Видео: Nnnnnnn (Октября 2024)
Первый квартал этого года был переполнен новостями о нарушениях данных. Цифры вызывали тревогу - например, пострадало 40 миллионов или более целевых клиентов. Но продолжительность некоторых нарушений также стала шоком. Системы Неймана Маркуса были широко открыты в течение трех месяцев, и нарушение Майкла, которое началось в мае 2013 года, не было обнаружено до января этого года. Итак, их парни из службы безопасности - полные ламеры? Недавнее сообщение от провайдера по восстановлению после взлома Damballa предполагает, что это не обязательно так.
В отчете указывается, что объем предупреждений огромен, и обычно требуется человеческий аналитик, чтобы определить, действительно ли предупреждение означает зараженное устройство. Рассматривать каждое предупреждение как инфекцию было бы нелепо, но время на анализ дает плохим парням время действовать. Хуже того, к тому времени, когда анализ будет завершен, инфекция может продолжаться. В частности, это может быть использование совершенно другого URL для получения инструкций и эксфильтрации данных.
Флюсинг доменов
Согласно отчету, Damballa видит почти половину всего североамериканского интернет-трафика и одну треть мобильного трафика. Это дает им действительно большие данные для игры. В первом квартале они зарегистрировали трафик для более чем 146 миллионов отдельных доменов. Около 700 000 из них никогда не были замечены ранее, и более половины доменов в этой группе больше никогда не видели после первого дня. Подозрительно много?
В отчете отмечается, что простой канал связи между зараженным устройством и конкретным доменом командования и управления будет быстро обнаружен и заблокирован. Чтобы помочь оставаться в поле зрения, злоумышленники используют так называемый алгоритм генерации домена. Скомпрометированное устройство и злоумышленник используют согласованное «начальное число» для рандомизации алгоритма, например, главной новости на определенном новостном сайте в определенное время. При одинаковом начальном значении алгоритм выдаст одинаковые псевдослучайные результаты.
В данном случае результаты представляют собой набор случайных доменных имен, возможно, 1000 из них. Атакующий регистрирует только один из них, а взломанное устройство пробует их всех. Когда он попадает в нужное место, он может получать новые инструкции, обновлять вредоносное ПО, отправлять коммерческие секреты или даже получать новые инструкции о том, какое семя использовать в следующий раз.
Информационная перегрузка
В отчете отмечается, что «оповещения указывают только на аномальное поведение, а не на наличие инфекции». Некоторые из собственных клиентов Damballa получают до 150 000 оповещений каждый день. В организации, где требуется человеческий анализ, чтобы отличить пшеницу от соломы, это слишком много информации.
Становится хуже. Исследователи Damballa выяснили, что, добывая данные из своей собственной клиентской базы, в среднем «крупные глобально рассредоточенные предприятия» страдают от 97 устройств в день из-за активных заражений вредоносным ПО. Эти зараженные устройства, взятые вместе, загружали в среднем по 10 ГБ каждый день. Что они посылали? Списки клиентов, коммерческая тайна, бизнес-планы - это может быть что угодно.
Дамбала утверждает, что единственное решение - устранить узкие места человека и провести полностью автоматизированный анализ. Учитывая, что компания предоставляет именно эту услугу, заключение не является неожиданным, но это не значит, что оно ошибочно. В докладе приводятся цитаты из опроса о том, что 100% клиентов Damballa согласны с тем, что «автоматизация ручных процессов является ключом к решению будущих проблем безопасности».
Если вы отвечаете за безопасность сети вашей компании или если вы занимаетесь цепочкой управления от тех, кто отвечает, вы обязательно захотите прочитать полный отчет. Это доступный документ, а не жаргонный. Если вы обычный потребитель, в следующий раз, когда вы услышите новостной репортаж о нарушении данных, которое произошло несмотря на 60 000 предупреждений, помните, что предупреждения не являются инфекциями, и каждый из них требует анализа. Аналитики по безопасности просто не успевают.
