Matt Kodama, care conduce departamentul de știință a datelor la compania de securitate cibernetică Recorded Future, își compară slujba cu munca în bucătăria unui restaurant. Echipa sa este cea care face cumpărăturile, concepe rețetele, gătește și aranjează mâncarea pe farfurii. 

Componentele cu care echipa sa lucrează sunt date pe care le adună de pe întregul web, pe care le analizează ulterior pentru a extrage informații utile pentru clienți. Aceste informații sunt apoi introduse în platforma software a Recorded Future, care este folosită de instituții financiare importante, guverne și multe altele pentru a monitoriza potențialele amenințări, atât online, cât și în lumea reală, asupra organizațiilor lor în timp real. 

Redacția Mastercard a vizitat recent sediul central al Recorded Future, care a devenit parte a Mastercard în decembrie, și a avut ocazia să discute cu Kodama și să afle despre activitatea sa. 

Următoarea sesiune de întrebări și răspunsuri a fost editată pentru a fi mai scurtă și mai clară. 

Acesta acoperă întregul spectru, începând de la diverse tipuri de date care sunt disponibile publicului. La celălalt capăt al spectrului, am descoperit câteva modalități ingenioase și sofisticate de a accesa date din locuri greu accesibile, care sunt adesea utilizate de actorii amenințărilor cibernetice. 

Pentru infractorii cibernetici, una dintre cele mai mari activități în acest moment este furtul de informații de pe computerele personale ale indivizilor. Acum, actorii de amenințare au obținut șirurile dvs. de conectare, parolele, cookie-urile și toate informațiile despre aspectul computerului dvs. Cu aceste date, acel actor de amenințare poate crea un dispozitiv fals care seamănă cu computerul dvs. și poate face ca traficul de pe acel dispozitiv fals să pară că provine din orașul dvs. 

Dacă sunteți un actor de amenințare care activează în domeniul ransomware pentru întreprinderi, aceasta este o informație valoroasă pentru a accesa rețeaua pe care o vizați. Numărul de fișiere de pe computere infectate ca acesta care sunt oferite spre vânzare este incredibil. Este o afacere importantă.

Este o lume nebună, nebună. Este ca un târg de vechituri. 

Ceea ce îi interesează pe mulți clienți este dacă pot afla cât mai rapid că o autentificare cu risc ridicat, cum ar fi la VPN-ul lor, a fost compromisă. Ei pot lua măsuri de securitate foarte specifice. Dacă există o sesiune de autentificare, terminați-o. Indiferent de parola actuală pentru acel cont, resetați-o. Pentru că este, în esență, o cursă: cât de rapid vor utiliza actorii amenințărilor aceste informații comparativ cu cât de rapid pot apărătorii să le descopere și să le remedieze. 

Toate calculatoarele care încearcă să trimită mesaje pe internet trebuie să aibă aceste tabele care indică: „Dacă încercați să comunicați cu acest domeniu online, trimiteți un mesaj la această adresă IP.” Este ca o carte de telefon pentru internet. 

O analiză cu adevărat de bază, dar de fapt destul de eficientă este să iei toate aceste informații și să te întrebi: „Ce este aici astăzi care nu era aici ieri?” Există mereu noi afaceri care sunt înființate și, desigur, multe dintre ele eșuează. Așadar, este absolut normal ca noi domenii să apară, să nu afecteze pe nimeni și apoi să dispară. Așa că nu pot spune tuturor: „Hei, acesta este un domeniu nou, blocați-l.” În schimb, putem parcurge fiecare dintre aceste domenii noi și să încercăm să ne conectăm la ele. Și dacă certificatul de securitate pe care mi-l trimite înapoi este unul nou și arată ciudat, acestea sunt riscante. 

La finalul acestei întregi povești, ceea ce încearcă un client să facă este să spună: „Ați putea să-mi oferiți o listă foarte scurtă de nume de domenii pe care ar trebui să le introduc în filtrul meu [Sistem de Nume de Domeniu] și să mă asigur că niciunul dintre angajații mei nu accesează acel domeniu?” Dacă pot să-l blocheze, acesta este etalonul. 

Ideal, da. Infractorii trebuie să-și stabilească infrastructura înainte de a o putea utiliza. Ideea este să detectăm când infrastructura este configurată extrem de rapid și să identificăm corect care infrastructură nouă este operată de actori rău intenționați, spre deosebire de toate celelalte lucruri normale și benigne.

Problema în lume este că există atât de multă activitate a infractorilor. Dacă aș putea oferi în mod magic unei companii un flux cu toate numele de domenii care sunt foarte, foarte probabil să fie cu risc ridicat și pe care ar trebui să le blocheze — nu au controale de securitate care să se extindă la acel număr de domenii. Este pur și simplu prea mult conținut negativ. Clienții sunt extrem de dornici să obțină orice informații pe care le putem oferi — nu doar că acest nume de domeniu este riscant, ci și cine sunt țintele lor și ce indicii sugerează că vizează persoane ca mine. Pentru că atunci aș prioritiza utilizarea acelei informații pentru securitatea mea în loc de, sincer, probabil 90% din amenințările similare care arată aproape la fel, dar vizează pe altcineva. 

Clienții se confruntă cu o problemă de optimizare foarte dificilă, cum ar fi capacitatea limitată a controalelor lor de securitate. Pe ce se vor axa ei? Este prea mult. Și astfel, sunt dornici să le oferim perspective care îi vor ajuta cu acea problemă de optimizare.