Matt Kodama, der den Bereich Data Science beim Cybersicherheitsunternehmen Recorded Future leitet, vergleicht seinen Job mit der Arbeit im hinteren Teil des Hauses in einem Restaurant. Sein Team ist es, das Lebensmittel einkauft, Rezepte entwirft, die Speisen kocht und anrichtet. 

Die Komponenten, mit denen sein Team arbeitet, sind Datenstücke, die sie aus dem gesamten Web kuratieren und die sie dann analysieren, um nützliche Informationen herauszufiltern, die die Kunden nutzen können. Diese Informationen werden dann in die Softwareplattform von Recorded Future eingespeist, die von großen Finanzinstituten, Regierungen und vielen anderen genutzt wird, um potenzielle Bedrohungen für ihre Organisationen sowohl online als auch in der realen Welt in Echtzeit zu verfolgen. 

Der Mastercard Newsroom besuchte kürzlich den Hauptsitz von Recorded Future, das im Dezember Teil von Mastercard wurde, und hatte die Gelegenheit, sich mit Kodama zusammenzusetzen und mehr über seine Arbeit zu erfahren. 

Die folgenden Fragen und Antworten wurden aus Gründen der Länge und Klarheit bearbeitet. 

Es deckt das gesamte Spektrum ab, beginnend mit vielen Arten von Daten, die öffentlich zugänglich sind. Am anderen Ende des Spektrums haben wir einige clevere und ausgeklügelte Wege gefunden, um auf Daten von schwer zugänglichen Orten zuzugreifen, die häufig von Cyber-Bedrohungsakteuren genutzt werden. 

Für Bedrohungsakteure ist der Diebstahl von Informationen von den Computern einzelner Personen derzeit eines der größten Geschäfte. Jetzt haben Bedrohungsakteure Ihre Anmeldezeichenfolgen, Ihre Passwörter, Ihre Cookies und alle Informationen darüber, wie Ihr Computer aussieht. Mit diesen Daten kann der Bedrohungsakteur eine gefälschte Maschine erstellen, die wie Ihr Computer aussieht, und den Browserverkehr dieser gefälschten Maschine so aussehen lassen, als käme er aus Ihrer Stadt. 

Wenn Sie ein Bedrohungsakteur sind, der im Bereich der Unternehmens- Ransomware tätig ist, sind das hervorragende Informationen für den Zugriff auf das Netzwerk, auf das Sie abzielen. Die Zahl der zum Verkauf angebotenen Dateien von derart infizierten Computern ist unglaublich. Es ist ein großes Geschäft.

Es ist eine verrückte, verrückte Welt. Es ist wie auf einem Flohmarkt. 

Vielen Kunden ist es wichtig, möglichst schnell herauszufinden, dass ein risikoreicher Login, beispielsweise bei ihrem VPN, offengelegt wurde. Sie können sehr gezielte Sicherheitsmaßnahmen ergreifen. Wenn eine Anmeldesitzung vorhanden ist, beenden Sie sie. Setzen Sie das Passwort zurück, das derzeit für diesen Login verwendet wird. Denn im Grunde handelt es sich um ein Wettrennen: Wie schnell werden diese Informationen von Bedrohungsakteuren genutzt und wie schnell können die Verteidiger das Problem herausfinden und beheben? 

Alle Computer, die versuchen, Nachrichten über das Internet zu senden, müssen über diese Tabellen verfügen, die besagen: "Wenn Sie versuchen, online mit dieser Domäne zu kommunizieren, senden Sie eine Nachricht an diese IP-Adresse." Es ist wie das Telefonbuch für das Internet. 

Eine wirklich grundlegende, aber eigentlich ziemlich effektive Analyse besteht darin, all diese Informationen zu nehmen und zu sagen: "Was ist heute hier, das gestern nicht hier war?" Es gibt ständig neue Unternehmen, die gegründet werden, und dann scheitern natürlich viele von ihnen. Es ist also sehr, sehr normal, dass neue Domains auftauchen und dann niemandem schaden und dann wieder verschwinden. Ich kann also nicht einfach jedem sagen: "Hey, das ist eine neue Domain, blockiere sie." Stattdessen können wir jeden einzelnen dieser neuen Bereiche durchgehen und versuchen, eine Verbindung zu ihm herzustellen. Und wenn das Sicherheitszertifikat, das es mir zurücksendet, ein neues Zertifikat ist und seltsam aussieht, dann sind das riskant. 

Am Ende dieser ganzen Geschichte versucht ein Kunde zu sagen: "Könnten Sie mir bitte eine sehr kurze Liste von Domainnamen geben, die ich in meinen [Domain Name System]-Filter eingeben und sicherstellen soll, dass keiner meiner Mitarbeiter zu dieser Domain navigiert?" Wenn sie es blockieren können, ist das der Goldstandard. 

Im Idealfall ja. Die Bösewichte müssen ihre Infrastruktur erst einrichten, bevor sie sie nutzen können. Die Idee ist, extrem schnell zu erkennen, wann eine Infrastruktur eingerichtet wird, und dann korrekt herauszufinden, welche neue Infrastruktur von Bedrohungsakteuren betrieben wird, im Gegensatz zu all dem normalen und harmlosen Zeug.

Das Problem in der Welt ist, dass es so viele kriminelle Aktivitäten gibt. Wenn ich einem Unternehmen auf magische Weise einen Feed mit all den sehr, sehr wahrscheinlich risikoreichen Domainnamen geben könnte, die sie blockieren sollten – sie haben keine Sicherheitskontrollen, die auf diese Anzahl von Domains skaliert werden können. Es ist einfach zu viel schlechtes Zeug. Die Kunden sind sehr, sehr hungrig nach Einblicken, die wir ihnen geben können – nicht nur dieser Domainname ist riskant, sondern auch, an wen sie sich wenden und welche Anzeichen deuten darauf hin, dass sie es auf Leute wie mich abgesehen haben. Denn dann würde ich die Verwendung dieser Informationen für meine Sicherheit priorisieren und nicht, ehrlich gesagt, wahrscheinlich 90 % der ähnlichen Bedrohungen, die fast genauso aussehen, aber auf jemand anderen abzielen. 

Kunden haben ein sehr schwieriges Optimierungsproblem, wie z. B. die begrenzte Kapazität ihrer Sicherheitskontrollen. Worauf werden sie sich konzentrieren? Es gibt zu viel. Und so sind sie hungrig darauf, dass wir ihnen Einblicke geben, die ihnen bei diesem Optimierungsproblem helfen.