Domov Securitywatch Tok domén pomáha narušeniu údajov zostať skrytá

Tok domén pomáha narušeniu údajov zostať skrytá

Video: therunofsummer (November 2024)

Video: therunofsummer (November 2024)
Anonim

Prvý štvrťrok tohto roku bol naplnený prasknutím spravodajských príbehov o porušení údajov. Čísla boli alarmujúce - ovplyvnilo to napríklad 40 miliónov alebo viac cieľových zákazníkov. Trvanie niektorých porušení však prišlo ako šok. Systémy Neimana Marcusa boli otvorené tri mesiace a Michaelovo porušenie, ktoré sa začalo v máji 2013, bolo objavené až v tomto januári. Takže, sú ich ochrancovia celkom ležia? Posledná správa od poskytovateľa vymáhania pri porušení práv Damballa naznačuje, že to nemusí byť pravda.

V správe sa poukazuje na to, že objem upozornení je obrovský a zvyčajne si vyžaduje ľudského analytika, aby zistil, či výstraha skutočne znamená infikované zariadenie. Zaobchádzanie s každou výstrahou ako s infekciou by bolo smiešne, ale čas na analýzu dáva zlým mužom čas konať. Horšie je, že po dokončení analýzy času sa infekcia mohla posunúť ďalej. Konkrétne môže použiť úplne inú adresu URL na získanie pokynov a na odfiltrovanie údajov.

Fluxing domén

Podľa správy Damballa vidí takmer polovicu všetkého severoamerického internetového prenosu a tretinu mobilného prenosu. To im poskytuje naozaj veľké dáta, s ktorými si môžu zahrať. V prvom štvrťroku zaznamenali návštevnosť do viac ako 146 miliónov odlišných domén. Asi 700 000 z nich nikdy predtým nebolo vidieť a viac ako polovica domén v tejto skupine sa po prvom dni už nikdy nevidela. Podozrivé veľa?

V správe sa uvádza, že by sa rýchlo zistil a zablokoval jednoduchý komunikačný kanál medzi infikovaným zariadením a konkrétnou doménou Command and Control. Aby útočníci zostali pod radarom, používajú to, čo sa nazýva algoritmus generovania domén. Zneužívané zariadenie a útočník používajú dohodnuté „semeno“ na randomizáciu algoritmu, napríklad horného príbehu na určitej spravodajskej stránke v konkrétnom čase. Pri rovnakom semene bude algoritmus vytvárať rovnaké pseudonáhodné výsledky.

Výsledkom je v tomto prípade zbierka náhodných doménových mien, z ktorých asi 1 000. Útočník zaregistruje iba jednu z nich, zatiaľ čo kompromitované zariadenie ich všetky vyskúša. Keď zasiahne ten správny, môže získať nové pokyny, aktualizovať škodlivý softvér, poslať obchodné tajomstvá alebo dokonca získať nové pokyny pre to, ktoré semeno sa má nabudúce použiť.

Prebytok informácií

V správe sa uvádza, že „upozornenia naznačujú iba neobvyklé správanie, nie dôkaz o infekcii“. Niektorí zákazníci spoločnosti Damballa dostávajú každý deň až 150 000 výstražných udalostí. V organizácii, kde je potrebná ľudská analýza na rozlíšenie pšenice od plev, je to príliš veľa informácií.

To sa zhoršuje. Podľa údajov o ťažbe z vlastnej zákazníckej základne vedci spoločnosti Damballa zistili, že „veľké, globálne rozptýlené podniky“ trpeli v priemere 97 zariadení denne aktívnymi infekciami škodlivým softvérom. Tieto infikované zariadenia spolu vzali každý deň priemerne 10 GB. Čo poslali? Zoznamy zákazníkov, obchodné tajomstvá, obchodné plány - môže to byť čokoľvek.

Damballa tvrdí, že jediným riešením je odstrániť ľudské prekážky a ísť na plne automatizovanú analýzu. Vzhľadom na to, že spoločnosť poskytuje presne túto službu, záver nie je žiadnym prekvapením, ale to neznamená, že je to zlé. Správa cituje prieskum, podľa ktorého 100 percent zákazníkov spoločnosti Damballa súhlasí s tým, že „automatizácia manuálnych procesov je kľúčom k splneniu budúcich bezpečnostných problémov“.

Ak máte na starosti zabezpečenie siete vašej spoločnosti alebo ste v reťazci riadenia od zodpovedných osôb, určite si budete chcieť prečítať celú správu. Je to prístupný dokument, nie ťažký žargón. Ak ste iba priemerný spotrebiteľ, nabudúce budete počuť správu o porušení údajov, ku ktorej došlo napriek 60 000 výstražným udalostiam. Pamätajte, že upozornenia nie sú infekcie a každé vyžaduje analýzu. Analytici bezpečnosti jednoducho nedokážu držať krok.

Tok domén pomáha narušeniu údajov zostať skrytá