Video: brystvarmere, hurra for dem når du ammer! (Oktober 2024)
Første kvartal i år var fylt med spenning med nyheter om datainnbrudd. Tallene var alarmerende - for eksempel 40 millioner eller flere målkunder påvirket. Men varigheten av noen brudd kom også som en sjokkerende. Neiman Marcus-systemene var åpne i tre måneder, og Michael's brudd, som startet i mai 2013, ble ikke oppdaget før i januar. Så, er sikkerhetsgutta deres totale lammer? En fersk rapport fra leverandøren av bruddgjenoppretting Damballa antyder at det ikke nødvendigvis er sant.
Rapporten påpeker at volumet av varsler er stort, og det tar vanligvis en menneskelig analytiker å avgjøre om varselet faktisk betyr en infisert enhet. Det ville være latterlig å behandle alle varsler som en infeksjon, men å ta seg tid til analyse gir skurkene tid til å handle. Verre er det, når analysen er fullført, infeksjonen kan ha gått videre. Spesielt kan det være å bruke en helt annen URL for å få instruksjoner og exfiltrere data.
Domenestrømming
Ifølge rapporten ser Damballa nesten halvparten av all nordamerikansk internettrafikk og en tredel av mobiltrafikken. Det gir dem noen store data å spille med. I første kvartal loggførte de trafikk til mer enn 146 millioner forskjellige domener. Rundt 700 000 av disse hadde aldri blitt sett før, og over halvparten av domenene i den gruppen ble aldri sett igjen etter den første dagen. Mistenksom mye?
Rapporten bemerker at en enkel kommunikasjonskanal mellom en infisert enhet og et spesifikt kommando- og kontrolldomen raskt ville bli oppdaget og blokkert. For å hjelpe deg med å holde seg under radaren bruker angriperne det som kalles en Domain Generation Algorithm. Den kompromitterte enheten og angriperen bruker et avtalt "seed" for å randomisere algoritmen, for eksempel topphistorien på et bestemt nyhetsnettsted på et bestemt tidspunkt. Gitt samme frø, vil algoritmen produsere de samme pseudo-tilfeldige resultatene.
Resultatene er i dette tilfellet en samling tilfeldige domenenavn, kanskje 1000 av dem. Angriperen registrerer bare en av disse, mens den kompromitterte enheten prøver dem alle. Når den treffer den rette, kan den få nye instruksjoner, oppdatere skadelig programvare, sende forretningshemmeligheter, eller til og med få nye instruksjoner om hvilket frø som skal brukes neste gang.
For mye informasjon
Rapporten bemerker at "varsler bare indikerer anomal atferd, ikke bevis for infeksjon." Noen av Damballas egne kunder mottar så mange som 150.000 varslingsarrangementer hver dag. I en organisasjon der det er nødvendig med menneskelig analyse for å skille hveten fra agn, er det bare for mye informasjon.
Det blir verre. Fra gruvedata fra sin egen kundebase fant Damballas forskere at "Store, globalt spredte virksomheter" i gjennomsnitt led 97 enheter per dag med aktive infeksjoner med skadelig programvare. De infiserte enhetene samlet, lastet opp i gjennomsnitt 10 GB hver dag. Hva sendte de? Kundelister, forretningshemmeligheter, forretningsplaner - det kan være hva som helst.
Damballa hevder at den eneste løsningen er å eliminere den menneskelige flaskehalsen og gå for helautomatisert analyse. Gitt at selskapet leverer nettopp denne tjenesten, er konklusjonen ingen overraskelse, men det betyr ikke at det er galt. Rapporten siterer en undersøkelse som sier at 100 prosent av Damballas kunder er enige om at "automatisering av manuelle prosesser er nøkkelen til å møte fremtidige sikkerhetsutfordringer."
Hvis du er ansvarlig for bedriftens nettverkssikkerhet, eller hvis du er i ledelseskjeden fra de som har ansvaret, vil du definitivt lese hele rapporten. Det er et dokument som er tilgjengelig, ikke sjargongtungt. Hvis du bare er en gjennomsnittlig forbruker, må du huske at varsler ikke er infeksjoner neste gang du hører en nyhetsrapport om et datainnbrudd til tross for 60 000 varselhendelser. Sikkerhetsanalytikerne kan bare ikke følge med.
