Matt Kodama, joka johtaa datatiedettä kyberturvallisuusyrityksessä Recorded Future, vertaa työtään ravintolan takahuoneessa työskentelyyn. Hänen tiiminsä on se, joka ostaa elintarvikkeita, suunnittelee reseptejä, laittaa ruokaa ja annostelee sen. 

Hänen tiiminsä työskentelee datan parissa, jota he kuratoivat kaikkialta verkosta ja analysoivat sen avulla löytääkseen asiakkaille hyödyllistä tietoa. Nämä tiedot syötetään sitten Recorded Futuren ohjelmistoalustalle, jota suuret rahoituslaitokset, hallitukset ja monet muut käyttävät seuratakseen organisaatioihinsa kohdistuvia mahdollisia uhkia reaaliajassa sekä verkossa että todellisessa maailmassa. 

Mastercard Newsroom vieraili hiljattain Recorded Futuren pääkonttorissa. Recorded Futuresta tuli osa Mastercardia joulukuussa, ja sai tilaisuuden istua alas Kodaman kanssa ja kuulla hänen työstään. 

Seuraavaa kysymys- ja vastausosiota on muokattu pituuden ja selkeyden vuoksi. 

Se kattaa koko kirjon, alkaen monenlaisista julkisesti saatavilla olevista tiedoista. Spektrin toisessa ääripäässä olemme keksineet joitakin nerokkaita ja hienostuneita tapoja päästä käsiksi dataan vaikeammin saavutettavissa paikoissa, joita kyberuhkien tekijät usein käyttävät. 

Uhkatoimijoille yksi suurimmista peleistä juuri nyt on tietojen varastaminen yksittäisten ihmisten tietokoneilta. Nyt uhkatoimijat ovat saaneet haltuunsa kirjautumismerkkijonosi, salasanasi, evästeesi ja kaikki tiedot tietokoneesi ulkonäöstä. Näiden tietojen avulla uhkatoimija voi luoda väärennetyn koneen, joka näyttää tietokoneeltasi, ja saada väärennetyn koneen selainliikenteen näyttämään siltä, että se tulee kotikaupungistasi. 

Jos olet uhkatoimija yritysmaailman kiristyshaittaohjelmien parissa, se on hämmästyttävää tietoa kohdistamasi verkon käyttöön. Tällaisilta tartunnan saaneilta tietokoneilta myytävien tiedostojen määrä on järjetön. Se on iso bisnes.

Se on hullu, hullu maailma. Se on kuin kirpputori. 

Monet asiakkaat ovat kiinnostuneita siitä, saavatko he mahdollisimman nopeasti selville, että riskialtis kirjautumistieto, kuten heidän VPN-yhteytensä, on paljastunut. He voivat ryhtyä hyvin erityisiin turvallisuustoimenpiteisiin. Jos kirjautumisistunto on käynnissä, lopeta se. Mikä tahansa salasana onkaan tällä hetkellä kyseisessä kirjautumislomakkeessa, palauta se. Koska kyse on pohjimmiltaan kilpailusta: kuinka nopeasti uhkatoimijat käyttävät tätä tietoa verrattuna siihen, kuinka nopeasti puolustajat saavat sen selville ja korjaavat sen. 

Kaikilla tietokoneilla, jotka yrittävät lähettää viestejä internetin kautta, on oltava taulukot, joissa lukee: "Jos yrität kommunikoida tämän verkkotunnuksen kanssa verkossa, lähetä viesti tähän IP-osoitteeseen." Se on kuin internetin puhelinluettelo. 

Yksi todella yksinkertainen, mutta itse asiassa melko tehokas analytiikka on ottaa kaikki tämä tieto ja kysyä: "Mitä täällä on tänään, mitä ei ollut eilen?" Uusia yrityksiä syntyy jatkuvasti, ja sitten tietysti monet niistä epäonnistuvat. Joten on hyvin, hyvin normaalia, että uusia verkkotunnuksia ilmestyy ilman kenellekään haittaa ja sitten ne katoavat. Joten en voi vain sanoa kaikille: "Hei, tämä on uusi verkkotunnus, estäkää se." Voimme sen sijaan käydä läpi jokaisen noista uusista verkkotunnuksista ja yrittää muodostaa yhteyden niihin. Ja jos sen lähettämä suojaussertifikaatti on uusi ja näyttää oudolta, ne ovat riskialttiita. 

Koko tarinan lopussa asiakas yrittää kysyä: "Voisitteko antaa minulle lyhyen listan verkkotunnuksista, jotka minun pitäisi lisätä [verkkotunnusjärjestelmä]-suodattimeeni ja varmistaa, ettei kukaan työntekijöistäni selaa kyseiseen verkkotunnukseen?" Jos he pystyvät estämään sen, se on kultastandardi. 

Ideaalitilanteessa kyllä. Pahisten on pystytettävä infrastruktuurinsa ennen kuin he voivat käyttää sitä. Ajatuksena on havaita, milloin infrastruktuuria perustetaan erittäin nopeasti, ja sitten selvittää oikein, mitä uutta infrastruktuuria uhkatoimijat käyttävät kaikkien normaalien ja vaarattomien asioiden sijaan.

Maailman ongelma on se, että siellä on niin paljon pahojen ihmisten toimintaa. Jos voisin taianomaisesti antaa yritykselle syötteen kaikista erittäin, erittäin todennäköisesti korkean riskin verkkotunnuksista, jotka heidän pitäisi estää – heillä ei ole turvatoimia, jotka skaalautuisivat tuohon määrään verkkotunnuksia. Se on ihan liikaa huonoa tavaraa. Asiakkaat ovat erittäin nälkäisiä kaikenlaisille näkemyksille, joita voimme heille antaa – ei vain tämä verkkotunnus ole riskialtis, vaan myös se, keitä he tavoittelevat ja mitkä merkit viittaavat siihen, että he tavoittelevat kaltaisiani ihmisiä. Koska silloin priorisoisin kyseisen tiedon käyttämistä oman turvallisuuteni vuoksi verrattuna, rehellisesti sanottuna, luultavasti 90 prosenttiin samankaltaisista uhkista, jotka näyttävät lähes täsmälleen samalta, mutta jotka hyökkäävät jonkun muun kimppuun. 

Asiakkailla on erittäin vaikea optimointiongelma, kuten heidän tietoturvakontrolliensa rajallinen kapasiteetti. Mihin he aikovat keskittyä? Sitä on liikaa. Ja niin he haluavat meidän antavan heille näkemyksiä, jotka auttavat heitä optimointiongelmassa.