Matt Kodama, koji vodi odjel za nauku o podacima u kompaniji za sajber sigurnost Recorded Future, poredi svoj posao sa radom u zadnjem dijelu kuće u restoranu. Njegov tim je taj koji kupuje namirnice, osmišljava recepte, kuha i servira hranu. 

Komponente s kojima njegov tim radi su podaci koje prikupljaju s cijelog weba, a zatim ih analiziraju kako bi izdvojili korisne informacije koje kupci mogu koristiti. Te informacije se zatim unose u softversku platformu Recorded Future, koju koriste velike finansijske institucije, vlade i mnogi drugi za praćenje potencijalnih prijetnji svojim organizacijama, kako online tako i u stvarnom svijetu, u realnom vremenu. 

Mastercard Newsroom je nedavno posjetio sjedište kompanije Recorded Future, koja je postala dio Mastercarda u decembru, i imao priliku da razgovara sa Kodamom i čuje o njegovom radu. 

Sljedeća pitanja i odgovori su uređeni radi dužine i jasnoće. 

Pokreće puni spektar, počevši od mnogih vrsta podataka koji su javno dostupni. S druge strane spektra, otkrili smo neke pametne i sofisticirane načine za pristup podacima s teže dostupnih mjesta koja često koriste akteri sajber prijetnji. 

Za aktere prijetnji, jedna od najvećih igara u gradu trenutno je krađa informacija s računara pojedinaca. Sada akteri prijetnji imaju vaše pristupne stringove, vaše lozinke, vaše kolačiće, sve informacije o tome kako vaš računar izgleda. S ovim podacima, taj napadač može napraviti lažnu mašinu koja izgleda kao vaš računar i učiniti da promet preglednika s te lažne mašine izgleda kao da dolazi iz vašeg grada. 

Ako ste akter prijetnje koji radi u igri ransomwarea za preduzeća, to su sjajne informacije za ulazak u mrežu koju ciljate. Broj datoteka sa zaraženih računara poput ovog koje se nude na prodaju je nevjerovatan. To je veliki biznis.

To je lud, ludi svijet. To je kao buvlja pijaca. 

Ono što mnoge korisnike zanima je da li mogu što brže saznati da je visokorizična prijava, poput one na njihov VPN, izložena. Oni mogu poduzeti vrlo specifične sigurnosne mjere. Ako postoji sesija prijave, prekinite je. Koja god lozinka trenutno postoji na toj prijavi, resetirajte je. Jer je to u osnovi utrka: koliko brzo će ove informacije iskoristiti prijetnje, naspram toga koliko brzo ih branioci mogu otkriti i sanirati. 

Svi računari koji pokušavaju slati poruke putem interneta moraju imati ove tabele koje kažu: „Ako pokušavate komunicirati s ovom domenom online, pošaljite poruku na ovu IP adresu.“ To je kao telefonski imenik za internet. 

Jedna zaista osnovna, ali zapravo prilično efikasna analitika je jednostavno uzimanje svih ovih informacija i pitanje: „Šta je ovdje danas što nije bilo ovdje jučer?“ Stalno se stvaraju novi poslovi, a onda, naravno, mnogi od njih propadnu. Dakle, vrlo je normalno da se pojave nove domene, koje zatim nikome ne nanesu štetu, a zatim nestanu. Dakle, ne mogu jednostavno svima reći: "Hej, ovo je nova domena, blokirajte je." Umjesto toga, možemo proći kroz svaku od tih novih domena i pokušati se povezati s njom. A ako mi sigurnosni certifikat koji mi pošalje nazad bude novi certifikat i izgleda čudno, to su rizični certifikati. 

Na kraju cijele ove priče, ono što kupac pokušava da uradi jeste da kaže: „Možete li mi, molim vas, dati vrlo kratak spisak domenskih imena koje bih trebao da stavim u svoj filter [Sistem domenskih imena] i da se pobrinem da nijedan od mojih zaposlenika ne pretražuje taj domen?“ Ako to mogu blokirati, to je zlatni standard. 

Idealno, da. Zločinci moraju postaviti svoju infrastrukturu prije nego što je mogu koristiti. Ideja je da se izuzetno brzo otkrije kada se infrastruktura postavlja, a zatim ispravno utvrdi kojom novom infrastrukturom upravljaju prijetnje, za razliku od svih normalnih i benignih stvari.

Problem u svijetu je što postoji toliko mnogo aktivnosti loših momaka. Kad bih mogao magično dati kompaniji podatke o svim vrlo, vrlo vjerovatno visokorizičnim imenima domena koje bi trebali blokirati - oni nemaju sigurnosne kontrole koje se mogu skalirati na taj broj domena. To je jednostavno previše loših stvari. Kupci su veoma, veoma željni bilo kakvih uvida koje im možemo pružiti - ne samo da je ovo ime domene rizično, već i koga oni progone i koji pokazatelji ukazuju na to da progone ljude poput mene. Jer bih onda dao prioritet korištenju te informacije za svoju sigurnost u odnosu na, iskreno, vjerovatno 90% sličnih prijetnji koje izgledaju gotovo identično, ali napadaju nekog drugog. 

Korisnici imaju vrlo težak problem optimizacije, poput ograničenog kapaciteta svojih sigurnosnih kontrola. Na šta će se fokusirati? Previše je toga. I zato su željni da im pružimo uvide koji će im pomoći s tim problemom optimizacije.