای این مطالعه موردی با یک مدیر ارشد امنیت اطلاعات، معمار امنیت و مدیر عملیات امنیتی در یک شرکت بزرگ ارایه دهنده محصولات حوزه فناوری مصاحبه کرده است.

بازار

تیم‌های امنیت سایبری از منابع مختلفی برای شناسایی فعالیت‌های مهاجمان در مراحل قبل، حین و پس از حمله استفاده می‌کنند. این منابع از نظر کیفیت بسیار با یکدیگر متفاوت هستند و معمولاً برای تبدیل شدن به یک منبع امنیت سایبری کارآمد، فاقد اطلاعات زمینه‌ای مناسب می باشند (جدول الف). هر یک از این منابع، تحت تأثیر سرعت برنامه‌ریزی مهاجمان سازماندهی می شوند.

گرایشات بازار	پیامدهای بازار
یک سازمان می‌تواند از هزاران نسخه هوش تهدید کد منبع باز استفاده کند.	نسخه‌های کد منبع باز از نظر کیفیت و ویژگی‌های زمانی، تنوع زیادی دارند. آنها فاقد اطلاعات زمینه‌ای هستند و ممکن است باعث ایجاد تشخیص‌های مثبت کاذب شوند. به احتمال زیاد چنین نسخه­‌هایی نمی‌توانند اطلاعات منسوخه و عملی را در اختیار سازمان‌ها قرار دهند تا آماده مقابله با حملات سایبری شوند.
وجود منابع مختلف و همپوشان از هوش تهدید می‌تواند منجر به ایجاد سربار اطلاعاتی شود.	سازمان باید برای انتخاب نسخه‌های هوش تهدید با دقت عمل کند.
چندین شرکت امنیت سایبری مختلف، داده‌های هوش تهدید را در قالب طرح‌های اشتراکی در اختیار مشتریان قرار می‌دهند. چون همیشه کیفیت و ویژگی‌های زمانی مختلف داده‌ها به مشخص کردن مخارج و هزینه‌ها کمک نمی‌کنند بنابراین ممکن است تخمین درست بازده سرمایه، کار چالش برانگیزی باشد.	سازمان‌ها باید منحصر به فرد و مناسب بودن نسخه­‌های تهدید تجاری را نسبت به هزینه‌های آنها بررسی کنند. در صورت امکان، نسخه‌­های تجاری گران قیمت باید متناسب با نیازهای کاری سازمان باشند.
داده‌های تهدید توسط گروه‌های صنعتی و منابع دولتی مثل مرکز تحلیل و به اشتراک گذاری اطلاعات خدمات مالی[5] (FS-ISAC) و سیستم آگاهی سایبری ورزات امنیت میهن آمریکا عرضه می‌شوند.	داده‌های تهدید ممکن است از منابع بسیار حساسی جمع آوری شده باشند. بعضی از این داده‌ها باید برای کاربردهای تجاری هویت زدایی شوند. این عوامل به دلیل پیچیدگی فرایندهای تأیید انتشار می‌توانند منجر به تأخیر قابل توجهی در توزیع داده‌ها شوند.
تحلیل داده‌های تهدید می‌تواند کار سختی باشد و به کارشناسان امنیت سایبری مجرب نیاز دارد تا به زمینه و شرایط لازم برای سازمان برسد. بیشتر سازمان‌ها فاقد ابزارهای تخصصی برای کار با مجموعه داده‌های بسیار بزرگ هستند.	سازمان‌هایی که استفاده از داده‌های تهدید را شروع کرده یا استفاده از آن را گسترش می‌دهند باید با دقت، عامل انسانی را در نظر بگیرند. ابزارهای اتوماسیون و هماهنگ سازی هنوز در اولین مراحل توسعه قرار دارند.
پیشرفت‌های اخیر در زمینه توزیع داده‌های تهدید بر اساس DNS و استفاده از هوش مصنوعی و یادگیری ماشینی، ارزش این منابع را به میزان زیادی افزایش داده است.	این بخش از بازار با سرعت زیادی رو به توسعه است و می‌تواند ارزش داده‌های منفعل DNS برای ارتقای دفاع سایبری را افزایش دهد. شرکت‌هایی مثل ارایه دهندگان خدمات امنیتی مدیریت شده (MSSP) امکان اضافه کردن این منابع داده ای به سرویس‌های خودشان را دارند.

روش‌های استفاده از DNS منفعل برای تشخیص حمله

مهاجمان برای اجرای عملیات مخرب خود، دامنه‌های جدیدی ثبت کرده و از دیتااستریم‌های DNS برای استخراج داده‌های حساس از سازمان‌ها استفاده می‌کنند. جدوب «ب» تعدادی از فعالیت‌های مهاجمان را نشان می‌دهد که با استفاده از DNS منفعل قابل شناسایی هستند.

جدول ب: انواع حمله و تشخیص DNS منفعل

فعالیت	زمینه
مهاجمان می‌توانند از الگوریتم‌های ساخت دامنه[6] (DGA) در بدافزارها برای تولید تعداد بسیار زیادی از دامنه­‌ها استفاده کنند. سپس یک یا چند مورد از این دامنه‌ها را ثبت می‌کنند تا بدافزار آنها قادر به ارتباط با سرور فرماندهی و کنترلی که خارج از سازمان آلوده قرار گرفته است، باشد.	قبلاً مهندسی معکوس یا تحلیل بدافزار در یک محیط سندباکس جهت بررسی قابلیت‌های آن در زمینه تولید دامنه ضروری بود. در حال حاضر  با تحلیل داده‌های DNS منفعل می‌توان الگوهای رفتاری مربوط به DGA را شناسایی کرد. این روش نسبت به تحلیل بدافزار بسیار سریع‌تر است.
مهاجمان می‌توانند از روش DNS Tunneling برای مخفی کردن ارتباطات خودشان با سرور فرماندهی و کنترل یا استخراج داده‌های حساس از طریق درخواست‌­ها و پاسخ‌های DNS استفاده کنند. از آنجا که DNS Tunneling برای کاربردهای بی خطر مثل به‌روزرسانی محصولات هم استفاده می‌شود، به سختی می‌توان استفاده از آن توسط مهاجمان را شناسایی کرد.	از داده‌های DNS منفعل می­ توان برای شناسایی دامنه‌های شناخته شده‌ای که مربوط به فعالیت مهاجمان هستند استفاده کرد. همچنین داده‌های DNS برای بررسی درخواست ­ها و پاسخ‌ها جهت شناسایی نشانه های Tunneling هم قابل استفاده است. به دلیل آن که مهاجمان برای پیشگیری از شناسایی فقط نیاز به یک بازه زمانی کوتاه دارند بنابراین این روش می‌تواند چالش برانگیز باشد.
مهاجمان، دامنه‌هایی را ثبت می‌کنند که برای مدتی طولانی از آنها استفاده نشده است. این دامنه‌ها غیرفعال و ساکن بوده و بعد برای پشتیبانی از حملات مختلف مثل فیشینگ و کمپین‌های باج افزاری فعال می‌شوند. همچنین دامنه‌هایی که به تازگی غیرفعال شده‌اند و بعد با سرعت فعال می‌شوند، معمولاً برای اجرای حمله مورد استفاده قرار می‌گیرند.	کارشناسان امنیت سایبری می‌توانند از داده‌های DNS منفعل برای دنبال کردن دامنه‌هایی که از 7 روز پیش فعال نبوده‌اند مثل دامنه‌های سطح بالا، دامنه‌های سطح دوم و دامنه‌هایی با نام‌های واجد شرایط استفاده کنند. فعال یا غیرفعال شدن ناگهانی یک دامنه می‌تواند نشان دهنده فعالیت مخرب باشد. با توجه به این که هکرها برای مدت کوتاهی از دامنه‌ها استفاده می‌کنند بنابراین تشخیص زودهنگام آنها اهمیت زیادی دارد.
مهاجمان می‌توانند دامنه‌های مجاز را تحت کنترل بگیرند تا ترافیک آنها را به سمت زیرساخت‌های خودشان هدایت کنند. این کار با دستکاری رکوردهای DNS انجام می‌شود.	برای این که نشانه های این حمله شناسایی شوند، تغییرات آی‌پی یا سرور نام دامنه در داده‌های DNS منفعل را می­ توان ظرف 7 روز اخیر بررسی کرد. معمولاً انجام این کار برای تحلیلگر امنیت زمان بر است، مگر در صورت استفاده از ابزارهای تحلیلی پیشرفته.

کاربردهای آتی داده‌های DNS منفعل

جدول ب، روش‌های استفاده از داده‌های DNS منفعل را برای شناسایی فعالیت‌های مشکوک و حملات واقعی نشان می‌دهد. داده‌های DNS می‌توانند یک منبع غنی از اطلاعات ارزشمند جهت شناسایی، تحلیل و بازرسی درباره حملات سایبری باشند اما ارزش واقعی این داده‌ها هنگامی نمایان می‌شود که یک سازمان با کمک آنها قادر به پیشگیری از وقوع حمله یا محدود کردن فوری اثرات آن باشد. اگر داده‌های DNS منفعل با سرعت به دست آمده و قابلیت اطمینان و زمینه لازم را داشته باشند، سازمان می‌تواند به شکل پیشگیرانه از فایروال، تعدیل کننده‌های بار و فایروال برنامه‌های کاربردی تحت وب (WAF) برای مسدود کردن آی‌پی‌ها و دامنه‌های مشکوک یا منتسب به مهاجمان استفاده کند. در صورت اجرای حمله‌ای موفقیت آمیز از داده‌های DNS می­ توان برای کمک به تیم امنیت سازمان جهت کاهش زمان لازم شناسایی و مقابله با حمله استفاده کرد.

نوآوری‌های جدید در خصوص دانش قابل ایجاد با استفاده از DNS، جان تازه‌ای به روش‌های استفاده از DNS جهت مقابله پیشگیرانه با حملات سایبری بخشیده است. این نوآوری‌ها شامل جمع آوری داده‌های DNS از منابع جهانی مختلف، تجمیع داده‌ها در قالب نسخه­‌هایی که به راحتی قابل استفاده هستند و استفاده از هوش مصنوعی و یادگیری ماشینی برای تحلیل مجموعه داده‌های بسیار بزرگ هستند. هم اکنون سازمان‌ها بدون این که به استخدام کارشناس مجرب امنیت سایبری برای استخراج اطلاعات از اقیانوس داده‌های رایگان و غیررایگان نیاز داشته باشند می‌توانند اطلاعات ارزشمندی را درباره تهدیدات سایبری به ابزارهای امنیت سایبری خودشان اضافه کنند. همچنین داده‌های پیشرفته DNS باعث اضافه شدن قابلیت‌های جدید به مرکز عملیات امنیت مدیریت شده (MSSP[7]) می‌شود تا خدمات ارزشمندی را در اختیار مشتریان قرار دهند. Aite Group باور دارد که این نوآوری‌ها به منظور افزایش قابلیت‌ها و ارزش داده‌های DNS منفعل در سال 2020 و پس از آن شتاب می‌گیرند.

‎‎مطالعه موردی

تیم امنیت سایبری سازمانی بزرگ با درآمد سالیانه بیش از 1.2 میلیارد دلار، یک طرح ابتکاری برای بررسی روش‌های جدید شناسایی و کاهش اثر حملات سایبری دارد. این تیم با هدف تحلیل رفتار مهاجمان، از داده‌های DNS منفعل و منابع موجود درباره تهدیدات سایبری استفاده می‌کرد اما در نهایت به این نتیجه رسید که استفاده از این منبع، کار پرزحمتی است و این روش سرعت لازم برای پیشی گرفتن از مهاجمان را ندارد. به ویژه این که با توجه به تعداد زیاد تشخیص‌های مثبت کاذب ایجاد شده توسط سایر منابع، این تیم کارمندان لازم برای انجام تحقیقات جامع در خصوص مهاجمان سایبری را نداشت.

بنابراین این تیم، طرح اشتراک در سرویس UltraThreat Feeds که محصول جدیدی از شرکت Neustar (ارایه دهنده راهکارهای امنیتی) است را تهیه کرد. بیش از 22 سال است که Neustar سرویس‌های DNS را به مشتریان عرضه کرده و یک منبع غنی از داده‌های تاریخچه‌ای DNS را در اختیار داشته است. Neustar روزانه بیش از 100 میلیارد جستجوی DNS از شبکه جهانی متشکل از پلتفرم‌های مختلف را مدیریت می‌کند. همچنین Neustar داده‌های لازم را از سرویس‌های اختصاصی OneID خودش استخراج می‌کند. منبع UltraThreat Feeds داده‌های OneID و DNS خود شرکت Neustar است که می‌تواند به طور چشمگیری سرعت شناسایی فعالیت‌های مشکوک یا حملات واقعی را افزایش دهد. همچنین Neustar قابلیت‌های یادگیری ماشینی و هوش مصنوعی را به داده‌های جمع آوری شده اعمال کرده و از آنها در ترکیب با داده‌های تاریخچه‌ای خود استفاده می‌کند تا به سرعت بتواند اطلاعات منسوخه لازم را استخراج کرده و زمان تحلیل مجموعه داده‌های بزرگ را نسبت به روش دستی، به میزان قابل توجهی کاهش دهد.

این تیم امنیت سایبری، یک پکیج UltraThreat Feeds را از سرویس ذخیره اطلاعات ساده آمازون[8] (S3) تهیه کرد. این منابع تقریباً به صورت لحظه‌ای یعنی هر 15 دقیقه یک بار توسط Neustar به‌روزرسانی می‌شوند. این تیم یک اسکریپت برای وب ‌سرویس‌های آمازون (AWS) نوشت تا به شکل خودکار، داده‌های نسخه را از باکت S3 در بازه‌های زمانی منظم استخراج کرده و داده‌های مربوط به این تهدیدات سایبری را با استفاده از یک APIی REST به پلتفرم مدیریت رویداد و اطلاعات امنیتی[9] (SIEM) خودش ارسال کند. این تیم در ابتدا بر هشدارهای مربوط به DGAها و آی‌پی‌های ناشناس متمرکز شد.

هر چند هنگام مصاحبه با اعضای این تیم، آنها فقط حدود 7 هفته از نسخه‌های Neustar استفاده کرده بودند اما این سازمان و مدیر ارشد امنیت اطلاعات آن از افزایش چشمگیر ارزش داده‌های DNS منفعل خبر دادند. با توجه به این که تعداد تشخیص‌های مثبت کاذب به میزان چشمگیری کاهش یافته بود، این تیم متوجه بهبود قابل توجهی در سرعت کارها نسبت به سایر نسخه­‌های تهدید شدند. برای این که تصمیم گیری درباره اقدامات سایبری پیشگیرانه با سرعت بیشتری انجام شود، از این داده‌ها به شکل فعالانه در عملیات امنیتی استفاده می‌شود. داده‌های لازم هم از طریق یک داشبورد Kibana در اختیار تیم‌های عملیاتی قرار می‌گیرد. این گروه، داده‌های به دست آماده را به درخواست‌های واقعی وب سرور، نشانه های بات‌نت و فعالیت‌هایی ارتباط دادند که می‌توانستند مربوط به آسیب‌پذیری‌های تشریح شده در گزارش «پروژه باز امنیت برنامه‌های کاربردی تحت وب» باشند.

این گروه، نسخه‌­های UltraThreat Feeds را یک پیشرفت مهم در فناوری سایبری دانسته و اعلام کردند که به زودی قابلیت‌های دیگری را بر اساس نسخه­‌های تهدید پیاده‌سازی می‌کنند.

توصیه‌ها

Aite Group به سازمان‌ها توصیه کرده برای استفاده از داده‌های DNS منفعل پیشرفته جهت تکمیل برنامه‌های امنیت سایبری خودشان این اقدامات را انجام دهند:

• اگر در حال حاضر از نسخه­‌های تهدید مبتنی بر DNS استفاده نمی‌کنید، حتماً برای تکمیل دفاع سایبری خودتان استفاده از آن را در نظر داشته باشید تا درباره فعالیت‌های مخربی که می‌توانند نشان دهنده حمله سایبری باشند، هشدارهایی پیشرفته را دریافت کنید.
• اگر سازمانی از چندین منبع رایگان و غیررایگان برای دسترسی به هوش تهدید استفاده می‌کند باید ارزش ایجاد شده توسط هر یک از آنها را مشخص کند. بررسی کنید که آیا می‌توان داده‌های پیشرفته DNS را جایگزین نسخه­‌های ضعیف یا تکراری کرد یا خیر.
• کارشناسان امنیت باید دانش خودشان درباره نحوه کار DNS و داده‌های قابل استخراج از منابع DNS فعال و تاریخچه‌ای را افزایش دهند. کارشناسان امنیت به ویژه آنهایی که در فعالیت‌های دفاع سایبری نقش دارند باید با چگونگی کار نهادهای ثبت دامنه و نحوه استفاده از DNS Tunneling توسط هکرها جهت استخراج داده‌های حساس آشنا باشند. Reading Room از مؤسسه SANS منبعی ارزشمند از اطلاعات پیشرفته درباره امنیت DNS است.
• تیم‌های تحلیل جرم شناسی و واکنش به حوادث می‌توانند هنگام بررسی رویدادهای سایبری و نشانه های نفوذ، از منابع عظیم تاریخچه DNS و تحلیل‌های پیشرفته استفاده کنند.
• ارایه دهندگان راهکارهای امنیتی به ویژه MSSP باید بررسی کنند که آیا می‌توانند به عنوان یک سرویس متمایز، نسخه‌­های تهدید استخراج شده از داده‌های DNS را به موقع به مشتریان شان عرضه کنند یا خیر.
• سازمان‌ها باید استفاده از نسخه‌­های تهدید پیشرفته بر اساس داده‌های DNS منفعل و فرصت‌های اتوماسیون و هماهنگ سازی مربوطه را در نظر داشته باشند چون این قابلیت‌ها به سرعت رشد و توسعه پیدا می‌کنند.

نتیجه گیری

• داده‌های DNS سال ­ها است که به سازمان‌ها امکان شناسایی فعالیت‌های مخرب مربوط به ثبت دامنه و DNS Tunneling جهت اجرای حملات سایبری را داده‌اند. با این وجود، به موقع نبودن عرضه این داده‌ها، نبود زمینه و شرایط لازم، نیاز به مهارت‌های پیشرفته و بالا بودن میزان تشخیص کاذب؛ همگی باعث شده استفاده عملی از این داده‌ها برای دفاع سایبری پیشگیرانه بسیار چالش برانگیز شود.
• نسخه­‌های تهدید مبتنی بر DNS از جمله ثبت دامنه، استفاده از پروکسی‌ها و بات‌های ناشناس و غیره می‌توانند طیف وسیعی از فعالیت‌های مهاجمان را آشکار کنند.
• سازمان‌هایی که از نسخه­‌های تهدید باکیفیت و به موقع استفاده می‌کنند می‌توانند از سازوکارهای دفاعی سنتی مثل فایروال‌ها، ابزارهای تعدیل بار و فایروال‌های برنامه‌های کاربردی تحت وب جهت مسدود کردن به موقع دامنه‌ها و آی‌پی‌های مشکوک یا منتسب به مهاجمان استفاده کنند.
• نسخه‌­های تهدید مبتنی بر DNS پیشرفته می‌توانند تعداد تشخیص‌های مثبت کاذب را کاهش داده و به کارشناسان امنیت این امکان را امکان ‌دهند که متمرکز بر اطلاعات منسوخه و کاربردی شوند. در صورت وقوع حملات موفق، نسخه­‌های تهدید مبتنی بر DNS به تیم‌های امنیتی کمک می‌کنند زمان لازم برای تشخیص و مقابله را کاهش دهند.
• پیشرفت‌های اخیر مثل فراهم شدن امکان استفاده از شبکه‌ای بزرگ متشکل از حسگرهای جهانی، یادگیری ماشینی و هوش مصنوعی استفاده از داده‌های به دست آمده از DNS برای تصمیم گیری‌های دفاعی مهم را آسان‌تر کرده است. قطعاً در سال 2020 و پس از آن شاهد پیشرفت هر چه بیشتر در این عرصه خواهیم بود.

[1] Domain Name Service

[2] Internet Protocol

[3] User Datagram Protocol

[4] Transmission Control Protocol

[5] Financial Services Information Sharing and Analysis Center

[6] Domain Generation Algorithms

[7] Managed Security Services Provider

[8] Simple Storage Service

[9] Security Information and Event Management