Matt Kodama, koji je na čelu nauke o podacima u kompaniji za kibernetičku sigurnost Recorded Future, upoređuje svoj posao sa radom u zadnjem delu kuće u restoranu. Njegov tim je onaj koji kupuje namirnice, dizajnira recepte, kuva i tanjire hranu. 

Komponente sa kojima njegov tim radi su delovi podataka koje prikupljaju sa celog veba, a koje zatim analiziraju kako bi otkrili korisne informacije koje kupci mogu da koriste. Te informacije se zatim unose u softversku platformu Recorded Future, koju velike finansijske institucije, vlade i mnoge druge koriste za praćenje potencijalnih pretnji, kako na mreži tako i u stvarnom svetu, svojim organizacijama u realnom vremenu. 

Mastercard Newsroom je nedavno posetio sedište Recorded Future, koji je postao deo Mastercard-a u decembru, i dobio priliku da sedne sa Kodama i čuje o njegovom radu. 

Sledeći K & A je uređen radi dužine i jasnoće. 

Pokreće čitav spektar, počevši od mnogih vrsta podataka koji su javno dostupni. Na drugom kraju spektra smislili smo neke pametne i sofisticirane načine pristupa podacima sa teže dostupnih mesta koja često koriste akteri sajber pretnji. 

Za aktere pretnji, jedna od najvećih igara u gradu trenutno je krađa informacija sa računara pojedinih ljudi. Sada akteri pretnji imaju vaše nizove za prijavu, vaše lozinke, kolačiće, sve informacije o tome kako izgleda vaš računar. Pomoću ovih podataka taj glumac pretnje može napraviti lažnu mašinu koja liči na vaš računar i može učiniti da saobraćaj pregledača sa te lažne mašine izgleda kao da dolazi iz vašeg grada. 

Ako ste glumac pretnji koji radi u korporativnoj igri ransomvare, to je neverovatna informacija za ulazak na mrežu koju ciljate. Broj datoteka sa zaraženih računara poput ovog koji se nude na prodaju je lud. To je veliki posao.

To je lud, lud svet. To je kao buvljak. 

Ono do čega mnogi kupci brinu jeste ako mogu što brže saznati da je izložena visokorizična prijava, poput njihovog VPN-a. Oni mogu preduzeti vrlo specifične bezbednosne akcije. Ako postoji sesija za prijavu, ubijte je. Koja god lozinka trenutno bila na toj prijavi, resetujte je. , Jer to je u osnovi trka: koliko brzo će ove informacije koristiti akteri pretnji naspram koliko brzo branioci mogu da ih saznaju i poprave. 

Svi računari koji pokušavaju da šalju poruke preko interneta moraju imati ove tabele koje kažu: „Ako pokušavate da razgovarate sa ovim domenom na mreži, pošaljite poruku na ovu IP adresu.“ To je kao telefonski imenik za internet. 

Jedna zaista osnovna, ali zapravo prilično efikasna analitika je samo uzimanje svih ovih informacija i reći: „Šta je ovde danas, a juče nije bilo ovde?“ Stalno se stvaraju nova preduzeća, a onda, naravno, mnogi od njih propadaju. Dakle, vrlo je normalno da se novi domeni pojavljuju, a zatim nikome ne nanose štetu, a zatim nestanu. Tako da ne mogu samo da kažem svima, "Hej, ovo je novi domen, blokiraj ga." Umesto toga, možemo proći kroz svaki od tih novih domena i pokušati da se povežemo sa njim. A ako je bezbednosni sertifikat koji mi šalje nazad novi sertifikat i izgleda čudno, to su rizični. 

Na kraju cele ove priče, ono što kupac pokušava da uradi je da kaže: „Možete li mi dati vrlo kratku listu imena domena koje bih trebao staviti u svoj filter [Sistem imena domena] i pobrinuti se da niko od mojih zaposlenih ne pretražuje taj domen?“ Ako mogu da ga blokiraju, to je zlatni standard. 

U idealnom slučaju, da. Loši momci moraju da postave svoju infrastrukturu pre nego što je mogu koristiti. Ideja je da se otkrije kada se infrastruktura postavlja izuzetno brzo, a zatim ispravno shvatiti kojom novom infrastrukturom upravljaju akteri pretnji za razliku od svih normalnih i benignih stvari.

Problem u svetu je što ima toliko aktivnosti loših momaka. Ako bih mogao magično dati kompaniji pregled svih vrlo, vrlo verovatno rizičnih imena domena koje bi trebalo da blokiraju - nemaju bezbednosne kontrole koje se skale na taj broj domena. To je jednostavno previše loših stvari. Kupci su veoma, veoma gladni bilo kakvih uvida koje im možemo dati - ne samo da je ovo ime domena rizično, već koga traže i koje indikacije ukazuju na to da idu za ljudima poput mene. Zato što bih tada dao prednost korišćenju te informacije za svoju bezbednost u odnosu na, iskreno, verovatno 90% sličnih pretnji koje izgledaju gotovo baš tako, ali idu za nekom drugom. 

Kupci imaju veoma težak problem optimizacije, poput ograničenog kapaciteta njihovih bezbednosnih kontrola. Na šta će se fokusirati? Ima previše. I tako su gladni da im pružimo uvid koji će im pomoći u tom problemu optimizacije.