Matt Kodama, che dirige la scienza dei dati presso la società di sicurezza informatica Recorded Future, paragona il suo lavoro a quello di lavorare nel retro della casa in un ristorante. La sua squadra è quella che fa la spesa, progetta le ricette, cucina e impiatta il cibo. 

I componenti con cui lavora il suo team sono pezzi di dati che curano da tutto il web, che poi analizzano per estrarre informazioni utili che i clienti possono utilizzare. Queste informazioni vengono poi inserite nella piattaforma software di Recorded Future, che viene utilizzata dalle principali istituzioni finanziarie, dai governi e da molti altri per tracciare potenziali minacce, sia online che nel mondo reale, per le loro organizzazioni in tempo reale. 

La redazione di Mastercard ha recentemente visitato la sede di Recorded Future, che è entrata a far parte di Mastercard a dicembre, e ha avuto la possibilità di incontrare Kodama e conoscere il suo lavoro. 

Le seguenti domande e risposte sono state modificate per motivi di lunghezza e chiarezza. 

Esegue l'intero spettro, a partire da molti tipi di dati disponibili pubblicamente. All'altra estremità dello spettro, abbiamo individuato alcuni modi intelligenti e sofisticati per accedere ai dati da luoghi più difficili da raggiungere, spesso utilizzati dagli attori delle minacce informatiche. 

Per gli attori delle minacce, uno dei più grandi giochi in città in questo momento è rubare informazioni dai computer delle singole persone. Ora gli attori delle minacce hanno le tue stringhe di accesso, le tue password, i tuoi cookie, tutte le informazioni sull'aspetto del tuo computer. Con questi dati, l'attore della minaccia può creare una macchina falsa che assomiglia al tuo computer e può far sembrare che il traffico del browser proveniente da quella macchina falsa provenga dalla tua città. 

Se sei un attore di minacce che lavora nel gioco del ransomware aziendale, si tratta di informazioni straordinarie per accedere alla rete che stai prendendo di mira. Il numero di file provenienti da computer infetti come questo che vengono messi in vendita è pazzesco. È un grande business.

È un mondo pazzesco, pazzesco. È come un mercatino delle pulci. 

Ciò che interessa a molti clienti è se riescono a scoprire il più velocemente possibile che un accesso ad alto rischio, ad esempio alla loro VPN, è stato esposto. Possono intraprendere azioni di sicurezza molto specifiche. Se c'è una sessione di accesso, uccidila. Qualunque sia la password attualmente presente su quel login, reimpostala., Perché è fondamentalmente una gara: quanto velocemente queste informazioni verranno utilizzate dagli attori delle minacce rispetto alla velocità con cui i difensori possono scoprirle e porvi rimedio. 

Tutti i computer che tentano di inviare messaggi su Internet devono avere queste tabelle che dicono: "Se stai cercando di parlare con questo dominio online, invia un messaggio a questo indirizzo IP". È come l'elenco telefonico di Internet. 

Un'analisi davvero semplice ma in realtà piuttosto efficace è semplicemente prendere tutte queste informazioni e dire: «Cosa c'è qui oggi che non c'era ieri?» Vengono create costantemente nuove attività e poi, ovviamente, molte falliscono. Quindi è molto, molto normale che compaiano nuovi domini e poi non danneggino nessuno e poi spariscano. Quindi non posso semplicemente dire a tutti: «Ehi, questo è un nuovo dominio, bloccalo». Possiamo invece esaminare tutti quei nuovi domini e provare a connetterci ad essi. E se il certificato di sicurezza che mi restituisce è un certificato nuovo e ha un aspetto strano, sono rischiosi. 

Alla fine di tutta questa storia, ciò che un cliente sta cercando di fare è dire: «Potresti darmi un elenco molto breve di nomi di dominio da inserire nel mio filtro [Domain Name System] e assicurarmi che nessuno dei miei dipendenti acceda a quel dominio?» Se riescono a bloccarlo, questo è il gold standard. 

Idealmente, sì. I malintenzionati devono configurare la loro infrastruttura prima di poterla utilizzare. L'idea è quella di rilevare quando l'infrastruttura viene configurata in modo estremamente rapido e quindi capire correttamente quale nuova infrastruttura è gestita dagli attori delle minacce rispetto a tutte le cose normali e benigne.

Il problema nel mondo è che c'è così tanta attività da parte dei cattivi. Se potessi magicamente dare a un'azienda un feed di tutti i nomi di dominio molto, molto probabilmente ad alto rischio che dovrebbero bloccare, non hanno controlli di sicurezza che scalano a quel numero di domini. Sono semplicemente troppe cose brutte. I clienti sono molto, molto affamati di qualsiasi informazione che possiamo dare loro: non solo questo nome di dominio è rischioso, ma chi stanno cercando e quali indicazioni suggeriscono che stanno cercando persone come me. Perché in questo caso darei la priorità all'utilizzo di quell'informazione per la mia sicurezza rispetto, francamente, probabilmente al 90% delle minacce simili che sembrano quasi esattamente così, ma che stanno perseguendo qualcun altro. 

I clienti hanno un problema di ottimizzazione molto difficile, come la capacità limitata dei loro controlli di sicurezza. Su cosa si concentreranno? Ce n'è troppo. E quindi sono affamati di noi per fornire loro informazioni che li aiuteranno a risolvere il problema dell'ottimizzazione.