Video: What’s New in Google’s IoT Platform? Ubiquitous Computing at Google (Google I/O '17) (Oktober 2024)
Prvo četrtletje letošnjega leta je bilo napolnjeno z novicami o kršitvah podatkov. Številke so bile zaskrbljujoče - na primer prizadetih 40 milijonov ali več ciljnih strank. A trajanje nekaterih kršitev je prišlo tudi kot šokantno. Sistemi Neimana Marcusa so bili tri mesece na široko odprti, Michaelova kršitev, ki se je začela maja 2013, pa je bila odkrita šele januarja. Torej, ali so njihovi varnostniki fantje? Nedavno poročilo ponudnika obnovitve kršitev Damballa kaže, da to ni nujno res.
Poročilo poudarja, da je obseg razpisov ukrepov velik, običajno pa človeški analitik ugotovi, ali opozorilo dejansko pomeni okuženo napravo ali ne. Vsako opozorilo bi bilo obravnavati kot okužbo smešno, vendar jemanje časa za analizo slabim fantom daje čas za ukrepanje. Še huje, okužba se je lahko premaknila, ko bo končana analiza časa. Zlasti morda za uporabo navodil in natančne podatke uporablja povsem drugačen URL.
Fluxing domene
Po poročilu Damballa vidi skoraj polovico celotnega severnoameriškega internetnega prometa in tretjino mobilnega prometa. To jim daje nekaj res velikih podatkov, s katerimi se lahko igrajo. V prvem četrtletju so zabeležili promet na več kot 146 milijonov različnih domen. Približno 700.000 teh še nikoli ni bilo videti, več kot polovica domen v tej skupini pa po prvem dnevu ni bila več vidna. Precej sumljivo?
Poročilo ugotavlja, da bi preprost komunikacijski kanal med okuženo napravo in določeno domeno Command and Control hitro zaznal in blokiral. Da bi lažje ostali pod radarjem, napadalci uporabljajo algoritem za generiranje domen. Ogrožena naprava in napadalec uporabljata dogovorjeno "seme" za randomizacijo algoritma, na primer zgornjo zgodbo na določenem spletnem mestu z novicami ob določenem času. Glede na isto seme bo algoritem ustvaril enake psevdo naključne rezultate.
Rezultati so v tem primeru zbirka naključnih imen domen, morda 1.000. Napadalec registrira samo enega od teh, medtem ko jih ogrožena naprava poskuša vse. Ko pride do pravega, lahko dobi nova navodila, posodobi zlonamerno programsko opremo, pošlje poslovne skrivnosti ali celo dobi nova navodila, kaj seme uporabiti naslednjič.
Informacijska preobremenitev
Poročilo ugotavlja, da "opozorila kažejo le na nepravilno vedenje, ne pa na dokaz okužbe." Nekatere stranke Damballa prejmejo kar 150.000 opozorilnih dogodkov vsak dan. V organizaciji, v kateri so potrebne človeške analize za razlikovanje pšenice od drobljenja, je to le preveč informacij.
Se poslabša. Raziskovalci Damballe so rudniki podatkov iz lastne baze strank ugotovili, da so "velika, globalno razpršena podjetja" v povprečju trpela 97 naprav na dan z aktivnimi okužbami z zlonamerno programsko opremo. Te okužene naprave, skupaj vse skupaj, so dnevno naložile 10 GB. Kaj so poslali? Seznami strank, poslovne skrivnosti, poslovni načrti - lahko je karkoli.
Damballa trdi, da je edina rešitev odpraviti človeško ozko grlo in iti na popolnoma avtomatizirano analizo. Glede na to, da podjetje ponuja natančno to storitev, zaključek ne preseneča, vendar to še ne pomeni, da je napačen. Poročilo navaja raziskavo, v kateri je navedeno, da se 100 odstotkov strank Damballe strinja, da je "avtomatizacija ročnih procesov ključna za soočanje s prihodnjimi varnostnimi izzivi."
Če ste odgovorni za omrežno varnost vašega podjetja ali če vodja verige vodite od tistih, ki so odgovorni, boste vsekakor želeli prebrati celotno poročilo. To je dostopna listina, ni težka z žargonom. Če ste le povprečen potrošnik, ko naslednjič slišite novico o kršitvi podatkov, ki se je zgodila kljub 60.000 alarmnim dogodkom, ne pozabite, da opozorila niso okužba in vsaka zahteva analizo. Varnostni analitiki preprosto ne morejo biti v koraku.
