Skip to main content

Кибербезопасность

19 февраля 2025 года

Как Recorded Future находит и отслеживает киберугрозы? Объясняет руководитель отдела Data Science.

Neque porro quisquam est qui dolorem ipsum quia dolor sit amet, consectetur, adipisci velit

Красный фасад здания с надписью Recorded Future на фоне неба.

Бен Фокс Рубин

Вице-президент по редакционному контенту

Мэтт Кодама, руководитель отдела науки о данных в компании Recorded Future, занимающейся кибербезопасностью, сравнивает свою работу с работой в задней части дома в ресторане. Его команда занимается покупками, разрабатывает рецепты, готовит и раскладывает еду. 

Его команда работает с данными, которые они собирают и анализируют со всего интернета, чтобы выявить полезную информацию, которую могут использовать клиенты. Затем эта информация поступает в программную платформу Recorded Future, которую используют крупные финансовые учреждения, правительства и многие другие для отслеживания потенциальных угроз для их организаций в режиме реального времени, как в интернете, так и в реальном мире. 

Новостная редакция Mastercard недавно посетила штаб-квартиру Recorded Future, которая в декабре стала частью Mastercard, и получила возможность встретиться с Кодамой и узнать о его работе. 

Следующий раздел вопросов и ответов был отредактирован для сокращения и ясности. 

Какие данные вы используете?

Он охватывает весь спектр, начиная с множества видов данных, которые доступны публично. На другом конце спектра мы нашли несколько умных и сложных способов доступа к данным из труднодоступных мест, которые часто используются киберугрозами. 

Можете привести конкретный пример?

Для злоумышленников одной из самых больших игр сейчас является кража информации с компьютеров отдельных людей. Теперь у злоумышленников есть ваши логины, ваши пароли, ваши куки — вся информация о том, как выглядит ваш компьютер. С этими данными злоумышленник может создать поддельную машину, похожую на ваш компьютер, и сделать так, чтобы трафик браузера с этой машины выглядел так, будто он поступает из вашего города. 

Если вы злоумышленник, работающий в сфере корпоративных программ-вымогателей, это отличная информация для доступа к сети, на которую вы нацелены. Количество файлов с таких заражённых компьютеров, которые предлагаются на продажу, просто безумие. Это большой бизнес.

Это сумасшедший, безумный мир. Это как блошиный рынок. 

Многих клиентов волнует, смогут ли они как можно быстрее выяснить, что логин с высоким риском, например, через их VPN, был раскрыт. Они могут предпринять очень конкретные меры безопасности. Если есть сессия входа, убирайте его. Какой бы пароль ни был на этом входе, сбросьте его. Потому что это, по сути, гонка: как быстро эта информация будет использована злоумышленниками и как быстро защитники смогут её узнать и исправить. 

ИСТОРИЯ

Внутри Recorded Future: атмосфера стартапа, классический рок и будущее кибербезопасности

Редакция новостей Mastercard посетила штаб-квартиру этой компании по разведке угроз как раз в тот момент, когда две команды объединяют киберсилы.

Подробнее

Есть ли у вас другой пример?

Всем компьютерам, пытающимся отправлять сообщения через интернет, необходимы таблицы, содержащие текст: «Если вы пытаетесь связаться с этим доменом онлайн, отправьте сообщение на этот IP-адрес». Это как телефонный справочник для интернета. 

Одна очень базовая, но действительно эффективная аналитика — просто взять всю эту информацию и спросить: «Что здесь сегодня, чего не было?» Постоянно создаются новые бизнесы, и, конечно, многие из них терпят неудачу. Так что очень, очень нормально, что новые домены появляются, не причиняют вреда никому и исчезают. Так что я не могу просто сказать всем: «Эй, это новый домен, заблокируйте его.» Вместо этого мы можем пройти через каждый из этих новых доменов и попытаться с ними подключиться. А если сертификат безопасности, который мне возвращают, — это новый сертификат и выглядит странно, то это рискованные сертификаты. 

В конечном итоге, клиент пытается сказать: «Не могли бы вы предоставить мне очень короткий список доменных имен, которые я должен добавить в свой [систему доменных имен], чтобы убедиться, что ни один из моих сотрудников не заходит на этот домен?» Если им удастся это заблокировать, это будет золотым стандартом. 

Таким образом, вы можете заблокировать фишинговый сайт ещё до того, как фишинговое письмо будет отправлено потенциальным жертвам?

В идеале — да. Злодеи должны настроить свою инфраструктуру, прежде чем смогут её использовать. Идея заключается в том, чтобы очень быстро определить, когда инфраструктура создаётся, и правильно определить, какая из них новая
Инфраструктурой управляют злоумышленники, а не обычные и безобидные вещи.

Как клиенты используют эту информацию?

Проблема в мире в том, что вокруг так много активности злодеев. Если бы я мог волшебным образом дать компании ленту со всеми очень, очень вероятными доменными именами, которые они должны блокировать — у них нет систем безопасности, который масштабируется под такое количество доменов. Слишком много плохого. Клиенты очень, очень жаждут любых инсайтов, которые мы можем им дать — не только этот домен рискован, но и то, на кого они стремятся и какие признаки указывают на таких, как я. Потому что тогда я бы отдал приоритет использованию этой информации для своей безопасности, от, честно говоря, примерно 90% похожих угроз, которые выглядят почти так же, но они нацелены на кого-то другого. 

У клиентов есть очень сложная задача оптимизации, например, ограниченные возможности их систем управления безопасностью. На чём они собираются сосредоточиться? Слишком много. Поэтому они очень хотят, чтобы мы дали им идеи, которые помогут им решить задачу оптимизации.  

Пояснение

Что такое разведка угроз? Ваш путеводитель по безопасности вашего бизнеса

Постпандемический бум электронной коммерции значительно подстегнул киберпреступность, а растущая доступность инструментов искусственного интеллекта позволяет легко автоматизировать массовые атаки. Относительно новое направление в кибербезопасности, называемое анализом угроз, занимается противодействием возникающим опасностям до того, как они причинят ущерб.

Подробнее