Как Recorded Future находит и отслеживает киберугрозы? Объясняет руководитель отдела Data Science.

Мэтт Кодама, руководитель отдела науки о данных в компании Recorded Future, занимающейся кибербезопасностью, сравнивает свою работу с работой в задней части дома в ресторане. Его команда занимается покупками, разрабатывает рецепты, готовит и раскладывает еду. 

Компоненты, с которыми работает его команда, — это фрагменты данных, которые они собирают из разных уголков интернета, а затем анализируют, чтобы выявить полезную информацию, которую клиенты могут использовать. Эта информация затем поступает в программную платформу Recorded Future, которая используется крупными финансовыми институтами, правительствами и многими другими для отслеживания потенциальных угроз как онлайн, так и в реальном мире для их организаций в реальном времени. 

Редакция Mastercard Newsroom недавно посетила штаб-квартиру Recorded Future, которая в декабре стала частью Mastercard , и получила возможность пообщаться с Кодамой и узнать о его работе. 

Приведенный ниже раздел «Вопросы и ответы» отредактирован для краткости и ясности. 

Она охватывает весь спектр данных, начиная с самых разных типов общедоступной информации. С другой стороны, мы разработали несколько хитрых и изощренных способов доступа к данным из труднодоступных мест, которые часто используются киберпреступниками. 

Для злоумышленников одной из самых больших игр сейчас является кража информации с компьютеров отдельных людей. Теперь у злоумышленников есть ваши логины, ваши пароли, ваши куки — вся информация о том, как выглядит ваш компьютер. С этими данными злоумышленник может создать поддельную машину, похожую на ваш компьютер, и сделать так, чтобы трафик браузера с этой машины выглядел так, будто он поступает из вашего города. 

Если вы злоумышленник, работающий в сфере корпоративных программ-вымогателей, это отличная информация для доступа к сети, на которую вы нацелены. Количество файлов с таких заражённых компьютеров, которые предлагаются на продажу, просто безумие. Это большой бизнес.

Это безумный, безумный мир. Это как блошиный рынок. 

Многих клиентов волнует, смогут ли они как можно быстрее выяснить, что логин с высоким риском, например, через их VPN, был раскрыт. Они могут предпринять очень конкретные меры безопасности. Если есть сессия входа, убирайте его. Какой бы пароль ни был на этом входе, сбросьте его. Потому что это, по сути, гонка: как быстро эта информация будет использована злоумышленниками и как быстро защитники смогут её узнать и исправить. 

Всем компьютерам, пытающимся отправлять сообщения через интернет, необходимы таблицы, содержащие текст: «Если вы пытаетесь связаться с этим доменом онлайн, отправьте сообщение на этот IP-адрес». Это как телефонный справочник для интернета. 

Одна очень базовая, но действительно эффективная аналитика — просто взять всю эту информацию и спросить: «Что здесь сегодня, чего не было?» Постоянно создаются новые бизнесы, и, конечно, многие из них терпят неудачу. Так что очень, очень нормально, что новые домены появляются, не причиняют вреда никому и исчезают. Так что я не могу просто сказать всем: «Эй, это новый домен, заблокируйте его.» Вместо этого мы можем пройти через каждый из этих новых доменов и попытаться с ними подключиться. А если сертификат безопасности, который мне возвращают, — это новый сертификат и выглядит странно, то это рискованные сертификаты. 

В конечном итоге, клиент пытается сказать: «Не могли бы вы предоставить мне очень короткий список доменных имен, которые я должен добавить в свой [систему доменных имен], чтобы убедиться, что ни один из моих сотрудников не заходит на этот домен?» Если им удастся это заблокировать, это будет золотым стандартом. 

В идеале — да. Злодеи должны настроить свою инфраструктуру, прежде чем смогут её использовать. Идея в том, чтобы очень быстро обнаружить, когда инфраструктура создаётся, и правильно определить, какая новая инфраструктура управляется злоумышленниками, а не обычными и безобидными.

Проблема в мире в том, что вокруг так много активности злодеев. Если бы я мог волшебным образом дать компании ленту со всеми очень, очень вероятными доменными именами, которые они должны блокировать — у них нет систем безопасности, который масштабируется под такое количество доменов. Слишком много плохого. Клиенты очень, очень жаждут любых инсайтов, которые мы можем им дать — не только этот домен рискован, но и то, на кого они стремятся и какие признаки указывают на таких, как я. Потому что тогда я бы отдал приоритет использованию этой информации для своей безопасности, от, честно говоря, примерно 90% похожих угроз, которые выглядят почти так же, но они нацелены на кого-то другого. 

У клиентов есть очень сложная задача оптимизации, например, ограниченные возможности их систем управления безопасностью. На чём они собираются сосредоточиться? Слишком много. Поэтому они очень хотят, чтобы мы дали им идеи, которые помогут им решить задачу оптимизации.