Video: 90s Rare Vinyl LP collection (September 2024)
Det första kvartalet i år fylldes med späck av nyheter om dataintrång. Siffrorna var alarmerande - till exempel 40 miljoner eller fler målkunder påverkade. Men varaktigheten för några överträdelser kom också som en chockerare. Neiman Marcus system var vidöppen i tre månader, och Michael's brott, som startade i maj 2013, upptäcktes inte förrän i januari. Så, är deras säkerhets killar totala lamar? En ny rapport från leverantören av överträdelse Damballa antyder att det inte nödvändigtvis är sant.
Rapporten påpekar att volymen av varningar är enorm, och det krävs vanligtvis en mänsklig analytiker för att avgöra om varningen faktiskt betyder en infekterad enhet eller inte. Att behandla varje varning som en infektion skulle vara löjligt, men att ta sig tid för analys ger dåliga killar tid att agera. Värre är att när analysen är klar kan infektionen ha gått vidare. I synnerhet kan det använda en helt annan URL för att få instruktioner och exfiltrera data.
Domän fluxande
Enligt rapporten ser Damballa nästan hälften av all nordamerikansk internettrafik och en tredjedel av mobiltrafiken. Det ger dem några riktigt stora data att spela med. Under det första kvartalet loggade de trafik till mer än 146 miljoner olika domäner. Cirka 700 000 av dem hade aldrig sett förut, och över hälften av domänerna i den gruppen sågs aldrig igen efter den första dagen. Misstänksamt mycket?
Rapporten konstaterar att en enkel kommunikationskanal mellan en infekterad enhet och en specifik kommando- och kontrolldomän snabbt skulle kunna upptäckas och blockeras. För att hjälpa dig att hålla sig under radaren använder attackerna det som kallas en Domain Generation Algoritm. Den komprometterade enheten och angriparen använder ett avtalat "frö" för att slumpmässigt algoritmen, till exempel topphistoriken på en viss nyhetssajt vid en viss tidpunkt. Med samma frö kommer algoritmen att producera samma pseudo-slumpmässiga resultat.
Resultaten är i detta fall en samling slumpmässiga domännamn, kanske 1 000 av dem. Angriparen registrerar bara en av dessa, medan den komprometterade enheten försöker dem alla. När den träffar den rätta kan den få nya instruktioner, uppdatera skadlig programvara, skicka handelshemligheter eller till och med få nya instruktioner för vilket utsäde som ska användas nästa gång.
Information överbelastning
Rapporten konstaterar att "varningar endast indikerar anomalt beteende, inte bevis för infektion." Några av Damballas egna kunder får så många som 150 000 varna händelser varje dag. I en organisation där det krävs mänsklig analys för att skilja vete från massa är det för mycket information.
Det blir värre. Vid gruvdata från sin egen kundbas fann Damballas forskare att "Stora, globalt spridda företag" i genomsnitt drabbades av 97 enheter per dag med aktiva infektioner med skadlig kod. De infekterade enheterna, sammanfattade, laddade upp i genomsnitt 10 GB varje dag. Vad skickade de? Kundlistor, affärshemligheter, affärsplaner - det kan vara vad som helst.
Damballa hävdar att den enda lösningen är att eliminera den mänskliga flaskhalsen och gå för helautomatisk analys. Med tanke på att företaget tillhandahåller just den tjänsten är slutsatsen ingen överraskning, men det betyder inte att det är fel. Rapporten citerar en undersökning som säger att 100 procent av Dambalas kunder håller med om att "automatisering av manuella processer är nyckeln till att möta framtida säkerhetsutmaningar."
Om du är ansvarig för ditt företags nätverkssäkerhet, eller om du är i ledningskedjan från de som har ansvaret, vill du definitivt läsa hela rapporten. Det är ett tillgängligt dokument, inte jargongtungt. Om du bara är en genomsnittlig konsument, kom ihåg att varningar inte är infektioner nästa gång du hör en nyhetsrapport om ett dataintrång som inträffade trots 60 000 varningshändelser, och var och en kräver analys. Säkerhetsanalytikerna kan bara inte hålla jämna steg.
