Matt Kodama, der leder data science hos cybersikkerhedsvirksomheden Recorded Future, sammenligner sit job med at arbejde bagerst i huset på en restaurant. Hans team er dem, der handler dagligvarer, designer opskrifter, laver mad og anretter maden. 

De komponenter, som hans team arbejder med, er data, de indsamler fra hele nettet, som de derefter analyserer for at finde nyttige oplysninger, som kunderne kan bruge. Disse oplysninger føres derefter ind i Recorded Futures softwareplatform, som bruges af store finansielle institutioner, regeringer og mange andre til at spore potentielle trusler mod deres organisationer i realtid, både online og i den virkelige verden. 

Mastercard Newsroom besøgte for nylig hovedkvarteret for Recorded Future, som blev en del af Mastercard i december, og fik mulighed for at sætte sig ned med Kodama og høre om hans arbejde. 

Følgende spørgsmål og svar blev redigeret for at opnå længde og klarhed. 

Det dækker hele spektret og starter med mange typer data, der er offentligt tilgængelige. I den anden ende af spektret har vi fundet nogle smarte og sofistikerede måder at få adgang til data fra svært tilgængelige steder, der ofte bruges af cybertrusselsaktører. 

For trusselsaktører er et af de største spil lige nu at stjæle information fra individuelle menneskers computere. Nu har trusselsaktører fået fat i dine login-strenge, dine adgangskoder, dine cookies og alle oplysningerne om, hvordan din computer ser ud. Med disse data kan trusselsaktøren lave en falsk maskine, der ligner din computer, og få browsertrafikken fra den falske maskine til at se ud, som om den kommer fra din by. 

Hvis du er en trusselsaktør, der arbejder i virksomhedsransomware - verdenen, er det fantastisk information til at komme ind på det netværk, du har som mål. Antallet af filer fra inficerede computere som denne, der udbydes til salg, er vanvittigt. Det er en stor forretning.

Det er en skør, skør verden. Det er ligesom et loppemarked. 

Det, mange kunder er interesserede i, er, om de kan finde ud af så hurtigt som muligt, at et højrisikologin, såsom til deres VPN, er blevet eksponeret. De kan træffe meget specifikke sikkerhedsforanstaltninger. Hvis der er en login-session, så afslut den. Nulstil den adgangskode, der er på det login, uanset hvilken adgangskode der er i øjeblikket. Fordi det dybest set er et kapløb: hvor hurtigt vil disse oplysninger blive brugt af trusselsaktører versus hvor hurtigt kan forsvarerne finde ud af det og afhjælpe det. 

Alle computere, der forsøger at sende beskeder via internettet, skal have disse tabeller, der siger: "Hvis du forsøger at tale med dette domæne online, skal du sende en besked til denne IP-adresse." Det er ligesom telefonbogen til internettet. 

En virkelig grundlæggende, men faktisk ret effektiv analysemetode er blot at tage al denne information og sige: "Hvad er her i dag, som ikke var her i går?" Der bliver konstant skabt nye virksomheder, og så går mange af dem selvfølgelig konkurs. Så det er meget, meget normalt, at nye domæner dukker op og så ikke skader nogen og så forsvinder. Så jeg kan ikke bare sige til alle: "Hey, det her er et nyt domæne, bloker det." Vi kan i stedet gennemgå hvert eneste af disse nye domæner og forsøge at oprette forbindelse til det. Og hvis sikkerhedscertifikatet, den sender mig tilbage, er et nyt certifikat og ser mærkeligt ud, er det risikable certifikater. 

I slutningen af hele denne historie prøver en kunde at sige: "Kan du give mig en meget kort liste over domænenavne, som jeg skal sætte i mit [Domænenavnssystem]-filter og sørge for, at ingen af mine medarbejdere besøger det domæne?" Hvis de kan blokere det, er det guldstandarden. 

Ideelt set, ja. De onde skal have etableret deres infrastruktur, før de kan bruge den. Ideen er at opdage ekstremt hurtigt, hvornår infrastruktur etableres, og derefter korrekt finde ud af, hvilken ny infrastruktur der drives af trusselsaktører i modsætning til alle de normale og godartede ting.

Problemet i verden er, at der er så meget aktivitet fra de onde. Hvis jeg på magisk vis kunne give en virksomhed et feed med alle de meget, meget sandsynligt højrisikodomænenavne, som de burde blokere – så har de ikke sikkerhedskontroller, der skalerer til det antal domæner. Det er simpelthen for meget dårligt. Kunderne er meget, meget sultne efter enhver indsigt, vi kan give dem – ikke bare er dette domænenavn risikabelt, men også hvem går de efter, og hvilke indikationer tyder på, at de går efter folk som mig. For så ville jeg prioritere at bruge den information til min egen sikkerheds skyld frem for, ærligt talt, sandsynligvis 90% af lignende trusler, der ser næsten præcis sådan ud, men som går efter en anden. 

Kunder har et meget vanskeligt optimeringsproblem, såsom den begrænsede kapacitet af deres sikkerhedskontroller. Hvad vil de fokusere på? Der er for meget. Og derfor er de sultne efter, at vi giver dem indsigt, der kan hjælpe dem med optimeringsproblemet.