Casa Securitywatch Il flusso di dominio aiuta a nascondere le violazioni dei dati

Il flusso di dominio aiuta a nascondere le violazioni dei dati

Video: 10 Consigli Da Esperti Per Proteggersi Su Internet (Novembre 2024)

Video: 10 Consigli Da Esperti Per Proteggersi Su Internet (Novembre 2024)
Anonim

Il primo trimestre di quest'anno è stato riempito con un'esplosione di notizie sulle violazioni dei dati. I numeri erano allarmanti, ad esempio 40 milioni o più clienti target interessati. Ma la durata di alcune violazioni è stata anche scioccante. I sistemi di Neiman Marcus sono stati spalancati per tre mesi e la violazione di Michael, iniziata nel maggio del 2013, non è stata scoperta fino a gennaio. Quindi, i loro ragazzi della sicurezza sono dei veri fanatici? Un recente rapporto del fornitore di recupero delle violazioni Damballa suggerisce che ciò non è necessariamente vero.

Il rapporto sottolinea che il volume degli avvisi è enorme e in genere è necessario un analista umano per determinare se l'avviso significhi effettivamente un dispositivo infetto. Trattare ogni allarme come un'infezione sarebbe ridicolo, ma prendere tempo per l'analisi dà ai cattivi il tempo di agire. Peggio ancora, quando l'analisi sarà completa, l'infezione potrebbe essere passata. In particolare, potrebbe utilizzare un URL completamente diverso per ottenere istruzioni ed esfiltrare i dati.

Flusso di dominio

Secondo il rapporto, Damballa vede quasi la metà di tutto il traffico Internet nordamericano e un terzo del traffico mobile. Ciò fornisce loro alcuni dati davvero importanti con cui giocare. Nel primo trimestre, hanno registrato il traffico verso oltre 146 milioni di domini distinti. Circa 700.000 di questi non erano mai stati visti prima e oltre la metà dei domini di quel gruppo non furono mai più visti dopo il primo giorno. Molto sospetto?

Il rapporto rileva che un semplice canale di comunicazione tra un dispositivo infetto e uno specifico dominio Command and Control verrà rapidamente rilevato e bloccato. Per aiutare a rimanere sotto il radar, gli aggressori usano quello che viene chiamato un algoritmo di generazione del dominio. Il dispositivo compromesso e l'attaccante usano un "seme" concordato per randomizzare l'algoritmo, ad esempio la storia principale su un determinato sito di notizie in un momento specifico. Dato lo stesso seme, l'algoritmo produrrà gli stessi risultati pseudo-casuali.

I risultati, in questo caso, sono una raccolta di nomi di dominio casuali, forse 1.000 di essi. L'attaccante registra solo uno di questi, mentre il dispositivo compromesso li prova tutti. Quando colpisce quello giusto, può ottenere nuove istruzioni, aggiornare il malware, inviare segreti commerciali o persino ottenere nuove istruzioni per quale seme utilizzare la prossima volta.

Sovraccarico di informazioni

Il rapporto osserva che "gli avvisi indicano solo comportamenti anomali, non prove di infezione". Alcuni dei clienti di Damballa ricevono ogni giorno fino a 150.000 eventi di allerta. In un'organizzazione in cui è richiesta l'analisi umana per distinguere il grano dalla paglia, sono troppe informazioni.

La situazione peggiora. I dati di mining dalla propria base di clienti, i ricercatori di Damballa hanno scoperto che "Grandi aziende disperse a livello globale" hanno subito in media 97 dispositivi al giorno con infezioni da malware attive. Quei dispositivi infetti, presi tutti insieme, hanno caricato in media 10 GB ogni giorno. Cosa stavano spedendo? Elenchi di clienti, segreti commerciali, piani aziendali: potrebbe essere qualsiasi cosa.

Damballa sostiene che l'unica soluzione è eliminare il collo di bottiglia umano e procedere ad analisi completamente automatizzate. Dato che l'azienda fornisce esattamente quel servizio, la conclusione non è una sorpresa, ma ciò non significa che sia sbagliato. Il rapporto cita un sondaggio secondo cui il 100 percento dei clienti di Damballa concorda sul fatto che "l'automazione dei processi manuali è la chiave per affrontare le future sfide alla sicurezza".

Se sei responsabile della sicurezza della rete della tua azienda o se sei nella catena di gestione di coloro che sono responsabili, ti consigliamo di leggere il rapporto completo. È un documento accessibile, non pesante per il gergo. Se sei solo un consumatore medio, la prossima volta che ascolti un rapporto di notizie su una violazione dei dati che si è verificata nonostante 60.000 eventi di avviso, ricorda che gli avvisi non sono infezioni e ognuno richiede un'analisi. Gli analisti della sicurezza non riescono a tenere il passo.

Il flusso di dominio aiuta a nascondere le violazioni dei dati