Matt Kodama, który kieruje nauką o danych w firmie Recorded Future zajmującej się cyberbezpieczeństwem, porównuje swoją pracę do pracy na zapleczu restauracji. Jego zespół zajmuje się zakupami spożywczymi, opracowywaniem przepisów, gotowaniem i podawaniem potraw. 

Komponenty, z którymi pracuje jego zespół, to fragmenty danych, które zbierają z całej sieci, a następnie analizują, aby wyodrębnić przydatne informacje, z których mogą korzystać klienci. Informacje te są następnie wprowadzane do platformy oprogramowania Recorded Future, która jest wykorzystywana przez główne instytucje finansowe, rządy i wiele innych podmiotów do śledzenia potencjalnych zagrożeń, zarówno online, jak i w świecie rzeczywistym, dla ich organizacji w czasie rzeczywistym. 

Mastercard Newsroom niedawno odwiedził siedzibę Recorded Future, która stała się częścią Mastercard w grudniu, i miał okazję usiąść z Kodamą i posłuchać o jego pracy. 

Poniższy Q&A został zredagowany pod kątem długości i przejrzystości. 

Obejmuje pełne spektrum, począwszy od wielu rodzajów danych, które są publicznie dostępne. Na drugim końcu spektrum opracowaliśmy sprytne i wyrafinowane sposoby uzyskiwania dostępu do danych z trudniej dostępnych miejsc, które są często wykorzystywane przez cyberzagrożenia. 

Dla podmiotów stanowiących zagrożenie jedną z największych gier w mieście jest obecnie kradzież informacji z komputerów poszczególnych osób. Teraz aktorzy zagrożeń mają twoje ciągi logowania, hasła, pliki cookie, wszystkie informacje o tym, jak wygląda twój komputer. Dzięki tym danym aktor zagrożeń może stworzyć fałszywą maszynę, która wygląda jak twój komputer, i może sprawić, że ruch przeglądarki z tej fałszywej maszyny będzie wyglądał tak, jakby pochodził z twojego miasta. 

Jeśli jesteś aktorem zagrożeń pracującym w grze ransomware dla przedsiębiorstw, jest to niesamowita informacja, aby dostać się do sieci, na którą celujesz. Liczba plików z zainfekowanych komputerów, które są oferowane do sprzedaży, jest szalona. To duży biznes.

To szalony, szalony świat. To jak pchli targ. 

Wielu klientom zależy na tym, aby mogli jak najszybciej dowiedzieć się, że login wysokiego ryzyka, taki jak ich VPN, został ujawniony. Mogą podejmować bardzo konkretne działania w zakresie bezpieczeństwa. Jeśli istnieje sesja logowania, zakończ ją. Jakiekolwiek hasło jest obecnie przypisane do tego loginu, należy je zresetować, Ponieważ jest to w zasadzie wyścig: jak szybko te informacje zostaną wykorzystane przez podmioty stanowiące zagrożenie w porównaniu z tym, jak szybko obrońcy mogą je znaleźć i naprawić. 

Wszystkie komputery, które próbują wysyłać wiadomości przez Internet, muszą mieć te tabele, które mówią: "Jeśli próbujesz rozmawiać z tą domeną online, wyślij wiadomość na ten adres IP". To jak książka telefoniczna w Internecie. 

Jedną z naprawdę podstawowych, ale w rzeczywistości całkiem skutecznych analiz jest po prostu wzięcie wszystkich tych informacji i powiedzenie: "Co jest tutaj dzisiaj, czego nie było wczoraj?". Ciągle powstają nowe firmy, a potem oczywiście wiele z nich upada. Jest więc bardzo, bardzo normalne, że nowe domeny pojawiają się, a następnie nikomu nie szkodzą, a następnie znikają. Nie mogę więc po prostu powiedzieć wszystkim: "Hej, to nowa domena, zablokujcie ją". Zamiast tego możemy przejść przez każdą z tych nowych domen i spróbować się z nią połączyć. A jeśli certyfikat bezpieczeństwa, który mi odsyła, jest nowym certyfikatem i wygląda dziwnie, są to ryzykowne certyfikaty. 

Na koniec tej całej historii klient próbuje powiedzieć: "Czy mógłbyś podać mi bardzo krótką listę nazw domen, które powinienem umieścić w moim filtrze [Domain Name System] i upewnić się, że żaden z moich pracowników nie przegląda tej domeny?". Jeśli mogą go zablokować, to jest to złoty standard. 

Idealnie, tak. Złoczyńcy muszą skonfigurować swoją infrastrukturę, zanim będą mogli z niej korzystać. Chodzi o to, aby bardzo szybko wykryć, kiedy infrastruktura jest tworzona, a następnie poprawnie określić, która nowa infrastruktura jest obsługiwana przez podmioty stanowiące zagrożenie, w przeciwieństwie do wszystkich normalnych i łagodnych rzeczy.

Problemem na świecie jest to, że jest tak wiele złych ludzi. Gdybym mógł w magiczny sposób dać firmie źródło wszystkich bardzo, bardzo prawdopodobnych nazw domen wysokiego ryzyka, które powinni zablokować - nie mają kontroli bezpieczeństwa, które skalują się do takiej liczby domen. To po prostu zbyt wiele złych rzeczy. Klienci są bardzo, bardzo spragnieni wszelkich informacji, które możemy im dać - nie tylko ta nazwa domeny jest ryzykowna, ale kogo szukają i jakie oznaki sugerują, że szukają ludzi takich jak ja. Ponieważ wtedy nadałbym priorytet wykorzystaniu tej informacji dla mojego bezpieczeństwa w porównaniu do, szczerze mówiąc, prawdopodobnie 90% podobnych zagrożeń, które wyglądają prawie dokładnie tak samo, ale atakują kogoś innego. 

Klienci mają bardzo trudny problem z optymalizacją, taki jak ograniczona pojemność ich kontroli bezpieczeństwa. Na czym zamierzają się skupić? Jest tego za dużo. Są więc głodni wiedzy, która pomoże im w rozwiązaniu problemu optymalizacji.