Video: AI: What is Machine Learning? (Noiembrie 2024)
Primul trimestru al acestui an a fost plin de istorii despre încălcările datelor. Numerele au fost alarmante - 40 de milioane sau mai mulți clienți țintă afectați, de exemplu. Dar durata unor încălcări a venit și ca un șocant. Sistemele lui Neiman Marcus au fost larg deschise timp de trei luni, iar încălcarea lui Michael, care a început în mai 2013, nu a fost descoperită până în ianuarie. Deci, sunt oamenii lor de securitate totală? Un raport recent al furnizorului de recuperare a încălcărilor Damballa sugerează că acest lucru nu este neapărat adevărat.
Raportul subliniază că volumul alertelor este uriaș și, de obicei, este nevoie de un analist uman pentru a determina dacă semnalarea semnifică sau nu un dispozitiv infectat. Tratarea fiecărei alerte ca o infecție ar fi ridicolă, dar a-și face timp pentru analiză le oferă celor răi timp să acționeze. Mai rău, până la finalizarea analizei de timp, infecția poate fi continuată. În special, poate utiliza un URL complet diferit pentru a obține instrucțiuni și a exfiltra date.
Fluxing de domeniu
Potrivit raportului, Damballa vede aproape jumătate din totalul traficului de internet din America de Nord și o treime din traficul mobil. Asta le oferă niște date cu adevărat mari cu care să se joace. În primul trimestru, au înregistrat traficul la peste 146 de milioane de domenii distincte. Aproximativ 700.000 dintre cei care nu au mai fost văzuți până acum și peste jumătate din domeniile din grupul respectiv nu au mai fost văzuți niciodată după prima zi. Suspicios mult?
Raportul constată că un simplu canal de comunicare între un dispozitiv infectat și un domeniu de comandă și control specific ar fi rapid detectate și blocate. Pentru a ajuta să rămână sub radar, atacatorii folosesc ceea ce se numește un algoritm de generare de domenii. Dispozitivul compromis și atacatorul folosesc o „sămânță” convenită pentru a randomiza algoritmul, de exemplu, povestea de top de pe un anumit site de știri la un moment specific. Având aceeași sămânță, algoritmul va produce aceleași rezultate pseudo-aleatorii.
Rezultatele, în acest caz, sunt o colecție de nume de domeniu aleatoare, poate 1.000 dintre ele. Atacatorul înregistrează doar unul dintre acestea, în timp ce dispozitivul compromis le încearcă pe toate. Când se lovește de cea potrivită, poate primi instrucțiuni noi, actualiza programele malware, trimite secrete comerciale sau chiar poate primi instrucțiuni noi despre ce sămânță să folosească data viitoare.
Supraîncărcare informațională
Raportul notează că „alertele indică doar un comportament anomal, nu și o dovadă de infecție”. Unii dintre clienții proprii ai Damballa primesc până la 150.000 de evenimente de alertă în fiecare zi. Într-o organizație în care analiza umană este necesară pentru a distinge grâul de pleavă, aceasta este doar prea multe informații.
Devine mai rău. Datele miniere de la propria sa bază de clienți, cercetătorii Damballa au descoperit că „întreprinderile mari, dispersate la nivel global”, au suferit în medie 97 de dispozitive pe zi cu infecții malware active. Dispozitivele infectate, luate împreună, au încărcat în medie 10 GB în fiecare zi. Ce trimiteau? Liste de clienți, secrete comerciale, planuri de afaceri - ar putea fi orice.
Damballa susține că singura soluție este eliminarea gâtului uman și a analizei complet automatizate. Având în vedere că compania oferă exact acest serviciu, concluzia nu este o surpriză, dar asta nu înseamnă că nu este greșită. Raportul citează un sondaj care spune că 100 la sută dintre clienții Damballa sunt de acord că „automatizarea proceselor manuale este cheia pentru a răspunde provocărilor viitoare de securitate”.
Dacă sunteți responsabil de securitatea rețelei companiei dvs. sau dacă sunteți în lanțul de conducere de la cei care sunt responsabili, veți dori cu siguranță să citiți raportul complet. Este un document abordabil, nu jargon-greu. Dacă sunteți doar un consumator obișnuit, data viitoare auziți un raport despre o încălcare a datelor care a avut loc în ciuda a 60.000 de evenimente de alertă, nu uitați că alertele nu sunt infecții și fiecare necesită o analiză. Analiștii de securitate pur și simplu nu pot ține pasul.