Matt Kodama, koji vodi odjel za znanost o podacima u tvrtki za kibernetičku sigurnost Recorded Future, uspoređuje svoj posao s radom u stražnjem dijelu kuće u restoranu. Njegov tim je taj koji kupuje namirnice, osmišljava recepte, kuha i poslužuje hranu. 

Komponente s kojima njegov tim radi su podaci koje prikupljaju s cijelog weba, a zatim ih analiziraju kako bi izdvojili korisne informacije koje kupci mogu koristiti. Te se informacije zatim unose u softversku platformu Recorded Futurea, koju koriste velike financijske institucije, vlade i mnogi drugi za praćenje potencijalnih prijetnji svojim organizacijama u stvarnom vremenu, kako online tako i u stvarnom svijetu. 

Mastercard Newsroom nedavno je posjetio sjedište tvrtke Recorded Future, koja je u prosincu postala dio Mastercarda , te je imao priliku razgovarati s Kodamom i čuti o njegovom radu. 

Sljedeća pitanja i odgovori uređeni su radi duljine i jasnoće. 

Pokreće cijeli spektar, počevši od mnogih vrsta podataka koji su javno dostupni. S druge strane spektra, otkrili smo neke pametne i sofisticirane načine pristupa podacima s teže dostupnih mjesta koja često koriste akteri kibernetičkih prijetnji. 

Za aktere prijetnji, jedna od najvećih igara u gradu trenutno je krađa informacija s računala pojedinačnih ljudi. Sada prijetnje imaju vaše pristupne nizove, vaše lozinke, vaše kolačiće, sve informacije o tome kako vaše računalo izgleda. S tim podacima, taj napadač može napraviti lažni stroj koji izgleda kao vaše računalo i učiniti da promet preglednika s tog lažnog stroja izgleda kao da dolazi iz vašeg grada. 

Ako ste napadač koji radi u području ransomwarea za poduzeća, to su izvrsne informacije za ulazak u mrežu koju ciljate. Broj datoteka sa zaraženih računala poput ove koje se nude na prodaju je nevjerojatan. To je veliki posao.

To je lud, ludi svijet. To je kao buvljak. 

Ono što mnoge korisnike zanima je mogu li što brže saznati da je visokorizična prijava, poput one na njihov VPN, izložena. Mogu poduzeti vrlo specifične sigurnosne mjere. Ako postoji sesija prijave, zaustavite je. Koja god lozinka trenutno bila na toj prijavi, resetirajte je. Jer to je u osnovi utrka: koliko brzo će te informacije iskoristiti prijetnje u odnosu na to koliko brzo branitelji mogu otkriti i sanirati ih. 

Sva računala koja pokušavaju slati poruke putem interneta moraju imati ove tablice koje kažu: „Ako pokušavate razgovarati s ovom domenom putem interneta, pošaljite poruku na ovu IP adresu.“ To je kao telefonski imenik za internet. 

Jedna stvarno osnovna, ali zapravo prilično učinkovita analitika je jednostavno uzeti sve ove informacije i reći: „Što je ovdje danas što nije bilo ovdje jučer?“ Stalno se stvaraju novi poslovi, a onda, naravno, mnogi od njih propadnu. Dakle, vrlo je normalno da se pojave nove domene, ne naškode nikome i onda nestanu. Dakle, ne mogu svima samo reći: "Hej, ovo je nova domena, blokirajte je." Umjesto toga možemo proći kroz svaku od tih novih domena i pokušati se spojiti na nju. A ako mi sigurnosni certifikat koji mi pošalje natrag bude novi certifikat i izgleda čudno, to su rizični certifikati. 

Na kraju cijele ove priče, ono što kupac pokušava učiniti jest reći: „Možete li mi, molim vas, dati vrlo kratak popis domena koje bih trebao staviti u svoj filter [Sustav domena] i osigurati da nitko od mojih zaposlenika ne pregledava tu domenu?“ Ako to mogu blokirati, to je zlatni standard. 

Idealno, da. Zločinci moraju postaviti svoju infrastrukturu prije nego što je mogu koristiti. Ideja je iznimno brzo otkriti kada se infrastruktura postavlja, a zatim ispravno utvrditi kojom novom infrastrukturom upravljaju prijetnje, za razliku od svih normalnih i benignih stvari.

Problem u svijetu je što postoji toliko aktivnosti loših momaka. Kad bih mogao magično dati tvrtki popis svih vrlo, vrlo vjerojatno visokorizičnih domena koje bi trebali blokirati - nemaju sigurnosne kontrole koje se mogu skalirati na taj broj domena. To je jednostavno previše loših stvari. Kupci su jako, jako željni bilo kakvih uvida koje im možemo pružiti - ne samo da je ovo ime domene rizično, već i koga progone i koji pokazatelji sugeriraju da progone ljude poput mene. Jer bih onda dao prioritet korištenju te informacije za svoju sigurnost u odnosu na, iskreno, vjerojatno 90% sličnih prijetnji koje izgledaju gotovo identično, ali napadaju nekog drugog. 

Korisnici imaju vrlo težak problem optimizacije, poput ograničenog kapaciteta svojih sigurnosnih kontrola. Na što će se usredotočiti? Previše je toga. I stoga su željni da im pružimo uvide koji će im pomoći s tim problemom optimizacije.