Vídeo: Subways Are for Sleeping / Only Johnny Knows / Colloquy 2: A Dissertation on Love (Setembre 2024)
El primer trimestre d'aquest any es va omplir de notícies sobre incompliments de dades. Els números eren alarmants, per exemple, 40 milions de clients objectiu o més afectats. Però la durada d'alguns incompliments també va suposar un xoc. Els sistemes de Neiman Marcus van estar oberts durant tres mesos i la ruptura de Michael, iniciada el maig del 2013, no es va descobrir fins aquest gener. Aleshores, els seus homes de seguretat són totals? Un informe recent del proveïdor de recuperació d'infraccions Damballa suggereix que això no és necessàriament cert.
L’informe assenyala que el volum d’alertes és enorme i, normalment, es necessita un analista humà per determinar si l’alerta significa o no un dispositiu infectat. Tractar totes les alertes com a infeccions seria ridícul, però prendre temps per analitzar-los dóna temps als homes dolents per actuar. Pitjor, en acabar l’anàlisi del temps, la infecció pot haver continuat. En particular, pot ser que utilitzeu un URL completament diferent per obtenir instruccions i exfiltrar dades.
Flux de domini
Segons l'informe, Damballa veu gairebé la meitat del tràfic d'Internet nord-americà i un terç del tràfic mòbil. Això els proporciona algunes dades realment grans. Al primer trimestre, van registrar el trànsit a més de 146 milions de dominis diferents. Uns 700.000 d'aquests no s'havien vist mai abans, i més de la meitat dels dominis d'aquest grup no es van tornar a veure després del primer dia. Sospitós molt?
L’informe assenyala que un simple canal de comunicació entre un dispositiu infectat i un domini específic de Comandament i control seria ràpidament detectat i bloquejat. Per ajudar a mantenir-se sota el radar, els atacants utilitzen el que s’anomena un algorisme de generació de dominis. El dispositiu compromès i l'atacant utilitzen una "llavor" acordada per aleatoritzar l'algorisme, per exemple, la història principal d'un determinat lloc de notícies en un moment determinat. Donada la mateixa llavor, l'algorisme produirà els mateixos resultats pseudo-aleatoris.
Els resultats, en aquest cas, són una col·lecció de noms de domini aleatoris, potser 1.000 d’ells. L’atacant registra només un d’aquests, mentre que el dispositiu compromès els prova tots. Quan arriba a la correcta, pot obtenir noves instruccions, actualitzar el programari maliciós, enviar secrets comercials o fins i tot obtenir instruccions noves sobre quina llavor utilitzarà la propera vegada.
Sobrecàrrega d’informació
L'informe assenyala que "les alertes només indiquen un comportament anòmal i no una evidència d'infecció". Alguns dels propis clients de Damballa reben fins a 150.000 esdeveniments d'alerta cada dia. En una organització on es necessita una anàlisi humana per distingir el blat de la xafla, es tracta massa informació.
Va pitjor. Dades mineres de la seva pròpia base de clients, els investigadors de Damballa van comprovar que "les grans empreses amb dispersió global" patien de mitjana 97 dispositius diaris amb infeccions per programari maliciós actius. Els dispositius infectats, junts, penjaven cada dia una mitjana de 10 GB. Què enviaven? Llistes de clients, secrets comercials, plans comercials, podria ser qualsevol cosa.
Damballa sosté que l’única solució és eliminar el coll d’ampolla humà i buscar anàlisis totalment automatitzades. Atès que l'empresa proporciona precisament aquest servei, la conclusió no és una sorpresa, però això no significa que estigui malament. L’informe cita una enquesta que diu que el 100 per cent dels clients de Damballa estan d’acord que “automatitzar processos manuals és la clau per afrontar els reptes de seguretat futurs”.
Si teniu la seguretat de la vostra empresa o si sou els encarregats de la cadena de gestió, decidireu llegir l'informe complet. És un document abordable, no pesat en argot. Si només és un consumidor mitjà, la propera vegada que escolteu un reportatge sobre un incompliment de dades que es va produir malgrat 60.000 esdeveniments d'alerta, recordeu que les alertes no són infeccions i cadascuna necessita una anàlisi. Els analistes de seguretat no poden mantenir-se al dia.
