Hogyan találja meg és követi nyomon a Recorded Future a kiberfenyegetéseket? Az adattudományi vezetője elmagyarázza.

Matt Kodama, aki a Recorded Future kiberbiztonsági vállalat adattudományi vezetője, a munkáját egy étterem hátsó részében végzett munkához hasonlítja. Az ő csapata az, amelyik bevásárol az élelmiszerekből, recepteket tervez, főz és tálal. 

A csapata által használt összetevők olyan adatok, amelyeket a világháló minden tájáról összegyűjtöttek, majd elemezték azokat, hogy az ügyfelek számára hasznos információkat nyerjenek belőlük. Ezeket az információkat ezután a Recorded Future szoftverplatformjába táplálják be, amelyet a nagy pénzintézetek, kormányok és sokan mások használnak arra, hogy valós időben nyomon követhessék a szervezeteiket fenyegető potenciális online és valós fenyegetéseket. 

A Mastercard Newsroom nemrégiben ellátogatott a Recorded Future központjába, amely decemberben a Mastercard részévé vált, és lehetőséget kapott arra, hogy leüljön Kodamával, és halljon a munkájáról. 

Az alábbi Q&A-t a hosszúság és az érthetőség kedvéért szerkesztettük. 

A teljes spektrumot lefuttatja, kezdve sokféle nyilvánosan elérhető adattípussal. A spektrum másik végén pedig kitaláltunk néhány okos és kifinomult módszert arra, hogy nehezebben elérhető helyekről férjünk hozzá adatokhoz, amelyeket gyakran használnak a kiberfenyegetések szereplői. 

A fenyegetések elkövetői számára jelenleg az egyik legnagyobb játék a városban az információlopás az egyes emberek számítógépeiről. Most a fenyegetéseknek megvan a bejelentkezési karakterláncod, a jelszavaid, a sütijeid, minden információ arról, hogy hogyan néz ki a számítógéped. Ezekkel az adatokkal a fenyegetést okozó szereplő létrehozhat egy hamis gépet, amely úgy néz ki, mint az Ön számítógépe, és a hamis gépről érkező böngészőforgalmat úgy tudja beállítani, mintha az Ön városából érkezne. 

Ha Ön a vállalati zsarolóvírus elleni játékban tevékenykedő fenyegető szereplő, akkor ez elképesztő információ ahhoz, hogy bejusson a célzott hálózatra. Az ilyen fertőzött számítógépekről származó, eladásra kínált fájlok száma őrületes. Ez egy nagy üzlet.

Ez egy őrült, őrült világ. Olyan, mint egy bolhapiac. 

Sok ügyfelet az érdekel, hogy a lehető leggyorsabban megtudják-e, hogy egy magas kockázatú bejelentkezés, például a VPN-jükbe való bejelentkezés, ki lett-e téve. Nagyon konkrét biztonsági intézkedéseket hozhatnak. Ha van bejelentkezési munkamenet, szüntesse meg azt. Bármilyen jelszó is van jelenleg a bejelentkezéshez, állítsa vissza., Mert ez alapvetően egy verseny: milyen gyorsan használják fel ezt az információt a fenyegető szereplők, és milyen gyorsan tudják a védők kideríteni és orvosolni. 

Minden számítógépnek, amely az interneten keresztül üzeneteket próbál küldeni, rendelkeznie kell ezekkel a táblázatokkal, amelyek azt mondják: "Ha ezzel a domainnel próbálsz online beszélni, küldj üzenetet erre az IP-címre". Olyan, mint az internetes telefonkönyv. 

Az egyik nagyon egyszerű, de valójában nagyon hatékony elemzési módszer az, hogy fogjuk az összes információt, és azt mondjuk: "Mi van itt ma, ami tegnap még nem volt itt?". Folyamatosan új vállalkozások jönnek létre, amelyek közül természetesen sokan megbuknak. Tehát nagyon-nagyon normális, hogy új domainek bukkannak fel, amelyek aztán nem ártanak senkinek, majd eltűnnek. Tehát nem mondhatom mindenkinek, hogy "Hé, ez egy új domain, blokkoljátok.". Ehelyett végigmehetünk minden egyes új tartományon, és megpróbálhatunk csatlakozni hozzájuk. És ha a visszaküldött biztonsági tanúsítvány egy új tanúsítvány, és furcsán néz ki, akkor ezek a tanúsítványok kockázatosak. 

Az egész történet végén az ügyfél azt próbálja mondani: "Tudna nekem adni egy nagyon rövid listát azokról a domainnevekről, amelyeket be kellene tennem a [Domain Name System] szűrőmbe, és biztosítani, hogy egyik alkalmazottam se lépjen be az adott domainre?". Ha blokkolni tudják, az az aranyszabály. 

Ideális esetben igen. A rosszfiúknak előbb ki kell alakítaniuk az infrastruktúrájukat, mielőtt felhasználhatnák azt. Az ötlet lényege, hogy rendkívül gyorsan észleljük, ha az infrastruktúrát felállítják, majd helyesen kitaláljuk, hogy melyik új infrastruktúrát működtetik a fenyegető szereplők, szemben a normális és jóindulatú dolgokkal.

A világ problémája az, hogy annyi rosszfiú tevékenykedik. Ha varázslatos módon adhatnék egy vállalatnak egy listát az összes nagyon-nagyon valószínűsíthetően magas kockázatú domain névről, amelyet blokkolniuk kellene - nincs olyan biztonsági ellenőrzésük, amely ennyi domainhez igazodna. Egyszerűen túl sok a rossz dolog. Az ügyfelek nagyon-nagyon éhesek minden olyan információra, amit adhatunk nekik - nem csak arra, hogy ez a domainnév kockázatos, hanem arra is, hogy kiket keresnek, és milyen jelek utalnak arra, hogy olyan embereket keresnek, mint én. Mert akkor prioritást adnék annak az információnak a saját biztonságom érdekében történő felhasználásának, szemben, őszintén szólva, valószínűleg 90% hasonló fenyegetéssel, amelyek majdnem pontosan ugyanígy néznek ki, de valaki mást vesznek célba. 

Az ügyfeleknek nagyon nehéz optimalizálási problémájuk van, mint például a biztonsági ellenőrzésük korlátozott kapacitása. Mire fognak összpontosítani? Túl sok van. Ezért nagyon várják, hogy olyan információkkal szolgáljunk nekik, amelyek segítenek nekik az optimalizálási problémában.