Відео: unboxing turtles slime surprise toys learn colors (Вересень 2024)
Перший квартал цього року наповнився новинами про порушення даних. Цифри були тривожними - наприклад, 40 мільйонів і більше цільових клієнтів, які вплинули на них. Але тривалість деяких порушень також стала шокуючою. Системи Неймана Маркуса були широко відкриті протягом трьох місяців, а порушення Майкла, яке почалося в травні 2013 року, не було виявлено до цього січня. Тож, чи є їхні хлопці із безпеки загалом? Нещодавній звіт провайдера відновлення порушень Дамбалла припускає, що це не обов'язково правда.
У звіті вказується, що обсяг сповіщень величезний, і зазвичай людський аналітик вимагає визначити, чи сповіщення насправді означає інфікований пристрій чи ні. Ставитися до кожного попередження як до інфекції було б смішно, але відведення часу на аналіз дає поганим хлопцям час на дію. Гірше, що до моменту закінчення аналізу інфекція, можливо, перейшла. Зокрема, це може використовувати зовсім іншу URL-адресу для отримання інструкцій та детальних даних.
Потоковий домен
Згідно з повідомленням, Дамбалла бачить майже половину всього інтернет-трафіку в Північній Америці і третину мобільного трафіку. Це дає їм справді великі дані, з якими можна грати. У першому кварталі вони зареєстрували трафік на понад 146 мільйонів різних доменів. Близько 700 000 тих, кого раніше не бачили, і більше половини доменів у цій групі вже не бачилися після першого дня. Багато чого підозрілого?
У звіті зазначається, що простий канал зв'язку між зараженим пристроєм та певним доменом Command and Control швидко буде виявлений та заблокований. Щоб допомогти залишитися під радарами, зловмисники використовують алгоритм генерації домену. Компрометований пристрій та зловмисник використовують узгоджене «насіння» для рандомізації алгоритму, наприклад, основної історії на певному сайті новин у визначений час. Давши те саме насіння, алгоритм дасть ті самі псевдовипадкові результати.
Результати, в даному випадку, - це набір випадкових доменних імен, можливо, 1000 з них. Зловмисник реєструє лише одну з них, тоді як компрометований пристрій намагається їх усіх. Коли він потрапить на потрібний, він може отримати нові вказівки, оновити зловмисне програмне забезпечення, надіслати комерційну таємницю або навіть отримати нові вказівки щодо того, яке насіння використовувати наступного разу.
Перевантаження інформацією
У звіті зазначається, що "попередження вказують лише на аномальну поведінку, а не на свідчення про зараження". Деякі власні клієнти Дамбалли щодня отримують до 150 000 попереджувальних подій. В організації, де необхідний людський аналіз, щоб відрізнити пшеницю від пшениці, це лише занадто багато інформації.
Погіршується. Добуваючи дані власної клієнтської бази, дослідники Дамбалла виявили, що "великі глобально розповсюджені підприємства" в середньому страждали 97 пристроїв на день з активними шкідливими програмами. Ці заражені пристрої, разом узяті разом, завантажували в середньому 10 ГБ щодня. Що вони надсилали? Список клієнтів, комерційна таємниця, бізнес-плани - це може бути все, що завгодно.
Дамбалла стверджує, що єдиним рішенням є усунення вузького місця людини та подання на повністю автоматизований аналіз. Враховуючи, що компанія надає саме таку послугу, висновок не дивує, але це не означає, що це неправильно. У звіті цитується опитування, в якому говориться, що 100 відсотків замовників Damballa згодні з тим, що "автоматизація ручних процесів є запорукою вирішення майбутніх проблем безпеки".
Якщо ви відповідаєте за мережеву безпеку вашої компанії, або якщо ви керуєте ланцюжком управління від тих, хто відповідає, вам обов'язково захочеться прочитати повний звіт. Це доступний документ, не важкий для жаргону. Якщо ви просто середній споживач, наступного разу, коли ви почуєте новинний звіт про порушення даних, яке сталося, незважаючи на 60 000 подій, пам’ятайте, що попередження не є інфекціями, і кожен потребує аналізу. Аналітики безпеки просто не можуть не відставати.
