Ο Matt Kodama, επικεφαλής της επιστήμης δεδομένων στην εταιρεία κυβερνοασφάλειας Recorded Future, παρομοιάζει τη δουλειά του με την εργασία στο πίσω μέρος του εστιατορίου. Η ομάδα του είναι αυτή που ψωνίζει τα τρόφιμα, σχεδιάζει συνταγές, μαγειρεύει και σερβίρει το φαγητό. 

Τα στοιχεία με τα οποία εργάζεται η ομάδα του είναι κομμάτια δεδομένων που συλλέγουν από όλο τον ιστό, τα οποία στη συνέχεια αναλύουν για να βγάλουν χρήσιμες πληροφορίες που μπορούν να χρησιμοποιήσουν οι πελάτες. Αυτές οι πληροφορίες τροφοδοτούνται στη συνέχεια στην πλατφόρμα λογισμικού της Recorded Future, η οποία χρησιμοποιείται από μεγάλα χρηματοπιστωτικά ιδρύματα, κυβερνήσεις και πολλούς άλλους για την παρακολούθηση πιθανών απειλών, τόσο στο διαδίκτυο όσο και στον πραγματικό κόσμο, για τους οργανισμούς τους σε πραγματικό χρόνο. 

Το τμήμα ειδήσεων της Mastercard επισκέφθηκε πρόσφατα τα κεντρικά γραφεία της Recorded Future, η οποία έγινε μέρος της Mastercard τον Δεκέμβριο, και είχε την ευκαιρία να συνομιλήσει με τον Kodama και να ακούσει για το έργο του. 

Η ακόλουθη ερώτηση&Α επεξεργάστηκε για λόγους έκτασης και σαφήνειας. 

Διατρέχει όλο το φάσμα, ξεκινώντας από πολλά είδη δεδομένων που είναι διαθέσιμα στο κοινό. Στο άλλο άκρο του φάσματος, έχουμε βρει κάποιους έξυπνους και εξελιγμένους τρόπους πρόσβασης σε δεδομένα από πιο δυσπρόσιτα μέρη που συχνά χρησιμοποιούνται από φορείς κυβερνοαπειλών. 

Για τους δράστες απειλών, ένα από τα μεγαλύτερα παιχνίδια στην πόλη αυτή τη στιγμή είναι η κλοπή πληροφοριών από τους υπολογιστές μεμονωμένων ανθρώπων. Τώρα οι απειλητές έχουν τις συμβολοσειρές σύνδεσης, τους κωδικούς πρόσβασης, τα cookies σας, όλες τις πληροφορίες σχετικά με το πώς μοιάζει ο υπολογιστής σας. Με αυτά τα δεδομένα, αυτός ο δράστης απειλής μπορεί να δημιουργήσει ένα ψεύτικο μηχάνημα που μοιάζει με τον υπολογιστή σας και να κάνει την κυκλοφορία του προγράμματος περιήγησης από αυτό το ψεύτικο μηχάνημα να μοιάζει σαν να προέρχεται από την πόλη σας. 

Εάν είστε απειλητικός παράγοντας που εργάζεται στο παιχνίδι του ransomware για επιχειρήσεις, αυτές είναι καταπληκτικές πληροφορίες για να μπείτε στο δίκτυο που στοχεύετε. Ο αριθμός των αρχείων από μολυσμένους υπολογιστές όπως αυτός που προσφέρονται προς πώληση είναι τρελός. Είναι μια μεγάλη επιχείρηση.

Είναι ένας τρελός, τρελός κόσμος. Είναι σαν υπαίθρια αγορά. 

Αυτό που ενδιαφέρει πολλούς πελάτες είναι αν μπορούν να μάθουν το συντομότερο δυνατό ότι μια σύνδεση υψηλού κινδύνου, όπως για παράδειγμα στο VPN τους, έχει εκτεθεί. Μπορούν να αναλάβουν πολύ συγκεκριμένα μέτρα ασφαλείας. Αν υπάρχει μια περίοδος σύνδεσης, τερματίστε την. Όποιος και αν είναι ο κωδικός πρόσβασης που υπάρχει αυτή τη στιγμή σε αυτή τη σύνδεση, επαναφέρετέ τον., Επειδή πρόκειται ουσιαστικά για έναν αγώνα δρόμου: πόσο γρήγορα θα χρησιμοποιηθούν αυτές οι πληροφορίες από τους φορείς απειλών σε σχέση με το πόσο γρήγορα μπορούν οι αμυντικοί να τις ανακαλύψουν και να τις αποκαταστήσουν. 

Όλοι οι υπολογιστές που προσπαθούν να στείλουν μηνύματα μέσω του διαδικτύου πρέπει να έχουν αυτούς τους πίνακες που λένε: "Αν προσπαθείτε να μιλήσετε με αυτόν τον τομέα online, στείλτε ένα μήνυμα σε αυτή τη διεύθυνση IP". Είναι σαν τον τηλεφωνικό κατάλογο του διαδικτύου. 

Μια πολύ βασική αλλά στην πραγματικότητα αρκετά αποτελεσματική αναλυτική μέθοδος είναι να παίρνουμε όλες αυτές τις πληροφορίες και να λέμε: "Τι υπάρχει σήμερα που δεν υπήρχε χθες;". Δημιουργούνται συνεχώς νέες επιχειρήσεις και, φυσικά, πολλές από αυτές αποτυγχάνουν. Έτσι, είναι πολύ, πολύ φυσιολογικό να εμφανίζονται νέοι τομείς, να μην βλάπτουν κανέναν και να εξαφανίζονται. Έτσι δεν μπορώ να πω σε όλους, "Έι, αυτό είναι ένα νέο domain, μπλοκάρετέ το". Μπορούμε, αντίθετα, να περάσουμε από κάθε έναν από αυτούς τους νέους τομείς και να προσπαθήσουμε να συνδεθούμε σε αυτόν. Και αν το πιστοποιητικό ασφαλείας που μου στέλνει πίσω είναι ένα νέο πιστοποιητικό και φαίνεται περίεργο, αυτά είναι επικίνδυνα. 

Στο τέλος όλης αυτής της ιστορίας, αυτό που προσπαθεί να κάνει ένας πελάτης είναι να πει: "Θα μπορούσατε να μου δώσετε έναν πολύ σύντομο κατάλογο με ονόματα τομέων που θα πρέπει να βάλω στο φίλτρο μου [Domain Name System] και να βεβαιωθώ ότι κανένας από τους υπαλλήλους μου δεν θα περιηγηθεί σε αυτόν τον τομέα;". Αν μπορούν να το μπλοκάρουν, αυτό είναι το χρυσό πρότυπο. 

Ιδανικά, ναι. Οι κακοί πρέπει να δημιουργήσουν την υποδομή τους πριν τη χρησιμοποιήσουν. Η ιδέα είναι να ανιχνεύεται εξαιρετικά γρήγορα η δημιουργία υποδομών και, στη συνέχεια, να υπολογίζεται σωστά ποια νέα υποδομή λειτουργεί από φορείς απειλών σε αντίθεση με όλες τις κανονικές και καλοήθεις υποδομές.

Το πρόβλημα στον κόσμο είναι ότι υπάρχει τόσο μεγάλη δραστηριότητα των κακών. Αν μπορούσα με μαγικό τρόπο να δώσω σε μια εταιρεία μια τροφοδοσία όλων των πολύ, πολύ πιθανών ονομάτων τομέα υψηλού κινδύνου που θα έπρεπε να αποκλείσουν - δεν έχουν ελέγχους ασφαλείας που να μπορούν να κλιμακωθούν σε αυτόν τον αριθμό τομέων. Είναι πάρα πολλά κακά πράγματα. Οι πελάτες είναι πολύ, πολύ πεινασμένοι για κάθε πληροφορία που μπορούμε να τους δώσουμε - όχι μόνο ότι αυτό το όνομα τομέα είναι επικίνδυνο, αλλά ποιον κυνηγούν και ποιες ενδείξεις υποδηλώνουν ότι κυνηγούν ανθρώπους σαν εμένα. Επειδή τότε θα έδινα προτεραιότητα στη χρήση αυτών των πληροφοριών για την ασφάλειά μου έναντι, ειλικρινά, πιθανώς 90% παρόμοιων απειλών που μοιάζουν σχεδόν ακριβώς με αυτές, αλλά στοχεύουν σε κάποιον άλλο. 

Οι πελάτες έχουν ένα πολύ δύσκολο πρόβλημα βελτιστοποίησης, όπως η περιορισμένη χωρητικότητα των ελέγχων ασφαλείας τους. Σε τι θα επικεντρωθούν; Είναι πάρα πολλά. Και γι' αυτό περιμένουν από εμάς να τους δώσουμε πληροφορίες που θα τους βοηθήσουν σε αυτό το πρόβλημα βελτιστοποίησης.