Matt Kodama, que lidera a área de ciência de dados na empresa de cibersegurança Recorded Future, compara seu trabalho ao de auxiliar de cozinha em um restaurante. É a equipe dele que faz as compras, cria as receitas, cozinha e emprata a comida. 

Os componentes com os quais sua equipe trabalha são fragmentos de dados que eles coletam de toda a internet e, em seguida, analisam para extrair informações úteis que os clientes podem usar. Essas informações são então inseridas na plataforma de software da Recorded Future, que é utilizada por grandes instituições financeiras, governos e muitas outras para rastrear potenciais ameaças, tanto online quanto no mundo real, às suas organizações em tempo real. 

A equipe de imprensa da Mastercard visitou recentemente a sede da Recorded Future, que passou a fazer parte da Mastercard em dezembro, e teve a oportunidade de conversar com Kodama e saber mais sobre seu trabalho. 

A seção de perguntas e respostas a seguir foi editada para maior concisão e clareza. 

Abrange todo o espectro, começando por muitos tipos de dados que estão disponíveis publicamente. No outro extremo do espectro, descobrimos algumas maneiras inteligentes e sofisticadas de acessar dados de locais de difícil acesso, frequentemente usados por agentes de ameaças cibernéticas. 

Para os agentes maliciosos, uma das principais estratégias no momento é roubar informações dos computadores das pessoas. Agora, os agentes maliciosos têm acesso às suas sequências de login, suas senhas, seus cookies, todas as informações sobre a aparência do seu computador. Com esses dados, o agente malicioso pode criar uma máquina falsa que se parece com o seu computador e fazer com que o tráfego do navegador dessa máquina falsa pareça vir da sua cidade. 

Se você é um agente de ameaças que atua no ramo de ransomware corporativo, essa é uma informação incrível para acessar a rede que você está visando. A quantidade de arquivos de computadores infectados como este que estão sendo oferecidos para venda é absurda. É um grande negócio.

É um mundo louco, muito louco. É como uma feira de rua. 

O que muitos clientes querem saber é se podem descobrir o mais rápido possível que um login de alto risco, como o da sua VPN, foi exposto. Eles podem tomar medidas de segurança muito específicas. Se houver uma sessão de login ativa, encerre-a. Redefina a senha atual desse login. Porque é basicamente uma corrida: quão rápido essas informações serão usadas por agentes maliciosos versus quão rápido os defensores conseguirão descobri-las e corrigi-las. 

Todos os computadores que tentam enviar mensagens pela internet precisam ter tabelas que digam: "Se você estiver tentando se comunicar com este domínio online, envie uma mensagem para este endereço IP." É como uma lista telefônica da internet. 

Uma análise bastante básica, mas na verdade muito eficaz, é simplesmente pegar todas essas informações e perguntar: "O que está aqui hoje que não estava aqui ontem?" Constantemente surgem novas empresas, e, claro, muitas delas fracassam. Portanto, é muito, muito normal que novos domínios surjam, não prejudiquem ninguém e depois desapareçam. Então eu não posso simplesmente dizer a todos: "Ei, este é um domínio novo, bloqueiem-no." Em vez disso, podemos analisar cada um desses novos domínios e tentar nos conectar a eles. E se o certificado de segurança que me enviam for um certificado novo e parecer estranho, esses são arriscados. 

No final das contas, o que o cliente está tentando fazer é dizer: "Poderiam me fornecer uma lista bem curta de nomes de domínio que eu devo adicionar ao meu filtro [Domain Name System] e garantir que nenhum dos meus funcionários acesse esses domínios?" Se eles conseguirem bloquear, isso é o padrão ouro. 

Idealmente, sim. Os bandidos precisam estabelecer sua infraestrutura antes de poderem usá-la. A ideia é detectar quando a infraestrutura está sendo configurada de forma extremamente rápida e, em seguida, identificar corretamente qual nova infraestrutura é operada por agentes maliciosos, em oposição a toda a infraestrutura normal e benigna.

O problema do mundo é que existe muita atividade de pessoas más. Se eu pudesse magicamente fornecer a uma empresa uma lista de todos os nomes de domínio com altíssima probabilidade de serem de alto risco e que ela deveria bloquear — ela não possui controles de segurança que sejam escaláveis para esse número de domínios. É muita coisa ruim. Os clientes estão muito, muito ávidos por qualquer informação que possamos fornecer — não apenas que este nome de domínio seja arriscado, mas também quem eles estão visando e quais indícios sugerem que estão mirando em pessoas como eu. Porque aí eu priorizaria usar essa informação para minha segurança em vez de, francamente, provavelmente 90% das ameaças semelhantes que são quase idênticas, mas que têm como alvo outra pessoa. 

Os clientes enfrentam um problema de otimização muito complexo, como a capacidade limitada de seus controles de segurança. Em que eles vão se concentrar? Tem demais. Por isso, eles estão ávidos que lhes forneçamos informações que os ajudem com esse problema de otimização.