Matt Kodama, který vede oddělení datové vědy ve společnosti Recorded Future zabývající se kybernetickou bezpečností, přirovnává svou práci k práci v zadní části restaurace. Jeho tým nakupuje potraviny, navrhuje recepty, vaří a servíruje jídlo. 

Součásti, se kterými jeho tým pracuje, jsou části dat, které shromažďují z celého webu a které následně analyzují, aby z nich získali užitečné informace, které mohou zákazníci využít. Tyto informace se pak přenášejí do softwarové platformy společnosti Recorded Future, kterou využívají velké finanční instituce, vlády a mnoho dalších subjektů, aby v reálném čase sledovaly potenciální hrozby pro své organizace, a to jak online, tak v reálném světě. 

Redakce Mastercard Newsroom nedávno navštívila sídlo společnosti Recorded Future, která se v prosinci stala součástí Mastercard, a měla možnost si s Kodamou sednout a poslechnout si o jeho práci. 

Následující otázka&A byla upravena kvůli délce a srozumitelnosti. 

Probíhá v celém spektru, počínaje mnoha druhy dat, která jsou veřejně dostupná. Na druhém konci spektra jsme přišli na několik chytrých a důmyslných způsobů, jak se dostat k datům z hůře dostupných míst, která často využívají aktéři kybernetických hrozeb. 

Pro aktéry hrozeb je v současnosti jednou z největších her krádež informací z počítačů jednotlivých lidí. Nyní mají aktéři hrozeb vaše přihlašovací řetězce, hesla, soubory cookie a všechny informace o tom, jak váš počítač vypadá. Pomocí těchto údajů může útočník vytvořit falešný počítač, který vypadá jako váš počítač, a provoz prohlížeče z tohoto falešného počítače může vypadat, jako by pocházel z vašeho města. 

Pokud jste aktér hrozby pracující v oblasti ransomwaru pro podniky, je to úžasná informace, která vám pomůže dostat se do sítě, na kterou se zaměřujete. Počet souborů z takto infikovaných počítačů, které jsou nabízeny k prodeji, je šílený. Je to velký byznys.

Je to bláznivý svět. Je to jako bleší trh. 

Mnoho zákazníků zajímá, zda mohou co nejrychleji zjistit, že došlo k odhalení rizikového přihlášení, například k jejich síti VPN. Mohou přijmout velmi konkrétní bezpečnostní opatření. Pokud je relace přihlášení spuštěna, ukončete ji. Jakékoli heslo je v současné době pro toto přihlášení nastaveno, resetujte ho, Je to v podstatě závod: jak rychle tyto informace využijí aktéři hrozeb a jak rychle je obránci zjistí a opraví. 

Všechny počítače, které se snaží posílat zprávy přes internet, musí mít tyto tabulky, které říkají: "Pokud se snažíte komunikovat s touto doménou online, pošlete zprávu na tuto IP adresu." Je to jako telefonní seznam na internetu. 

Jednou z opravdu základních, ale ve skutečnosti docela účinných analýz je prostě vzít všechny tyto informace a říct si: "Co je tu dnes a co tu včera nebylo?". Neustále vznikají nové podniky, ale spousta z nich samozřejmě zkrachuje. Je tedy zcela normální, že se objevují nové domény, které nikomu neškodí a pak zmizí. Nemohu tedy všem říct: "Hele, tohle je nová doména, zablokujte ji." Místo toho můžeme projít každou z těchto nových domén a pokusit se k ní připojit. A pokud je bezpečnostní certifikát, který mi pošle zpět, nový a vypadá divně, jsou to rizikové certifikáty. 

Na konci celého příběhu se zákazník snaží říci: "Mohli byste mi prosím poskytnout velmi krátký seznam doménových jmen, která bych měl vložit do filtru [Domain Name System] a zajistit, aby žádný z mých zaměstnanců neprohlížel tuto doménu?" Pokud ji mohou zablokovat, je to zlatý standard. 

V ideálním případě ano. Zločinci si musí nejdříve vytvořit infrastrukturu, aby ji mohli použít. Jde o to, aby bylo možné extrémně rychle odhalit, kdy je infrastruktura zřizována, a následně správně zjistit, kterou novou infrastrukturu provozují aktéři hrozeb, na rozdíl od všech normálních a neškodných věcí.

Problémem světa je, že je tu tolik zlých lidí. Kdybych mohl společnosti zázračně poskytnout zdroj všech velmi, velmi pravděpodobně rizikových doménových jmen, která by měla blokovat - nemají bezpečnostní kontroly, které by se na takový počet domén hodily. Je to prostě příliš mnoho špatných věcí. Zákazníci jsou velmi, velmi hladoví po jakýchkoli informacích, které jim můžeme poskytnout - nejen po tom, že toto doménové jméno je rizikové, ale i po tom, koho sledují a jaké indicie naznačují, že sledují lidi, jako jsem já. Protože pak bych upřednostnil použití této informace pro svou bezpečnost před pravděpodobně 90% podobnými hrozbami, které vypadají téměř stejně, ale jdou po někom jiném. 

Zákazníci mají velmi těžký problém s optimalizací, jako je omezená kapacita jejich bezpečnostních kontrol. Na co se zaměří? Je toho příliš mnoho. A tak touží po tom, abychom jim poskytli poznatky, které jim pomohou s tímto optimalizačním problémem.