מאט קודמה, העומד בראש מדעי הנתונים בחברת אבטחת הסייבר Recorded Future, משווה את עבודתו לעבודה בחלק האחורי של הבית במסעדה. הצוות שלו הוא זה שקונה מצרכים, מעצב מתכונים, מבשל ומגיש את האוכל. 

הרכיבים שאיתם הצוות שלו עובד הם פיסות מידע שהם אוספים מכל רחבי האינטרנט, אותן הם מנתחים לאחר מכן כדי לגלות מידע שימושי שהלקוחות יכולים להשתמש בו. מידע זה מוזן לאחר מכן לפלטפורמת התוכנה של Recorded Future, המשמשת מוסדות פיננסיים גדולים, ממשלות ורבים אחרים כדי לעקוב אחר איומים פוטנציאליים, הן באינטרנט והן בעולם האמיתי, על הארגונים שלהם בזמן אמת. 

חדשות מאסטרקארד ביקרו לאחרונה במטה של Recorded Future, שהפכה לחלק ממאסטרקארד בדצמבר, וזכו לשבת עם קודאמה ולשמוע על עבודתו. 

שאלות ותשובות הבאות נערכו לצורך אורך ובהירות. 

זה מכסה את כל הספקטרום, החל מסוגים רבים של נתונים הזמינים לציבור. בקצה השני של הספקטרום, גילינו כמה דרכים חכמות ומתוחכמות לגשת לנתונים ממקומות שקשה יותר להגיע אליהם, שלעתים קרובות משתמשים בהם גורמי איומי סייבר. 

עבור גורמי איום, אחד המשחקים הגדולים ביותר בעיר כרגע הוא גניבת מידע ממחשבים של אנשים פרטיים. עכשיו, לגורמי האיום יש את מחרוזות ההתחברות שלכם, הסיסמאות שלכם, העוגיות שלכם, את כל המידע על איך המחשב שלכם נראה. בעזרת נתונים אלה, גורם האיום יכול ליצור מכונה מזויפת שנראית כמו המחשב שלך, ולגרום לתעבורת הדפדפן מהמכונה המזויפת הזו להיראות כאילו היא מגיעה מהעיר שלך. 

אם אתם גורם איום שעובד בתחום תוכנות הכופר הארגוניות, זהו מידע מדהים לכניסה לרשת שאליה אתם מכוונים. מספר הקבצים ממחשבים נגועים כאלה המוצעים למכירה הוא מטורף. זה עסק גדול.

זה עולם מטורף, מטורף. זה כמו שוק פשפשים. 

מה שמעניין לקוחות רבים הוא אם יוכלו לגלות מהר ככל האפשר שנחשפה התחברות בסיכון גבוה, כמו למשל ל-VPN שלהם. הם יכולים לנקוט בפעולות אבטחה ספציפיות מאוד. אם יש סשן התחברות, הרוג אותו. לא משנה איזו סיסמה יש כרגע בכניסה הזו, אפס אותה. כי זה בעצם מרוץ: כמה מהר המידע הזה ינוצל על ידי גורמי איום לעומת כמה מהר המגנים יוכלו לגלות אותו ולטפל בו. 

כל המחשבים שמנסים לשלוח הודעות דרך האינטרנט צריכים לכלול טבלאות שאומרות "אם אתה מנסה לדבר עם דומיין זה באינטרנט, שלח הודעה לכתובת IP זו". זה כמו ספר הטלפונים של האינטרנט. 

ניתוח בסיסי אחד, אך למעשה די יעיל, הוא פשוט לקחת את כל המידע הזה ולשאול, "מה יש כאן היום שלא היה כאן אתמול?" כל הזמן נוצרים עסקים חדשים, ואז, כמובן, רבים מהם נכשלים. אז זה מאוד, מאוד נורמלי שדומיינים חדשים צצים ואז לא יפגעו באף אחד ואז נעלמים. אז אני לא יכול פשוט להגיד לכולם, "היי, זה דומיין חדש, חסמו אותו". אנחנו יכולים במקום זאת לעבור על כל אחד מהדומיינים החדשים האלה ולנסות להתחבר אליו. ואם תעודת האבטחה שהוא שולח לי בחזרה היא תעודה חדשה ונראית מוזרה, אלו תעודות מסוכנות. 

בסוף כל הסיפור הזה, מה שלקוח מנסה לעשות זה לשאול, "האם תוכל בבקשה לתת לי רשימה קצרה מאוד של שמות דומיין שאני צריך להכניס למסנן [מערכת שמות הדומיין] שלי ולוודא שאף אחד מהעובדים שלי לא גולש לדומיין הזה?" אם הם יכולים לחסום את זה, זה הסטנדרט הזהב. 

באופן אידיאלי, כן. הרעים צריכים להקים את התשתית שלהם לפני שהם יכולים להשתמש בה. הרעיון הוא לזהות במהירות רבה מתי מוקמת תשתית ולאחר מכן להבין נכון איזו תשתית חדשה מופעלת על ידי גורמי איום לעומת כל הדברים הרגילים והשפירים.

הבעיה בעולם היא שיש כל כך הרבה פעילות של אנשים רעים. אם הייתי יכול לתת באופן קסום לחברה פיד של כל שמות הדומיין בעלי הסיכוי הגבוה מאוד להיות בסיכון גבוה שהם צריכים לחסום - אין להם בקרות אבטחה שמתאימות למספר הזה של דומיינים. זה פשוט יותר מדי דברים גרועים. לקוחות מאוד, מאוד צמאים לכל תובנה שאנחנו יכולים לתת להם - לא רק ששם הדומיין הזה מסוכן, אלא את מי הם רודפים אחריו ואילו סימנים מצביעים על כך שהם רודפים אחרי אנשים כמוני. כי אז הייתי נותן עדיפות לשימוש בפיסת המידע הזו למען האבטחה שלי לעומת, למען האמת, כנראה 90% מהאיומים הדומים שנראים כמעט בדיוק ככה, אבל הם רודפים אחרי מישהו אחר. 

ללקוחות יש בעיית אופטימיזציה קשה מאוד, כמו הקיבולת המוגבלת של בקרות האבטחה שלהם. על מה הם הולכים להתמקד? יש יותר מדי. ולכן הם צמאים שנספק להם תובנות שיעזרו להם עם בעיית האופטימיזציה הזו.