Мат Кодама, който ръководи науката за данните в компанията за киберсигурност Recorded Future, оприличава работата си на работа в задната част на ресторант. Неговият екип е този, който пазарува хранителни продукти, разработва рецепти, готви и сервира храната. 

Компонентите, с които работи екипът му, са части от данни, които те събират от цялата мрежа, и които след това анализират, за да извлекат полезна информация, която клиентите могат да използват. След това тази информация се подава към софтуерната платформа на Recorded Future, която се използва от големи финансови институции, правителства и много други, за да проследяват в реално време потенциалните заплахи за техните организации, както онлайн, така и в реалния свят. 

Отделът за новини на Mastercard наскоро посети централата на Recorded Future, която стана част от Mastercard през декември, и имаше възможност да седне с Кодама и да чуе за работата му. 

Следващият въпрос&A е редактиран за по-голяма дължина и яснота. 

Тя обхваща целия спектър, като се започне от много видове данни, които са публично достъпни. В другия край на спектъра сме измислили някои умни и сложни начини за достъп до данни от по-трудно достъпни места, които често се използват от участниците в киберзаплахи. 

За участниците в заплахите една от най-големите игри в града в момента е кражбата на информация от компютрите на отделни хора. Сега участниците в заплахите разполагат с низовете ви за влизане, паролите ви, бисквитките ви и цялата информация за това как изглежда компютърът ви. С помощта на тези данни заплахата може да създаде фалшива машина, която да прилича на вашия компютър, и да накара трафика на браузъра от тази фалшива машина да изглежда така, сякаш идва от вашия град. 

Ако сте участник в заплаха, работещ в сферата на рансъмуера за предприятия, това е невероятна информация за проникване в мрежата, към която се насочвате. Броят на файловете от подобни заразени компютри, които се предлагат за продажба, е безумен. Това е голям бизнес.

Светът е луд, луд. Това е като бълхарски пазар. 

Много клиенти се интересуват от това дали могат да разберат възможно най-бързо, че високорисково влизане, например в тяхната VPN услуга, е било разкрито. Те могат да предприемат много конкретни действия за сигурност. Ако има сесия за влизане, прекратете я. Каквато и да е текущата парола за това потребителско име, нулирайте я, Защото това е основно състезание: колко бързо тази информация ще бъде използвана от участниците в заплахите и колко бързо защитниците могат да я открият и поправят. 

Всички компютри, които се опитват да изпращат съобщения по интернет, трябва да имат тези таблици, които казват: "Ако се опитвате да говорите с този домейн онлайн, изпратете съобщение до този IP адрес." Това е нещо като телефонен указател в интернет. 

Един наистина елементарен, но всъщност доста ефективен анализ е да вземете цялата тази информация и да кажете: "Какво има днес, което не е било вчера?" Непрекъснато се създават нови бизнеси, но много от тях, разбира се, се провалят. Така че е много, много нормално да се появяват нови домейни, които не вредят на никого и изчезват. Така че не мога просто да кажа на всички: "Хей, това е нов домейн, блокирайте го." Вместо това можем да преминем през всеки един от тези нови домейни и да се опитаме да се свържем с него. И ако сертификатът за сигурност, който ми изпраща обратно, е нов сертификат и изглежда странно, това са рискови сертификати. 

В края на цялата тази история клиентът се опитва да каже: "Можете ли да ми дадете много кратък списък с имена на домейни, които трябва да сложа във филтъра си [Domain Name System] и да се уверя, че никой от моите служители не сърфира в този домейн?" Ако могат да го блокират, това е златният стандарт. 

В идеалния случай - да. Преди да могат да използват инфраструктурата си, лошите трябва да я създадат. Идеята е изключително бързо да се открие създаването на инфраструктура и след това правилно да се определи коя нова инфраструктура се управлява от участници в заплахи, а не от всички нормални и доброкачествени обекти.

Проблемът в света е, че има толкова много лоши хора. Ако можех по магически начин да дам на дадена компания списък с всички много, много вероятни високорискови имена на домейни, които тя трябва да блокира - тя няма контрол на сигурността, който да е подходящ за такъв брой домейни. Просто има твърде много лоши неща. Клиентите са много, много гладни за всяка информация, която можем да им дадем - не само че това име на домейн е рисково, но и за това кого преследват и какви индикации сочат, че преследват хора като мен. Защото тогава ще дам приоритет на използването на тази информация за моята сигурност в сравнение с, честно казано, вероятно 90% подобни заплахи, които изглеждат почти точно така, но преследват някой друг. 

Клиентите се сблъскват с много труден проблем за оптимизация, какъвто е ограниченият капацитет на техните средства за контрол на сигурността. Върху какво ще се съсредоточат? Има твърде много. Затова те искат да им дадем информация, която да им помогне да решат проблема с оптимизацията.