Koti Securitywatch Verkkotunnusten muutokset auttavat tietorikkomuksia piiloutumaan

Verkkotunnusten muutokset auttavat tietorikkomuksia piiloutumaan

Video: How to Backup your Website Files Using the Backup Option in cPanel (Marraskuu 2024)

Video: How to Backup your Website Files Using the Backup Option in cPanel (Marraskuu 2024)
Anonim

Tämän vuoden ensimmäinen neljännes oli täynnä uutisia tietojen rikkomuksista. Luvut olivat hälyttäviä - esimerkiksi 40 miljoonaa tai enemmän kohdeasiakkaita. Mutta joidenkin rikkomusten kesto tuli myös järkyttäväksi. Neiman Marcusin järjestelmät olivat auki kolme kuukautta, ja Michaelin rikkomus, joka alkoi toukokuussa 2013, havaittiin vasta tammikuussa. Joten, ovatko heidän vartijakaverinsa kokonaan lamers? Äskettäinen raportti rikkomusten palauttamisen tarjoajalta Damballalta ehdottaa, että se ei välttämättä ole totta.

Raportissa todetaan, että hälytysten määrä on valtava, ja yleensä ihmisanalyytikko vaatii selvittämään, merkitseekö hälytys todella tartunnan saanut laitetta. Jokaisen hälytyksen käsitteleminen tartunnana olisi naurettavaa, mutta analysointiin tarvittava aika antaa pahiksille aikaa toimia. Pahempaa, kun analyysi on valmis, infektio on voinut siirtyä eteenpäin. Erityisesti se voi käyttää täysin erilaista URL-osoitetta ohjeiden saamiseksi ja tietojen suodattamiseksi.

Verkkotunnuksen muutos

Raportin mukaan Damballa näkee lähes puolet koko Pohjois-Amerikan Internet-liikenteestä ja kolmanneksen matkaviestinliikenteestä. Se antaa heille todella suuria tietoja pelata. Ensimmäisellä vuosineljänneksellä he rekisteröivät liikenteen yli 146 miljoonaan erilliseen verkkotunnukseen. Noin 700 000 näistä ei ollut koskaan ennen nähty, ja yli puolet kyseisen ryhmän verkkotunnuksista ei koskaan nähty enää ensimmäisen päivän jälkeen. Epäilyttävä paljon?

Raportissa todetaan, että yksinkertainen tietoliikennekanava tartunnan saaneen laitteen ja tietyn komento- ja valvonta-alueen välillä havaitaan ja estetään nopeasti. Auttaaksemme pysymään tutkan alla, hyökkääjät käyttävät niin kutsuttua Domain Generation Algorithm -nimeä. Vaarannettu laite ja hyökkääjä käyttävät sovittua "siementapaa" satunnaistamaan algoritmin, esimerkiksi tietyn uutissivuston ylin tarina tietyllä hetkellä. Kun sama siemen, algoritmi tuottaa samat näennäissatunnaiset tulokset.

Tulokset ovat tässä tapauksessa kokoelma satunnaisia ​​verkkotunnuksia, ehkä 1000 niistä. Hyökkääjä rekisteröi vain yhden näistä, kun vaarannettu laite yrittää niitä kaikkia. Kun se osuu oikeaan, se voi saada uusia ohjeita, päivittää haittaohjelmia, lähettää liikesalaisuuksia tai jopa saada uusia ohjeita siitä, mitä siemeniä käytetään seuraavan kerran.

Tietojen ylikuormitus

Raportissa todetaan, että "hälytykset osoittavat vain epänormaalia käyttäytymistä, eivät todisteita tartunnasta." Jotkut Damballan omista asiakkaista saavat jopa 150 000 hälytystapahtumaa päivittäin. Organisaatiossa, jossa inhimillinen analyysi vaaditaan vehnän ja peuran erottamiseksi, se on aivan liikaa tietoa.

Se pahenee. Kaivostaakseen tietoja omasta asiakaskunnastaan, Damballan tutkijat havaitsivat, että "suuret, maailmanlaajuisesti hajaantuneet yritykset" kärsivät keskimäärin 97 laitetta päivässä aktiivisilla haittaohjelmainfektioilla. Nämä tartunnan saaneet laitteet latasivat keskimäärin 10 Gt päivittäin. Mitä he lähettivät? Asiakasluettelot, liikesalaisuudet, liikesuunnitelmat - se voi olla mikä tahansa.

Damballa väittää, että ainoa ratkaisu on poistaa ihmisen pullonkaula ja mennä täysin automatisoituun analyysiin. Koska yritys tarjoaa tarkalleen kyseisen palvelun, johtopäätös ei ole yllätys, mutta se ei tarkoita, että se olisi väärin. Raportissa lainataan tutkimusta, jonka mukaan 100 prosenttia Damballan asiakkaista on yhtä mieltä siitä, että "manuaalisten prosessien automatisointi on avain tulevaisuuden turvallisuushaasteisiin vastaamiseksi".

Jos olet vastuussa yrityksesi verkkoturvallisuudesta tai jos olet johtoryhmän yläpuolella vastaajilta, kannattaa ehdottomasti lukea koko raportti. Se on lähestyttävä asiakirja, ei ammattikieltä. Jos olet vain keskivertokuluttaja, muista seuraavan kerran, kun kuulet uutisraportin tietosuojavirheestä, joka tapahtui 60 000 hälytystapahtumasta huolimatta, että hälytykset eivät ole tartuntoja, ja jokainen vaatii analyysin. Turvallisuusanalyytikot eivät vain pysty seuraamaan.

Verkkotunnusten muutokset auttavat tietorikkomuksia piiloutumaan