Video: MØD DBAS SAMLERE: Kaj har alt med Beatles (Oktober 2024)
Første kvartal af dette år var fyldt med sprudlende nyhedshistorier om dataovertrædelser. Tallene var alarmerende - for eksempel 40 millioner eller flere målkunder påvirket. Men varigheden af nogle overtrædelser kom også som en chokerende. Neiman Marcus systemer var vidt åbne i tre måneder, og Michael's overtrædelse, der startede i maj 2013, blev først opdaget i januar. Så er deres sikkerhed fyre samlede lammer? En nylig rapport fra leverandøren af overtrædelse af overtrædelse Damballa antyder, at det ikke nødvendigvis er sandt.
Rapporten påpeger, at mængden af alarmer er enorm, og det tager typisk en menneskelig analytiker at afgøre, om alarmen faktisk angiver en inficeret enhed. Det ville være latterligt at behandle alle alarmer som en infektion, men at tage tid til analyse giver de onde tid til at handle. Værre er det, når analysen er færdig, infektionen kan være gået videre. Især bruger det muligvis en helt anden URL til at få instruktioner og udfiltrere data.
Domæne flydende
Ifølge rapporten ser Damballa næsten halvdelen af al den nordamerikanske internettrafik og en tredjedel af mobiltrafikken. Det giver dem nogle virkelig store data at lege med. I første kvartal loggede de trafik til mere end 146 millioner forskellige domæner. Cirka 700.000 af dem var aldrig set før, og over halvdelen af domænerne i denne gruppe blev aldrig set igen efter den første dag. Mistænksom meget?
Rapporten bemærker, at en simpel kommunikationskanal mellem en inficeret enhed og et specifikt kommando- og kontroldomæne hurtigt vil blive opdaget og blokeret. For at hjælpe med at blive under radaren bruger angribere det, der kaldes en domænegenereringsalgoritme. Den kompromitterede enhed og angriberen bruger et aftalt "seed" til at randomisere algoritmen, for eksempel den øverste historie på et bestemt nyhedssted på et bestemt tidspunkt. Givet det samme frø, vil algoritmen producere de samme pseudo-tilfældige resultater.
Resultaterne er i dette tilfælde en samling af tilfældige domænenavne, måske 1.000 af dem. Angriberen registrerer bare en af disse, mens den kompromitterede enhed prøver dem alle. Når den rammer den rigtige, kan den få nye instruktioner, opdatere malware, sende handelshemmeligheder eller endda få nye instruktioner om, hvad frø, der skal bruges næste gang.
For megen information
Rapporten bemærker, at "alarmer kun indikerer afvigende adfærd, ikke tegn på infektion." Nogle af Damballas egne kunder modtager så mange som 150.000 alarmbegivenheder hver dag. I en organisation, hvor menneskelig analyse er påkrævet for at skelne hveden fra akk, er det bare for meget information.
Det bliver værre. Ved udvindingsdata fra sit eget kundegrundlag fandt Damballas forskere, at "Store, globalt spredte virksomheder" i gennemsnit led 97 enheder om dagen med aktive malware-infektioner. Disse inficerede enheder, samlet sammen, uploadede i gennemsnit 10 GB hver dag. Hvad sendte de? Kundelister, forretningshemmeligheder, forretningsplaner - det kan være hvad som helst.
Damballa hævder, at den eneste løsning er at fjerne den menneskelige flaskehals og gå til fuldautomatisk analyse. I betragtning af, at virksomheden netop leverer denne service, er konklusionen ingen overraskelse, men det betyder ikke, at det er forkert. Rapporten citerer en undersøgelse, der siger, at 100 procent af Damballas kunder er enige om, at "automatisering af manuelle processer er nøglen til at imødekomme fremtidige sikkerhedsudfordringer."
Hvis du har ansvaret for din virksomheds netværkssikkerhed, eller hvis du er i administrationskæden fra dem, der er ansvarlige, vil du bestemt læse den fulde rapport. Det er et tilgængeligt dokument, ikke jargon-tung. Hvis du bare er en gennemsnitlig forbruger, skal du huske, at alarmer ikke er infektioner, næste gang du hører en nyhedsrapport om et dataovertrædelse, der opstod på trods af 60.000 alarmbegivenheder. Sikkerhedsanalytikerne kan bare ikke følge med.
