Matt Kodama, qui dirige la science des données de la société de cybersécurité Recorded Future, compare son travail à celui de travailler à l’arrière de la maison d’un restaurant. Son équipe est celle qui fait les courses, conçoit les recettes, cuisine et dresse les assiettes. 

Les composants avec lesquels son équipe travaille sont des éléments de données qu’ils sélectionnent sur tout le Web, qu’ils analysent ensuite pour extraire des informations utiles que les clients peuvent utiliser. Ces informations sont ensuite intégrées à la plate-forme logicielle de Recorded Future, qui est utilisée par les grandes institutions financières, les gouvernements et bien d’autres pour suivre en temps réel les menaces potentielles, tant en ligne que dans le monde réel, pour leurs organisations. 

La salle de presse de Mastercard a récemment visité le siège de Recorded Future, qui a fait partie de Mastercard en décembre, et a eu la chance de s’asseoir avec Kodama et d’entendre parler de son travail. 

Les questions-réponses suivantes ont été modifiées pour des raisons de longueur et de clarté. 

Il couvre tout le spectre, à partir de nombreux types de données accessibles au public. À l’autre extrémité du spectre, nous avons trouvé des moyens astucieux et sophistiqués d’accéder aux données à partir d’endroits plus difficiles d’accès qui sont souvent utilisés par les auteurs de cybermenace. 

Pour les acteurs de la menace, l’un des plus grands jeux en ville à l’heure actuelle consiste à voler des informations sur les ordinateurs de certaines personnes. Maintenant, les acteurs de la menace ont vos chaînes de connexion, vos mots de passe, vos cookies, toutes les informations sur l’apparence de votre ordinateur. Grâce à ces données, cet acteur malveillant peut créer une fausse machine qui ressemble à votre ordinateur et faire en sorte que le trafic du navigateur de cette fausse machine donne l’impression qu’il provient de votre ville. 

Si vous êtes un acteur malveillant travaillant dans le jeu des ransomwares d’entreprise, il s’agit d’informations précieuses pour accéder au réseau que vous ciblez. Le nombre de fichiers d’ordinateurs infectés comme celui-ci qui sont proposés à la vente est fou. C’est un gros business.

C’est un monde fou, fou. C’est comme un marché aux puces. 

Ce qui intéresse de nombreux clients, c’est de savoir s’ils peuvent découvrir le plus rapidement possible qu’une connexion à haut risque, comme celle de leur VPN, a été exposée. Ils peuvent prendre des mesures de sécurité très spécifiques. S’il y a une session de connexion, tuez-la. Quel que soit le mot de passe qui figure actuellement sur cette connexion, réinitialisez-le., Parce qu’il s’agit essentiellement d’une course : à quelle vitesse ces informations seront-elles utilisées par les acteurs de la menace par rapport à quelle vitesse les défenseurs peuvent-ils les découvrir et y remédier. 

Tous les ordinateurs qui essaient d’envoyer des messages sur Internet doivent avoir ces tables qui disent : « Si vous essayez de parler à ce domaine en ligne, envoyez un message à cette adresse IP ». C’est comme l’annuaire téléphonique d’Internet. 

Une analyse vraiment basique mais en fait assez efficace consiste simplement à prendre toutes ces informations et à se dire : « Qu’est-ce qui est ici aujourd’hui qui n’était pas là hier ? » Il y a constamment de nouvelles entreprises qui se créent, et puis, bien sûr, beaucoup d’entre elles échouent. Il est donc très, très normal que de nouveaux domaines apparaissent et ne nuisent à personne, puis disparaissent. Je ne peux donc pas simplement dire à tout le monde : « Hé, c’est un nouveau domaine, bloquez-le. » Nous pouvons plutôt passer par chacun de ces nouveaux domaines et essayer de nous y connecter. Et si le certificat de sécurité qu’il me renvoie est un nouveau certificat et qu’il a l’air bizarre, ce sont des certificats risqués. 

À la fin de toute cette histoire, ce qu’un client essaie de faire, c’est de dire : « Pourriez-vous s’il vous plaît me donner une très courte liste de noms de domaine que je devrais mettre dans mon filtre [Système de noms de domaine] et m’assurer qu’aucun de mes employés ne navigue vers ce domaine ? » S’ils peuvent le bloquer, c’est l’étalon-or. 

Idéalement, oui. Les méchants doivent mettre en place leur infrastructure avant de pouvoir l’utiliser. L’idée est de détecter très rapidement quand une infrastructure est mise en place, puis de déterminer correctement quelle nouvelle infrastructure est exploitée par des acteurs malveillants, par opposition à tout ce qui est normal et bénin.

Le problème dans le monde, c’est qu’il y a tellement d’activités de méchants. Si je pouvais magiquement donner à une entreprise un flux de tous les noms de domaine très, très susceptibles d’être à haut risque qu’elle devrait bloquer – ils n’ont pas de contrôles de sécurité qui s’adaptent à ce nombre de domaines. C’est tout simplement trop de mauvaises choses. Les clients sont très, très avides de toutes les informations que nous pouvons leur donner - pas seulement ce nom de domaine est risqué, mais qui s’en prennent à qui s’attaquent-ils et quelles indications suggèrent qu’ils s’en prennent à des gens comme moi. Parce qu’alors, je donnerais la priorité à l’utilisation de cette information pour ma sécurité plutôt que, franchement, probablement 90 % des menaces similaires qui ressemblent presque exactement à cela, mais qui s’en prennent à quelqu’un d’autre. 

Les clients ont un problème d’optimisation très difficile, comme la capacité limitée de leurs contrôles de sécurité. Sur quoi vont-ils se concentrer ? Il y en a trop. Ils ont donc hâte que nous leur donnions des informations qui les aideront à résoudre ce problème d’optimisation.