Як Recorded Future знаходить та відстежує кіберзагрози? Пояснює його керівник відділу обробки даних.

Метт Кодама, який очолює відділ обробки даних у компанії з кібербезпеки Recorded Future, порівнює свою роботу з роботою в задній частині будинку в ресторані. Його команда займається закупівлею продуктів, розробкою рецептів, приготуванням страв та їх подачею на стіл. 

Компоненти, з якими працює його команда, – це фрагменти даних, які вони збирають з усієї мережі, а потім аналізують, щоб виділити корисну інформацію, яку можуть використовувати клієнти. Потім ця інформація передається на програмну платформу Recorded Future, яку використовують великі фінансові установи, уряди та багато інших для відстеження потенційних загроз для своїх організацій у режимі реального часу, як онлайн, так і в реальному світі. 

Нещодавно редакція Mastercard Newsroom відвідала штаб-квартиру Recorded Future, яка стала частиною Mastercard у грудні, і мала можливість поспілкуватися з Кодамою та почути про його роботу. 

Наступні запитання та відповіді були відредаговані для збільшення довжини та ясності. 

Він охоплює повний спектр, починаючи з багатьох видів даних, які є загальнодоступними. З іншого боку, ми знайшли кілька розумних та витончених способів доступу до даних із важкодоступних місць, які часто використовуються кіберзлочинцями. 

Для зловмисників однією з найбільших ігор зараз є крадіжка інформації з комп'ютерів окремих людей. Тепер зловмисники отримали ваші дані для входу, паролі, файли cookie, всю інформацію про те, як виглядає ваш комп’ютер. Маючи ці дані, зловмисник може створити підроблену машину, схожу на ваш комп’ютер, і зробити так, щоб трафік браузера з цієї підробленої машини виглядав так, ніби він надходить з вашого міста. 

Якщо ви є зловмисником, який працює в галузі програм-вимагачів на підприємствах, це чудова інформація для проникнення в мережу, на яку ви націлені. Кількість файлів із заражених комп'ютерів, подібних до цього, які пропонуються на продаж, просто неймовірна. Це великий бізнес.

Це божевільний, шалений світ. Це як блошиний ринок. 

Багатьох клієнтів хвилює, чи зможуть вони якомога швидше дізнатися про викриття високоризикового входу, такого як їхній VPN. Вони можуть вживати дуже конкретних заходів безпеки. Якщо є сеанс входу, завершіть його. Який би пароль наразі не був встановлений для цього входу, скиньте його. Тому що це фактично змагання: як швидко ця інформація буде використана зловмисниками, і як швидко захисники зможуть її виявити та виправити. 

Усі комп’ютери, які намагаються надсилати повідомлення через Інтернет, повинні мати ці таблиці з текстом: «Якщо ви намагаєтеся зв’язатися з цим доменом онлайн, надішліть повідомлення на цю IP-адресу». Це як телефонний довідник для інтернету. 

Один справді простий, але насправді досить ефективний аналітичний метод — це просто взяти всю цю інформацію та запитати: «Що є тут сьогодні, чого не було вчора?» Постійно створюються нові підприємства, а потім, звичайно, багато з них зазнають невдачі. Тож це дуже й дуже нормально, що нові домени з'являються, потім нікому не шкодять, а потім зникають. Тож я не можу просто всім сказати: «Гей, це новий домен, заблокуйте його». Натомість ми можемо переглянути кожен із цих нових доменів і спробувати підключитися до нього. А якщо сертифікат безпеки, який він мені надсилає, є новим сертифікатом і виглядає дивно, то це ризиковані сертифікати. 

Зрештою, клієнт намагається сказати: «Чи не могли б ви надати мені дуже короткий список доменних імен, які я маю додати до свого фільтра [Система доменних імен] і переконатися, що жоден з моїх співробітників не переглядає цей домен?» Якщо вони можуть це заблокувати, це золотий стандарт. 

В ідеалі, так. Погані хлопці повинні створити свою інфраструктуру, перш ніж вони зможуть нею користуватися. Ідея полягає в тому, щоб надзвичайно швидко виявити, коли створюється інфраструктура, а потім правильно визначити, яка нова інфраструктура керується зловмисниками, на відміну від усіх звичайних і безпечних елементів.

Проблема у світі полягає в тому, що у світі так багато злочинців. Якби я міг магічним чином надати компанії список усіх доменів з дуже, дуже високою ймовірністю ризику, які вони повинні блокувати — у них немає засобів контролю безпеки, які б масштабувалися до такої кількості доменів. Це просто забагато поганих речей. Клієнти дуже й дуже прагнуть будь-якої інформації, яку ми можемо їм надати — не лише це доменне ім'я є ризикованим, але й те, на кого вони націлені, і які ознаки вказують на те, що вони націлені на таких людей, як я. Бо тоді я б пріоритезував використання цієї інформації для власної безпеки, а не, чесно кажучи, ймовірно, 90% подібних загроз, які виглядають майже так само, але вони переслідують когось іншого. 

Клієнти стикаються з дуже складною проблемою оптимізації, як-от обмежені можливості їхніх засобів контролю безпеки. На чому вони збираються зосередитися? Занадто багато. І тому вони прагнуть, щоб ми надали їм інформацію, яка допоможе їм вирішити цю проблему оптимізації.