Cum găsește și urmărește Recorded Future amenințările cibernetice? Șeful departamentului de știință a datelor explică.

Matt Kodama, șeful departamentului de știință a datelor la compania de securitate cibernetică Recorded Future, își compară slujba cu lucrul în spatele casei, la un restaurant. Echipa lui este cea care face cumpărături, concepe rețete, gătește și aranjează mâncarea. 

Componentele cu care lucrează echipa sa sunt fragmente de date pe care le colectează de pe tot internetul, pe care apoi le analizează pentru a identifica informații utile pe care clienții le pot folosi. Aceste informații sunt apoi introduse în platforma software a Recorded Future, care este utilizată de instituții financiare majore, guverne și multe altele pentru a urmări potențialele amenințări, atât online, cât și în lumea reală, la adresa organizațiilor lor în timp real. 

Revista Mastercard a vizitat recent sediul central al Recorded Future, care a devenit parte a Mastercard în decembrie, și a avut ocazia să stea de vorbă cu Kodama și să afle mai multe despre munca sa. 

Următoarele întrebări și răspunsuri au fost editate pentru a fi mai lungi și mai clare. 

Acoperă întregul spectru, pornind de la multe tipuri de date disponibile publicului. La celălalt capăt al spectrului, am descoperit câteva modalități inteligente și sofisticate de a accesa date din locuri mai greu accesibile, care sunt adesea folosite de actorii cibernetici. 

Pentru hackerii, unul dintre cele mai mari jocuri din oraș în acest moment este furtul de informații de pe computerele persoanelor. Acum, hackerii au obținut datele de conectare, parolele, cookie-urile, toate informațiile despre cum arată computerul tău. Cu aceste date, atacatorul respectiv poate crea o mașină falsă care să semene cu computerul tău și poate face ca traficul de browser de pe acea mașină falsă să pară că vine din orașul tău. 

Dacă ești un atacator care lucrează în domeniul ransomware-ului pentru companii, acestea sunt informații extraordinare pentru a intra în rețeaua pe care o vizezi. Numărul de fișiere de pe computere infectate ca acesta care sunt oferite spre vânzare este incredibil. Este o afacere mare.

E o lume nebună, nebună. E ca o piață de vechituri. 

Ceea ce îi interesează pe mulți clienți este dacă pot afla cât mai repede posibil că o autentificare cu risc ridicat, cum ar fi cea la VPN-ul lor, a fost expusă. Aceștia pot lua măsuri de securitate foarte specifice. Dacă există o sesiune de autentificare, închideți-o. Indiferent de parola utilizată în prezent pentru autentificarea respectivă, resetează-o. Pentru că este practic o cursă: cât de repede vor fi folosite aceste informații de către actorii amenințători versus cât de repede pot apărătorii să le descopere și să le remedieze. 

Toate computerele care încearcă să trimită mesaje prin internet trebuie să aibă aceste tabele care spun: „Dacă încercați să comunicați cu acest domeniu online, trimiteți un mesaj la această adresă IP”. E ca o carte de telefon pentru internet. 

O analiză foarte simplă, dar de fapt destul de eficientă, este să iei toate aceste informații și să spui: „Ce este aici astăzi și nu era aici ieri?” Există în permanență noi afaceri care sunt create, iar apoi, bineînțeles, multe dintre ele dau faliment. Deci este foarte, foarte normal ca domenii noi să apară, să nu dăuneze nimănui și apoi să dispară. Deci nu pot pur și simplu să le spun tuturor: „Hei, acesta este un domeniu nou, blocați-l.” În schimb, putem parcurge fiecare dintre aceste domenii noi și încerca să ne conectăm la ele. Și dacă certificatul de securitate pe care mi-l trimite înapoi este un certificat nou și arată ciudat, acelea sunt certificate riscante. 

La sfârșitul întregii povești, ceea ce încearcă să facă un client este să spună: „Îmi puteți da, vă rog, o listă foarte scurtă de nume de domeniu pe care ar trebui să le introduc în filtrul meu [Sistem de nume de domeniu] și să mă asigur că niciunul dintre angajații mei nu navighează către acel domeniu?” Dacă pot bloca asta, acesta este standardul de aur. 

În mod ideal, da. Infractorii trebuie să-și configureze infrastructura înainte să o poată folosi. Ideea este de a detecta extrem de rapid când se configurează infrastructura și apoi de a identifica corect care infrastructură nouă este operată de actori amenințători, spre deosebire de toate lucrurile normale și benigne.

Problema în lume este că există atât de multă activitate a răufăcătorilor. Dacă aș putea oferi ca prin magie unei companii un flux cu toate numele de domeniu cu risc foarte mare pe care ar trebui să le blocheze — ei nu au controale de securitate care să se adapteze la numărul respectiv de domenii. Sunt pur și simplu prea multe lucruri rele. Clienții sunt foarte, foarte însetați de orice informații le putem oferi — nu doar că acest nume de domeniu este riscant, ci și pe cine urmăresc și ce indicii sugerează că urmăresc oameni ca mine. Pentru că atunci aș prioritiza utilizarea acelei informații pentru securitatea mea față de, sincer, probabil 90% din amenințările similare care arată aproape exact la fel, dar care vizează pe altcineva. 

Clienții au o problemă foarte dificilă de optimizare, cum ar fi capacitatea limitată a controalelor lor de securitate. Pe ce se vor concentra? E prea mult. Așadar, sunt însetați să le oferim informații care să îi ajute cu problema de optimizare.