Matt Kodama, qui dirige la science des données au sein de l'entreprise de cybersécurité Recorded Future, compare son travail à celui de l'arrière-boutique d'un restaurant. C'est son équipe qui fait les courses, conçoit les recettes, cuisine et prépare les plats. 

Les éléments sur lesquels son équipe travaille sont des données qu'elle recueille sur l'ensemble du web et qu'elle analyse ensuite pour en extraire des informations utiles aux clients. Ces informations sont ensuite introduites dans la plate-forme logicielle de Recorded Future, qui est utilisée par de grandes institutions financières, des gouvernements et bien d'autres pour suivre en temps réel les menaces potentielles, en ligne et dans le monde réel, qui pèsent sur leurs organisations. 

La salle de presse de Mastercard a récemment visité le siège de Recorded Future, qui a rejoint Mastercard en décembre, et a eu l'occasion de s'asseoir avec Kodama et d'entendre parler de son travail. 

Le Q&A suivant a été édité pour des raisons de longueur et de clarté. 

Il couvre tout le spectre, à partir de nombreux types de données accessibles au public. À l'autre bout du spectre, nous avons trouvé des moyens astucieux et sophistiqués d'accéder à des données provenant d'endroits plus difficiles d'accès, souvent utilisés par les acteurs de la cybermenace. 

Pour les acteurs de la menace, l'un des plus grands jeux en ville actuellement consiste à voler des informations sur les ordinateurs des particuliers. Les acteurs de la menace disposent désormais de vos chaînes de connexion, de vos mots de passe, de vos cookies et de toutes les informations relatives à l'apparence de votre ordinateur. Avec ces données, l'acteur de la menace peut créer une fausse machine qui ressemble à votre ordinateur et faire en sorte que le trafic du navigateur de cette fausse machine semble provenir de votre ville. 

Si vous êtes un acteur de la menace travaillant dans le domaine des ransomwares d 'entreprise, il s'agit d'une information étonnante pour entrer dans le réseau que vous ciblez. Le nombre de fichiers provenant d'ordinateurs infectés comme celui-ci qui sont mis en vente est insensé. Il s'agit d'une activité importante.

C'est un monde fou, fou. C'est comme un marché aux puces. 

Ce qui intéresse de nombreux clients, c'est de savoir s'ils peuvent découvrir le plus rapidement possible qu'une connexion à haut risque, par exemple à leur VPN, a été exposée. Ils peuvent prendre des mesures de sécurité très spécifiques. S'il y a une session de connexion, arrêtez-la. Quel que soit le mot de passe utilisé pour cette connexion, réinitialisez-le, Car il s'agit essentiellement d'une course : à quelle vitesse ces informations seront-elles utilisées par les acteurs de la menace et à quelle vitesse les défenseurs peuvent-ils les découvrir et y remédier. 

Tous les ordinateurs qui essaient d'envoyer des messages sur l'internet doivent avoir ces tables qui disent : "Si vous essayez de parler à ce domaine en ligne, envoyez un message à cette adresse IP". C'est un peu l'annuaire téléphonique de l'internet. 

L'une des méthodes d'analyse les plus simples, mais aussi les plus efficaces, consiste à prendre toutes ces informations et à se demander : "Qu'y a-t-il aujourd'hui qui n'était pas là hier ?" De nouvelles entreprises sont constamment créées et, bien sûr, beaucoup d'entre elles échouent. Il est donc tout à fait normal que de nouveaux domaines apparaissent, ne nuisent à personne et disparaissent. Je ne peux donc pas dire à tout le monde : "Hé, c'est un nouveau domaine, bloquez-le". Nous pouvons au contraire passer en revue chacun de ces nouveaux domaines et essayer de nous y connecter. Et si le certificat de sécurité qu'il me renvoie est un nouveau certificat et qu'il a l'air bizarre, ce sont des certificats risqués. 

En fin de compte, ce qu'un client essaie de faire, c'est de dire : "Pourriez-vous me donner une liste très courte de noms de domaine que je devrais mettre dans mon filtre [Domain Name System] et m'assurer qu'aucun de mes employés ne navigue vers ce domaine ?" S'ils peuvent le bloquer, c'est l'étalon-or. 

Idéalement, oui. Les malfaiteurs doivent mettre en place leur infrastructure avant de pouvoir l'utiliser. L'idée est de détecter très rapidement la mise en place d'une infrastructure, puis de déterminer correctement quelle nouvelle infrastructure est exploitée par des acteurs menaçants, par opposition à toutes les infrastructures normales et inoffensives.

Le problème dans le monde, c'est qu'il y a tellement d'activités des méchants. Si je pouvais magiquement donner à une entreprise un flux de tous les noms de domaine très, très probablement à haut risque qu'elle devrait bloquer, elle n'a pas de contrôles de sécurité adaptés à ce nombre de domaines. Il y a trop de mauvaises choses. Les clients sont très, très avides de toutes les informations que nous pouvons leur fournir - pas seulement ce nom de domaine est risqué, mais aussi qui ils visent et quels indices suggèrent qu'ils visent des gens comme moi. Je donnerais alors la priorité à l'utilisation de cet élément d'information pour ma sécurité par rapport à, franchement, probablement 90% de menaces similaires qui ressemblent presque exactement à cela, mais qui s'en prennent à quelqu'un d'autre. 

Les clients sont confrontés à un problème d'optimisation très difficile, comme la capacité limitée de leurs contrôles de sécurité. Sur quoi vont-ils se concentrer ? Il y en a trop. Ils souhaitent donc que nous leur fournissions des informations qui les aideront à résoudre ce problème d'optimisation.