Videó: Inland - Fluxus [COUNTER010] (November 2024)
Ebben az évben az első negyedév tele volt az adatok megsértéséről szóló hírekkel. A számok riasztóak voltak - például 40 millió vagy annál több ügyfelet érintettek. Néhány jogsértés időtartama azonban sokkoló is volt. Neiman Marcus rendszerei három hónapig nyitva voltak, és a Michael megsértését, amely 2013 májusában kezdődött, csak januárban fedezték fel. Szóval, a biztonsági srácok összesen lamers? A Damballa, a jogsértések helyreállítását biztosító szolgáltató legfrissebb jelentése szerint ez nem feltétlenül igaz.
A jelentés rámutat arra, hogy a riasztások mennyisége hatalmas, és általában egy emberi elemzőnek kell eldöntenie, hogy a riasztás valóban fertőzött eszközt jelent-e. Nevetséges lenne minden figyelmeztetést fertőzésként kezelni, de ha időt vesz igénybe az elemzésre, időt ad a rossz fiúknak cselekedni. Sőt, ami még rosszabb, az elemzés befejezéséig a fertőzés tovább haladhatott. Különösen egy teljesen más URL-t használhat utasítások beszerzésére és az adatok kiszűrésére.
Domain fluxus
A jelentés szerint Damballa az észak-amerikai internetes forgalom csaknem felét, a mobilforgalom harmadát látja. Ez nagyon nagy adatot ad számukra a játékhoz. Az első negyedévben több mint 146 millió különálló domainbe regisztrálták a forgalmat. Ezek közül kb. 700 000-et még soha nem láttak, és a csoport domainjeinek több mint felét az első nap után soha többé nem látták. Nagyon gyanús?
A jelentés megjegyzi, hogy egy egyszerű kommunikációs csatorna egy fertőzött eszköz és egy adott Parancs- és Vezérlő tartomány között gyorsan felderíthető és blokkolható. A radar alatt maradás érdekében a támadók a tartománygenerációs algoritmusnak nevezik. A veszélyeztetett eszköz és a támadó egyeztetett „magot” használ az algoritmus véletlenszerűsítésére, például a legfontosabb történetre egy adott híroldalon egy adott időpontban. Ugyanazon mag mellett az algoritmus ugyanazokat az ál ál-véletlenszerű eredményeket fog eredményezni.
Az eredmények ebben az esetben véletlenszerű domainnevek gyűjteménye, esetleg 1000 ilyen. A támadó ezek közül csak egyet regisztrál, míg a veszélyeztetett eszköz mindegyiket megpróbálja. Amikor eléri a megfelelőt, új utasításokat kaphat, frissítheti a rosszindulatú programokat, üzleti titkokat küldhet, vagy akár új utasításokat kaphat arról, hogy melyik vetőmagot használja legközelebb.
Információs túlterhelés
A jelentés megjegyzi, hogy "a riasztások csak rendellenes viselkedésre utalnak, nem pedig a fertőzés bizonyítékára". A Damballa saját ügyfeleinek egy része napi 150 000 riasztási eseményt kap. Egy szervezetben, ahol emberi elemzésre van szükség a búza és a pelyva megkülönböztetéséhez, ez csak túl sok információ.
Rosszabb lesz. A Damballa kutatói a saját ügyfélköréből származó adatokat bányászva úgy találták, hogy a "nagy, világszerte szétszórt vállalkozások" napi 97 eszközön szenvednek aktív malware fertőzésekkel. Ezek a fertőzött eszközök összesen átlagosan 10 GB-ot töltöttek fel minden nap. Mit küldtek? Ügyféllista, üzleti titok, üzleti terv - bármi lehet.
Damballa állítása szerint az egyetlen megoldás az emberi szűk keresztmetszet megszüntetése és a teljesen automatizált elemzés. Tekintettel arra, hogy a vállalat pontosan ezt a szolgáltatást nyújtja, a következtetés nem meglepő, de ez nem jelenti azt, hogy téves. A jelentés egy olyan felmérést idéz, amely szerint a Damballa ügyfeleinek 100% -a egyetért abban, hogy "a kézi folyamatok automatizálása a kulcs a jövőbeli biztonsági kihívások leküzdéséhez".
Ha felelős a vállalat hálózati biztonságáért, vagy ha felveszi a vezetési láncot azoktól, akik felelősek, akkor feltétlenül el szeretné olvasni a teljes jelentést. Ez egy megközelíthető dokumentum, nem a zsargon. Ha csak átlagfogyasztó vagy, akkor legközelebb, amikor egy 60 000 riasztási esemény ellenére történt adatsértésről szóló hírjelentést hall, ne feledje, hogy a riasztások nem fertőzések, és mindegyik elemzést igényel. A biztonsági elemzők egyszerűen nem tudnak lépést tartani.
