Recorded Future kibertəhdidləri necə tapır və izləyir? Onun məlumat elmləri üzrə rəhbəri izah edir.

Kibertəhlükəsizlik şirkəti olan Recorded Future -da məlumat elmləri üzrə rəhbərlik edən Matt Kodama işini restoranda evin arxasında işləməyə bənzədir. Onun komandası ərzaq alış-verişi, reseptlər hazırlama, yemək bişirmə və boşqablara yemək yerləşdirmə ilə məşğul olan komandadır. 

Onun komandasının işlədiyi komponentlər, internetin hər yerindən topladıqları məlumat parçalarıdır və sonra müştərilərin istifadə edə biləcəyi faydalı məlumatları təhlil edirlər. Daha sonra bu məlumat Recorded Future proqram platformasına daxil edilir və bu platformadan böyük maliyyə qurumları, hökumətlər və bir çox başqaları tərəfindən təşkilatlarına qarşı həm onlayn, həm də real dünyada potensial təhdidləri real vaxt rejimində izləmək üçün istifadə olunur. 

Mastercard Xəbər Otağı bu yaxınlarda dekabr ayında Mastercard-ın bir hissəsinə çevrilən Recorded Future-un qərargahını ziyarət etdi və Kodama ilə oturub onun işi haqqında məlumat almaq şansı qazandı. 

Növbəti sual-cavab uzunluq və aydınlıq üçün redaktə edildi. 

O, ictimaiyyətə açıq olan bir çox məlumat növlərindən başlayaraq, tam spektri əhatə edir. Spektrin digər ucunda isə, kibertəhdid aktyorları tərəfindən tez-tez istifadə edilən, əlçatmaz yerlərdən məlumatlara daxil olmağın bəzi ağıllı və mürəkkəb yollarını tapdıq. 

Təhdid aktyorları üçün hazırda şəhərdəki ən böyük oyunlardan biri fərdi insanların kompüterlərindən məlumat oğurlamaqdır. İndi təhdidçilər giriş sətirlərinizi, parollarınızı, kukilərinizi və kompüterinizin necə göründüyünə dair bütün məlumatları əldə ediblər. Bu məlumatlarla, təhdidçi sizin kompüterinizə bənzəyən saxta maşın yarada və həmin saxta maşından gələn brauzer trafikini şəhərinizdən gələn kimi göstərə bilər. 

Əgər korporativ ransomware oyununda çalışan bir təhdid aktyoru olsanız, hədəf aldığınız şəbəkəyə daxil olmaq üçün bu, inanılmaz bir məlumatdır. Bu kimi yoluxmuş kompüterlərdən satışa çıxarılan faylların sayı inanılmaz dərəcədə çoxdur. Bu, böyük bir işdir.

Bu, dəli, dəli bir dünyadır. Bu, bit bazarı kimidir. 

Bir çox müştərinin ən çox maraqlandığı şey, VPN kimi yüksək riskli girişin aşkarlandığını mümkün qədər tez öyrənə bilmələridir. Onlar çox spesifik təhlükəsizlik tədbirləri görə bilərlər. Giriş sessiyası varsa, onu dayandırın. Hazırda həmin girişdə hansı parol varsa, onu sıfırlayın. Çünki bu, əsasən bir yarışdır: bu məlumat təhdid edənlər tərəfindən nə qədər tez istifadə ediləcək, yoxsa müdafiəçilərin bunu nə qədər tez aşkar edib düzəldə biləcəkləri. 

İnternet üzərindən mesaj göndərməyə çalışan bütün kompüterlərdə "Əgər bu domenlə onlayn danışmağa çalışırsınızsa, bu IP ünvanına mesaj göndərin" yazısı olan cədvəllər olmalıdır. Bu, internet üçün telefon kitabçası kimidir. 

Həqiqətən də sadə, lakin olduqca təsirli bir analitik, bütün bu məlumatları götürüb "Dünən burada olmayan nə var?" deməkdir. Daim yeni müəssisələr yaradılır və təbii ki, onların bir çoxu iflasa uğrayır. Beləliklə, yeni domenlərin peyda olması və sonra heç kimə zərər verməməsi və sonra yox olması çox, çox normaldır. Ona görə də hər kəsə sadəcə “Bu yeni domendir, bloklayın” deyə bilmərəm. Bunun əvəzinə, həmin yeni domenlərin hər birini nəzərdən keçirib ona qoşulmağa çalışa bilərik. Əgər mənə geri göndərdiyi təhlükəsizlik sertifikatı yenidirsə və qəribə görünürsə, bunlar risklidir. 

Bütün bu hekayənin sonunda bir müştərinin etməyə çalışdığı şey, "Zəhmət olmasa, mənə [Domen Adı Sistemi] filtrimə daxil etməli olduğum domen adlarının çox qısa siyahısını verə bilərsinizmi və işçilərimin heç birinin həmin domenə daxil olmamasını təmin edə bilərsinizmi?" deməkdir. Əgər onlar bunu bloklaya bilirlərsə, bu, qızıl standartdır. 

İdeal olaraq, bəli. Pis adamlar istifadə etməzdən əvvəl infrastrukturlarını qurmalıdırlar. Məqsəd, infrastrukturun nə vaxt çox tez qurulduğunu aşkar etmək və sonra bütün normal və zərərsiz şeylərdən fərqli olaraq, hansı yeni infrastrukturun təhdid aktyorları tərəfindən idarə olunduğunu düzgün şəkildə müəyyən etməkdir.

Dünyadakı problem ondadır ki, pis adamların fəaliyyəti çoxdur. Əgər sehrli şəkildə bir şirkətə bloklamalı olduqları çox, çox güman ki, yüksək riskli domen adlarının hamısını verə bilsəydim, onda onların bu sayda domenə uyğun təhlükəsizlik nəzarəti yoxdur. Sadəcə həddindən artıq pis şeylərdir. Müştərilər onlara verə biləcəyimiz hər hansı bir məlumat üçün çox, çox acdırlar - təkcə bu domen adı riskli deyil, həm də kimin arxasınca gedirlər və mənim kimi insanların arxasınca düşdüklərini göstərən hansı əlamətlər var. Çünki o zaman təhlükəsizliyim üçün həmin məlumatdan istifadəyə üstünlük verərdim, açığı, demək olar ki, eyni görünüşlü, lakin başqasının arxasınca düşən oxşar təhdidlərin təxminən 90%-nə qarşı. 

Müştərilərin təhlükəsizlik nəzarətlərinin məhdud tutumu kimi çox çətin bir optimallaşdırma problemi var. Onlar nəyə diqqət yetirəcəklər? Həddindən artıq çoxdur. Və buna görə də onlar optimallaşdırma problemində onlara kömək edəcək anlayışlar verməyimizə can atırlar.