У дома Securitywatch Потокът на домейни помага нарушенията на данните да останат скрити

Потокът на домейни помага нарушенията на данните да останат скрити

Видео: HPI Savage Flux HP - Full Action Clip!! (Ноември 2024)

Видео: HPI Savage Flux HP - Full Action Clip!! (Ноември 2024)
Anonim

Първото тримесечие на тази година беше изпълнено с избухване с новинарски истории за нарушения на данните. Цифрите бяха тревожни - 40 милиона или повече засегнати целеви клиенти, например. Но продължителността на някои нарушения също дойде като шок. Системите на Neiman Marcus бяха широко отворени в продължение на три месеца, а нарушението на Майкъл, което започна през май 2013 г., не беше открито до този януари. И така, момчетата им за сигурност са пълни ламери? Скорошен доклад на доставчика на възстановяване от нарушения Дамбала предполага, че това не е задължително вярно.

Докладът подчертава, че обемът на сигналите е огромен и обикновено е необходим човешки анализатор, който да определи дали сигналът всъщност означава заразено устройство или не. Третирането на всеки сигнал като инфекция би било нелепо, но отделянето на време за анализ дава време на лошите хора да действат. По-лошото е, че когато анализът на времето приключи, инфекцията може да е продължила. По-специално, може да се използва напълно различен URL адрес за получаване на инструкции и подробни данни.

Поток на домейн

Според доклада Дамбала вижда почти половината от целия трафик в Северна Америка и една трета от мобилния трафик. Това им дава някои наистина големи данни, с които да играят. През първото тримесечие те регистрираха трафик към повече от 146 милиона различни домейна. Около 700 000 от тези никога не са били виждани досега, а над половината от домейните в тази група никога повече не са били виждани след първия ден. Подозрително много?

Докладът отбелязва, че прост комуникационен канал между заразено устройство и конкретен домейн Command and Control бързо ще бъде открит и блокиран. За да останат под радара, нападателите използват алгоритма за генериране на домейни. Компрометираното устройство и нападателят използват съгласувано "семе", за да рандомизират алгоритъма, например, основната история на определен сайт за новини в определен момент. Като се има предвид едно и също семе, алгоритъмът ще даде същите псевдослучайни резултати.

Резултатите в този случай са колекция от произволни имена на домейни, може би 1000 от тях. Нападателят регистрира само едно от тях, докато компрометираното устройство ги изпробва всички. Когато удари правилния, той може да получи нови инструкции, да актуализира зловредния софтуер, да изпраща търговски тайни или дори да получи нови инструкции за това какво семе да използва следващия път.

Претоварване с информация

Докладът отбелязва, че „сигналите показват само аномално поведение, а не доказателство за инфекция“. Някои от собствените клиенти на Дамбала получават до 150 000 предупредителни събития всеки ден. В организация, където се изисква човешки анализ, за ​​да се разграничи житото от плявата, това е просто твърде много информация.

Влошава се. Извличайки данни от собствената си клиентска база, изследователите на Дамбала установили, че "Големите, разпръснати в световен мащаб предприятия" са страдали средно по 97 устройства на ден с активни злонамерени програми. Тези заразени устройства, взети заедно, качват средно 10GB всеки ден. Какво изпращаха? Клиентски списъци, търговски тайни, бизнес планове - това може да бъде всичко.

Дамбала твърди, че единственото решение е да се премахне човешкото препятствие и да се извърши напълно автоматизиран анализ. Като се има предвид, че компанията предоставя точно тази услуга, заключението не е изненада, но това не означава, че е грешно. Докладът цитира проучване, в което се казва, че 100 процента от клиентите на Дамбала са съгласни, че „автоматизирането на ръчни процеси е ключът към посрещането на бъдещите предизвикателства пред сигурността“.

Ако отговаряте за мрежовата сигурност на вашата компания или ако сте по веригата на управление от тези, които отговарят, определено ще искате да прочетете пълния отчет. Това е достъпен документ, а не тежък жаргон. Ако сте просто среден потребител, следващия път, когато чуете съобщение за нарушение на данните, което се случи въпреки 60 000 предупредителни събития, не забравяйте, че сигналите не са инфекции и всеки изисква анализ. Анализаторите за сигурност просто не могат да бъдат в крак.

Потокът на домейни помага нарушенията на данните да останат скрити