Video: Lần thứ hai Bá» VÄn hóa bác Äá» xuất bán vé há»i chá»i trâu Äá» SÆ¡n (Tháng Chín 2024)
Quý đầu tiên của năm nay đã tràn ngập những tin tức về vi phạm dữ liệu. Những con số đáng báo động đã khiến 40 triệu khách hàng Target trở lên bị ảnh hưởng. Nhưng thời gian của một số vi phạm cũng đến như một cú sốc. Các hệ thống của Neiman Marcus đã mở rộng trong ba tháng và vi phạm của Michael, bắt đầu vào tháng 5 năm 2013, đã không được phát hiện cho đến tháng 1 này. Vì vậy, có phải kẻ bảo mật của họ tổng số người than vãn? Một báo cáo gần đây từ nhà cung cấp phục hồi vi phạm Damballa cho thấy điều đó không nhất thiết là đúng.
Báo cáo chỉ ra rằng khối lượng cảnh báo là rất lớn và thông thường phải có một nhà phân tích con người xác định liệu cảnh báo có thực sự biểu thị một thiết bị bị nhiễm hay không. Đối xử với mọi cảnh báo là nhiễm trùng sẽ là vô lý, nhưng dành thời gian để phân tích sẽ cho kẻ xấu có thời gian để hành động. Tệ hơn, khi phân tích thời gian hoàn tất, nhiễm trùng có thể đã di chuyển. Cụ thể, nó có thể đang sử dụng một URL hoàn toàn khác để nhận hướng dẫn và lọc dữ liệu.
Thông lượng tên miền
Theo báo cáo, Damballa thấy gần một nửa lưu lượng truy cập Internet ở Bắc Mỹ và một phần ba lưu lượng truy cập di động. Điều đó cung cấp cho họ một số dữ liệu thực sự lớn để chơi với. Trong quý đầu tiên, họ đã đăng nhập lưu lượng truy cập đến hơn 146 triệu tên miền riêng biệt. Khoảng 700.000 trong số đó chưa từng thấy trước đây và hơn một nửa tên miền trong nhóm đó không bao giờ được nhìn thấy sau ngày đầu tiên. Nghi ngờ nhiều?
Báo cáo lưu ý rằng một kênh liên lạc đơn giản giữa thiết bị bị nhiễm và miền Lệnh và Điều khiển cụ thể sẽ nhanh chóng bị phát hiện và chặn. Để giúp ở dưới radar, những kẻ tấn công sử dụng thuật toán tạo miền. Thiết bị bị xâm nhập và kẻ tấn công sử dụng một "hạt giống" đã thỏa thuận để ngẫu nhiên hóa thuật toán, ví dụ, câu chuyện hàng đầu trên một trang web tin tức nhất định tại một thời điểm cụ thể. Cho cùng một hạt giống, thuật toán sẽ tạo ra kết quả giả ngẫu nhiên giống nhau.
Kết quả, trong trường hợp này, là một tập hợp các tên miền ngẫu nhiên, có thể là 1.000 trong số đó. Kẻ tấn công đăng ký chỉ một trong số này, trong khi thiết bị bị xâm nhập sẽ thử tất cả. Khi nó chạm đúng, nó có thể nhận được hướng dẫn mới, cập nhật phần mềm độc hại, gửi bí mật thương mại hoặc thậm chí nhận hướng dẫn mới về loại hạt giống nào sẽ sử dụng vào lần tới.
Quá tải thông tin
Báo cáo lưu ý rằng "cảnh báo chỉ cho thấy hành vi bất thường, không phải bằng chứng nhiễm trùng." Một số khách hàng của Damballa nhận được tới 150.000 sự kiện cảnh báo mỗi ngày. Trong một tổ chức đòi hỏi phải phân tích con người để phân biệt lúa mì với vỏ trấu, đó chỉ là quá nhiều thông tin.
Nó trở nên tồi tệ hơn. Khai thác dữ liệu từ cơ sở khách hàng của chính mình, các nhà nghiên cứu của Damballa phát hiện ra rằng "trung bình các doanh nghiệp lớn, phân tán toàn cầu" trung bình phải chịu 97 thiết bị mỗi ngày với nhiễm phần mềm độc hại đang hoạt động. Những thiết bị bị nhiễm này, được kết hợp lại với nhau, đã tải lên trung bình 10GB mỗi ngày. Họ đã gửi cái gì? Danh sách khách hàng, bí mật thương mại, kế hoạch kinh doanh có thể là bất cứ điều gì.
Damballa cho rằng giải pháp duy nhất là loại bỏ nút thắt của con người và đi phân tích hoàn toàn tự động. Cho rằng công ty cung cấp chính xác dịch vụ đó, kết luận không có gì đáng ngạc nhiên, nhưng điều đó không có nghĩa là nó sai. Báo cáo trích dẫn một cuộc khảo sát nói rằng 100% khách hàng của Damballa đồng ý rằng "tự động hóa các quy trình thủ công là chìa khóa để đáp ứng các thách thức bảo mật trong tương lai."
Nếu bạn chịu trách nhiệm về bảo mật mạng của công ty hoặc nếu bạn tham gia chuỗi quản lý từ những người phụ trách, bạn chắc chắn sẽ muốn đọc báo cáo đầy đủ. Đây là một tài liệu dễ tiếp cận, không nặng nề. Nếu bạn chỉ là người tiêu dùng bình thường, lần tới khi bạn nghe báo cáo tin tức về vi phạm dữ liệu xảy ra mặc dù có 60.000 sự kiện cảnh báo, hãy nhớ rằng cảnh báo không bị nhiễm trùng và mỗi cảnh báo cần phân tích. Các nhà phân tích bảo mật không thể theo kịp.
