Matt Kodama, ktorý vedie oddelenie dátovej vedy v spoločnosti zaoberajúcej sa kybernetickou bezpečnosťou Recorded Future, prirovnáva svoju prácu k práci v zadnej časti domu v reštaurácii. Jeho tím nakupuje potraviny, navrhuje recepty, varí a servíruje jedlo. 

Komponenty, s ktorými jeho tím pracuje, sú dáta, ktoré zhromažďujú z celého webu a následne ich analyzujú, aby získali užitočné informácie, ktoré môžu zákazníci využiť. Tieto informácie sa potom vkladajú do softvérovej platformy spoločnosti Recorded Future, ktorú používajú veľké finančné inštitúcie, vlády a mnoho ďalších na sledovanie potenciálnych hrozieb pre svoje organizácie v reálnom čase, a to online aj v reálnom svete. 

Redakcia Mastercard Newsroom nedávno navštívila sídlo spoločnosti Recorded Future, ktorá sa v decembri stala súčasťou Mastercardu , a mala možnosť porozprávať sa s Kodamom a vypočuť si jeho prácu. 

Nasledujúce otázky a odpovede boli upravené kvôli dĺžke a prehľadnosti. 

Funguje v celom spektre, vychádzajúc z mnohých druhov verejne dostupných údajov. Na druhej strane spektra sme prišli na niekoľko šikovných a sofistikovaných spôsobov, ako získať prístup k údajom z ťažšie dostupných miest, ktoré často využívajú kybernetickí útočníci. 

Pre aktérov hrozby je v súčasnosti jednou z najväčších hier kradnutie informácií z počítačov jednotlivých ľudí. Teraz majú útočníci k dispozícii vaše prihlasovacie údaje, heslá, súbory cookie a všetky informácie o tom, ako vyzerá váš počítač. S týmito údajmi môže útočník vytvoriť falošný počítač, ktorý vyzerá ako váš počítač, a prevádzku prehliadača z tohto falošného počítača môže vyzerať, akoby pochádzala z vášho mesta. 

Ak ste aktérom hrozby pracujúcim v oblasti podnikového ransomvéru , sú to úžasné informácie o tom, ako sa dostať do siete, na ktorú sa zameriavate. Počet súborov z infikovaných počítačov, ako je tento, ktoré sa ponúkajú na predaj, je šialený. Je to veľký biznis.

Je to bláznivý, bláznivý svet. Je to ako blší trh. 

Mnohým zákazníkom záleží na tom, či čo najrýchlejšie zistia, že bolo odhalené vysoko rizikové prihlásenie, napríklad do ich VPN. Môžu prijať veľmi špecifické bezpečnostné opatrenia. Ak existuje prihlasovacia relácia, ukončite ju. Akékoľvek heslo, ktoré je aktuálne na tomto prihlásení, resetujte ho. Pretože je to v podstate preteky: ako rýchlo tieto informácie zneužijú útočníci, verzus ako rýchlo ich dokážu zistiť a napraviť obrancovia. 

Všetky počítače, ktoré sa pokúšajú odosielať správy cez internet, musia mať tieto tabuľky, ktoré hovoria: „Ak sa pokúšate komunikovať s touto doménou online, pošlite správu na túto IP adresu.“ Je to ako telefónny zoznam pre internet. 

Jedna naozaj základná, ale v skutočnosti dosť účinná analýza spočíva v tom, že vezmeme všetky tieto informácie a povieme si: „Čo je tu dnes, čo tu včera nebolo?“ Neustále vznikajú nové podniky a potom, samozrejme, veľa z nich skrachuje. Je teda veľmi, veľmi normálne, že sa objavia nové domény, ktoré potom nikomu neublížia a potom zmiznú. Takže nemôžem každému len tak povedať: „Hej, toto je nová doména, zablokujte ju.“ Namiesto toho môžeme prejsť každú jednu z týchto nových domén a pokúsiť sa k nej pripojiť. A ak mi bezpečnostný certifikát, ktorý mi pošle späť, je nový certifikát a vyzerá čudne, sú to rizikové certifikáty. 

Na konci celého tohto príbehu sa zákazník snaží povedať: „Mohli by ste mi, prosím, poskytnúť veľmi krátky zoznam doménových mien, ktoré by som mal vložiť do svojho filtra [Systém doménových mien] a uistiť sa, že žiadny z mojich zamestnancov túto doménu neprehliada?“ Ak to dokážu zablokovať, to je zlatý štandard. 

V ideálnom prípade áno. Zlí chlapci si musia najprv vybudovať infraštruktúru, než ju budú môcť použiť. Cieľom je extrémne rýchlo odhaliť, kedy sa infraštruktúra buduje, a potom správne zistiť, ktorú novú infraštruktúru prevádzkujú útočníci, na rozdiel od všetkých bežných a neškodných vecí.

Problémom na svete je, že je tu toľko zlých aktivít. Keby som mohol magicky poskytnúť spoločnosti zoznam všetkých doménových mien, ktoré by mali blokovať a ktoré by s najväčšou pravdepodobnosťou mali byť vysoko rizikové – nemajú bezpečnostné kontroly, ktoré by sa dali škálovať na takýto počet domén. Je to jednoducho príliš veľa zlých vecí. Zákazníci sú veľmi, veľmi hladní po akýchkoľvek informáciách, ktoré im môžeme poskytnúť – nielenže je tento názov domény riskantný, ale aj to, po kom idú a aké náznaky naznačujú, že idú po ľuďoch, ako som ja. Pretože by som potom uprednostnil použitie tejto informácie pre svoju bezpečnosť oproti, úprimne povedané, pravdepodobne 90 % podobných hrozieb, ktoré vyzerajú takmer presne takto, ale idú po niekom inom. 

Zákazníci majú veľmi zložitý problém s optimalizáciou, ako napríklad obmedzenú kapacitu svojich bezpečnostných kontrol. Na čo sa zamerajú? Je toho priveľa. A tak sú hladní po tom, aby sme im poskytli poznatky, ktoré im pomôžu s týmto optimalizačným problémom.