Matt Kodama, ki vodi podatkovno znanost pri podjetju za kibernetsko varnost Recorded Future, svojo službo primerja z delom v zadnji del hiše v restavraciji. Njegova ekipa je tista, ki nakupuje živila, oblikuje recepte, kuha in servira hrano. 

Komponente, s katerimi dela njegova ekipa, so podatki, ki jih zbirajo z vsega spleta in jih nato analizirajo, da bi iz njih izluščili koristne informacije, ki jih lahko stranke uporabijo. Te informacije se nato vnesejo v programsko platformo Recorded Future, ki jo uporabljajo večje finančne institucije, vlade in mnogi drugi za sledenje potencialnim grožnjam svojim organizacijam, tako na spletu kot v resničnem svetu, v realnem času. 

Novinarska soba Mastercard je pred kratkim obiskala sedež podjetja Recorded Future, ki je decembra postalo del Mastercarda , in imela priložnost sesti s Kodamo ter slišati o njegovem delu. 

Naslednja vprašanja in odgovori so bili urejeni zaradi dolžine in jasnosti. 

Izvaja celoten spekter, začenši z mnogimi vrstami podatkov, ki so javno dostopni. Na drugi strani spektra smo ugotovili nekaj pametnih in sofisticiranih načinov za dostop do podatkov iz težje dostopnih mest, ki jih pogosto uporabljajo akterji kibernetskih groženj. 

Za akterje grožnje je ena največjih iger v mestu trenutno kraja informacij z računalnikov posameznikov. Zdaj imajo akterji grožnje dostop do vaših prijavnih nizov, gesel, piškotkov, vseh informacij o tem, kako je videti vaš računalnik. S temi podatki lahko ta akter grožnje ustvari ponarejen stroj, ki je videti kot vaš računalnik, in lahko promet brskalnika s tega ponarejenega stroja naredi videti, kot da prihaja iz vašega mesta. 

Če ste akter groženj, ki deluje v igri izsiljevalske programske opreme za podjetja, so to odlične informacije za vstop v omrežje, na katerega ciljate. Število datotek iz okuženih računalnikov, kot je ta, ki so naprodaj, je neverjetno. To je velik posel.

Nor, nor svet je. To je kot bolšji trg. 

Mnoge stranke zanima, ali lahko čim hitreje ugotovijo, da je bila razkrita visoko tvegana prijava, na primer v njihov VPN. Lahko sprejmejo zelo specifične varnostne ukrepe. Če obstaja prijavna seja, jo ustavite. Ne glede na to geslo, ki je trenutno na tej prijavi, ga ponastavite. Ker gre v bistvu za tekmo: kako hitro bodo te informacije uporabili akterji grožnje, v primerjavi s tem, kako hitro jih lahko odkrijejo in odpravijo branilci. 

Vsi računalniki, ki poskušajo pošiljati sporočila prek interneta, morajo imeti te tabele, ki pravijo: »Če poskušate komunicirati s to domeno prek spleta, pošljite sporočilo na ta IP-naslov.« To je kot telefonski imenik za internet. 

Ena res osnovna, a pravzaprav precej učinkovita analitika je, da preprosto vzamemo vse te informacije in rečemo: "Kaj je danes tukaj, česar včeraj ni bilo?" Nenehno nastajajo nova podjetja, nato pa seveda veliko od njih propade. Torej je zelo, zelo normalno, da se pojavijo nove domene, ki nato ne škodijo nikomur in nato izginejo. Torej ne morem kar vsem reči: "Hej, to je nova domena, blokirajte jo." Namesto tega lahko pregledamo vsako od teh novih domen in se poskusimo povezati z njo. In če je varnostno potrdilo, ki mi ga pošlje nazaj, novo potrdilo in izgleda čudno, so to tvegana potrdila. 

Na koncu celotne zgodbe stranka poskuša reči: »Ali mi lahko, prosim, daste zelo kratek seznam domenskih imen, ki jih naj vnesem v svoj filter [sistem domenskih imen] in se prepričam, da nobeden od mojih zaposlenih ne brska po tej domeni?« Če ga lahko blokirajo, je to zlati standard. 

V idealnem primeru, da. Zlobneži morajo najprej vzpostaviti svojo infrastrukturo, preden jo lahko uporabijo. Ideja je izjemno hitro zaznati, kdaj se infrastruktura vzpostavlja, in nato pravilno ugotoviti, katero novo infrastrukturo upravljajo akterji grožnje, v nasprotju z vsemi običajnimi in neškodljivimi stvarmi.

Problem na svetu je, da je toliko dejavnosti zlobnih ljudi. Če bi lahko podjetju čarobno dal seznam vseh domenskih imen, ki bi jih morali blokirati in so zelo, zelo verjetno zelo tvegana – nimajo varnostnih kontrol, ki bi se lahko prilagodile temu številu domen. To je preprosto preveč slabih stvari. Stranke so zelo, zelo lačne kakršnih koli vpogledov, ki jim jih lahko ponudimo – ne le to, da je to domensko ime tvegano, ampak tudi to, koga lovijo in kakšni znaki kažejo, da lovijo ljudi, kot sem jaz. Ker bi potem dal prednost uporabi tega podatka za svojo varnost v primerjavi z, odkrito povedano, verjetno 90 % podobnih groženj, ki so videti skoraj enako, vendar napadajo nekoga drugega. 

Stranke imajo zelo težaven problem optimizacije, kot je omejena zmogljivost njihovih varnostnih kontrol. Na kaj se bodo osredotočili? Preveč je. In zato so lačni, da jim ponudimo vpoglede, ki jim bodo pomagali pri tej optimizacijski težavi.