Matt Kodama, som är chef för data science på cybersäkerhetsföretaget Recorded Future, liknar sitt jobb vid att arbeta på baksidan av huset på en restaurang. Hans team är de som handlar matvaror, utformar recept, lagar mat och serverar maten. 

Komponenterna som hans team arbetar med är data som de samlar in från hela webben, som de sedan analyserar för att hitta användbar information som kunderna kan använda. Den informationen matas sedan in i Recorded Futures programvaruplattform, som används av stora finansinstitut, myndigheter och många andra för att spåra potentiella hot, både online och i verkligheten, mot deras organisationer i realtid. 

Mastercard Newsroom besökte nyligen huvudkontoret för Recorded Future, som blev en del av Mastercard i december, och fick chansen att sitta ner med Kodama och höra om hans arbete. 

Följande frågor och svar har redigerats för längd och tydlighet. 

Den täcker hela spektrumet, med början i många typer av data som är offentligt tillgängliga. I andra änden av spektrumet har vi kommit fram till några smarta och sofistikerade sätt att komma åt data från svåråtkomliga platser som ofta används av cyberhotsaktörer. 

För hotaktörer är ett av de största spelen just nu att stjäla information från enskilda människors datorer. Nu har hotaktörerna fått tag på dina inloggningssträngar, dina lösenord, dina cookies, all information om hur din dator ser ut. Med denna data kan hotbildaren skapa en falsk maskin som ser ut som din dator, och få webbläsartrafiken från den falska maskinen att se ut som om den kommer från din stad. 

Om du är en hotaktör som arbetar inom företagsransomware är det fantastisk information för att komma in på det nätverk du riktar in dig på. Antalet filer från infekterade datorer som denna som erbjuds till försäljning är vansinnigt. Det är en stor verksamhet.

Det är en galen, galen värld. Det är som en loppmarknad. 

Det många kunder bryr sig om är om de så snabbt som möjligt kan få reda på att en högriskinloggning, till exempel till deras VPN, har blivit exponerad. De kan vidta mycket specifika säkerhetsåtgärder. Om det finns en inloggningssession, avsluta den. Återställ lösenordet som för närvarande finns på den inloggningen. För det är i grunden en kapplöpning: hur snabbt kommer den här informationen att användas av hotaktörer kontra hur snabbt kan försvararna ta reda på och åtgärda den. 

Alla datorer som försöker skicka meddelanden via internet måste ha dessa tabeller som säger "Om du försöker kommunicera med den här domänen online, skicka ett meddelande till den här IP-adressen." Det är som telefonkatalogen för internet. 

En riktigt grundläggande men faktiskt ganska effektiv analys är att bara ta all denna information och säga: "Vad finns här idag som inte fanns här igår?" Det skapas ständigt nya företag, och sedan misslyckas naturligtvis många av dem. Så det är väldigt, väldigt normalt att nya domäner dyker upp och sedan inte skadar någon och sedan försvinner. Så jag kan inte bara säga till alla: ”Hörru, det här är en ny domän, blockera den.” Vi kan istället gå igenom varenda en av de nya domänerna och försöka ansluta till den. Och om säkerhetscertifikatet som skickas tillbaka till mig är ett nytt certifikat och ser konstigt ut, så är det riskabla sådana. 

I slutet av hela den här historien försöker en kund säga: ”Kan ni ge mig en mycket kort lista med domännamn som jag ska lägga in i mitt [Domännamnssystem]-filter och se till att ingen av mina anställda surfar till den domänen?” Om de kan blockera det, är det guldstandarden. 

Helst, ja. Skurkarna måste sätta upp sin infrastruktur innan de kan använda den. Tanken är att extremt snabbt upptäcka när infrastruktur upprättas och sedan korrekt lista ut vilken ny infrastruktur som drivs av hotaktörer i motsats till alla vanliga och ofarliga saker.

Problemet i världen är att det finns så mycket skurkaktivitet. Om jag magiskt kunde ge ett företag en flöde av alla de mycket, mycket sannolikt högriskdomännamn som de borde blockera – så har de inga säkerhetskontroller som kan skalas till det antalet domäner. Det är bara för mycket dåliga grejer. Kunderna är väldigt, väldigt hungriga efter alla insikter vi kan ge dem – inte bara är det här domännamnet riskabelt, utan även vem jagar de och vilka indikationer tyder på att de jagar personer som jag. För då skulle jag prioritera att använda den informationen för min egen säkerhet kontra, ärligt talat, förmodligen 90 % av liknande hot som ser nästan exakt ut så, men de jagar någon annan. 

Kunder har ett mycket svårt optimeringsproblem, som den begränsade kapaciteten hos sina säkerhetskontroller. Vad ska de fokusera på? Det är för mycket. Och därför är de hungriga efter att vi ska ge dem insikter som hjälper dem med optimeringsproblemet.