Matt Kodama, hoofd data science bij het cyberbeveiligingsbedrijf Recorded Future, vergelijkt zijn baan met werken aan de achterkant van het huis in een restaurant. Zijn team is degene die boodschappen doet, recepten ontwerpt, kookt en het eten op tafel zet. 

De componenten waarmee zijn team werkt, zijn stukjes gegevens die ze van overal op internet verzamelen, die ze vervolgens analyseren om nuttige informatie te achterhalen die klanten kunnen gebruiken. Die informatie wordt vervolgens ingevoerd in het softwareplatform van Recorded Future, dat wordt gebruikt door grote financiële instellingen, overheden en vele anderen om potentiële bedreigingen, zowel online als in de echte wereld, in realtime voor hun organisaties te volgen. 

De Mastercard Newsroom bezocht onlangs het hoofdkantoor van Recorded Future, dat in december onderdeel werd van Mastercard, en kreeg de kans om met Kodama te gaan zitten en over zijn werk te horen. 

De volgende Q&A is bewerkt voor lengte en duidelijkheid. 

Het beslaat het hele spectrum, uitgaande van vele soorten gegevens die openbaar beschikbaar zijn. Aan de andere kant van het spectrum hebben we een aantal slimme en geraffineerde manieren bedacht om toegang te krijgen tot gegevens van moeilijker te bereiken plaatsen die vaak worden gebruikt door actoren van cyberbedreigingen. 

Voor bedreigingsactoren is een van de grootste games in de stad op dit moment het stelen van informatie van de computers van individuele mensen. Nu hebben bedreigers uw inlogstrings, uw wachtwoorden, uw cookies, alle informatie over hoe uw computer eruit ziet. Met deze gegevens kan die dreigingsactor een nepmachine maken die op uw computer lijkt, en kan hij het browserverkeer van die nepmachine eruit laten zien alsof het uit uw stad komt. 

Als u een bedreigingsactor bent die in het ransomware-spel voor ondernemingen werkt, is dat geweldige informatie om toegang te krijgen tot het netwerk waarop u zich richt. Het aantal bestanden van geïnfecteerde computers zoals deze die te koop worden aangeboden, is krankzinnig. Het is een grote business.

Het is een gekke, gekke wereld. Het is net een vlooienmarkt. 

Waar veel klanten om geven, is of ze er zo snel mogelijk achter kunnen komen dat een risicovolle login, zoals bij hun VPN, is blootgesteld. Ze kunnen heel specifieke beveiligingsmaatregelen nemen. Als er een inlogsessie is, stop deze dan. Welk wachtwoord er ook op dat moment op die login staat, reset het., Omdat het eigenlijk een race is: hoe snel zal deze informatie worden gebruikt door bedreigingsactoren versus hoe snel kunnen de verdedigers erachter komen en deze verhelpen. 

Alle computers die berichten via internet proberen te verzenden, moeten deze tabellen hebben met de tekst: "Als u online met dit domein probeert te praten, stuur dan een bericht naar dit IP-adres." Het is als het telefoonboek voor internet. 

Een heel basale maar eigenlijk behoorlijk effectieve analyse is om al deze informatie te nemen en te zeggen: "Wat is hier vandaag dat er gisteren niet was?" Er worden voortdurend nieuwe bedrijven opgericht, en dan falen er natuurlijk veel van. Het is dus heel, heel normaal dat er nieuwe domeinen opduiken en dan niemand kwaad doen en dan verdwijnen. Dus ik kan niet zomaar tegen iedereen zeggen: "Hé, dit is een nieuw domein, blokkeer het." We kunnen in plaats daarvan elk van die nieuwe domeinen doorlopen en proberen er verbinding mee te maken. En als het beveiligingscertificaat dat het me terugstuurt een nieuw certificaat is en er raar uitziet, zijn dat riskante. 

Aan het einde van dit hele verhaal, wat een klant probeert te doen, is zeggen: "Kunt u mij alstublieft een zeer korte lijst met domeinnamen geven die ik in mijn [Domain Name System]-filter moet plaatsen en ervoor zorgen dat geen van mijn werknemers naar dat domein surft?" Als ze het kunnen blokkeren, is dat de gouden standaard. 

Idealiter wel. De slechteriken moeten hun infrastructuur opzetten voordat ze er gebruik van kunnen maken. Het idee is om te detecteren wanneer infrastructuur extreem snel wordt opgezet en vervolgens correct uit te zoeken welke nieuwe infrastructuur wordt beheerd door bedreigingsactoren, in tegenstelling tot alle normale en goedaardige dingen.

Het probleem in de wereld is dat er zoveel slechteriken zijn. Als ik een bedrijf op magische wijze een feed zou kunnen geven van alle zeer, zeer waarschijnlijk risicovolle domeinnamen die ze zouden moeten blokkeren - hebben ze geen beveiligingscontroles die kunnen worden opgeschaald naar dat aantal domeinen. Het is gewoon te veel slecht spul. Klanten zijn heel, heel hongerig naar alle inzichten die we hen kunnen geven - niet alleen deze domeinnaam is riskant, maar ook naar wie gaan ze en welke indicaties suggereren dat ze achter mensen zoals ik aan gaan. Want dan zou ik prioriteit geven aan het gebruik van dat stukje informatie voor mijn beveiliging vers, eerlijk gezegd, waarschijnlijk 90% van de vergelijkbare bedreigingen die er bijna precies zo uitzien, maar ze gaan achter iemand anders aan. 

Klanten hebben een zeer moeilijk optimalisatieprobleem, zoals de beperkte capaciteit van hun beveiligingscontroles. Waar gaan ze zich op richten? Er is te veel. En dus willen ze graag dat wij ze inzichten geven die hen helpen met dat optimalisatieprobleem.