บ้าน Securitywatch การไหลของโดเมนช่วยให้การรั่วไหลของข้อมูลยังคงซ่อนอยู่

การไหลของโดเมนช่วยให้การรั่วไหลของข้อมูลยังคงซ่อนอยู่

วีดีโอ: दà¥?निया के अजीबोगरीब कानून जिनà¥?हें ज (ธันวาคม 2024)

วีดีโอ: दà¥?निया के अजीबोगरीब कानून जिनà¥?हें ज (ธันวาคม 2024)
Anonim

ไตรมาสแรกของปีนี้เต็มไปด้วยเรื่องราวข่าวเกี่ยวกับการรั่วไหลของข้อมูล ตัวเลขดังกล่าวน่าตกใจ - ลูกค้าเป้าหมายมากกว่า 40 ล้านรายได้รับผลกระทบ แต่ระยะเวลาของการฝ่าฝืนบางอย่างก็เกิดขึ้นเช่นกัน ระบบของ Neiman Marcus เปิดกว้างเป็นเวลาสามเดือนและการฝ่าฝืนของ Michael ซึ่งเริ่มในเดือนพฤษภาคมปี 2556 ยังไม่ถูกค้นพบจนกระทั่งเดือนมกราคมนี้ ดังนั้นพวกรักษาความปลอดภัยของพวกเขารวมทั้งหมดเลเซอร์? รายงานเมื่อเร็ว ๆ นี้จาก Damballa ผู้ให้บริการกู้ข้อมูลที่ละเมิดแสดงว่าไม่เป็นความจริง

รายงานชี้ให้เห็นว่าปริมาณการแจ้งเตือนมีขนาดใหญ่มากและโดยทั่วไปจะใช้นักวิเคราะห์ของมนุษย์เพื่อตรวจสอบว่าการแจ้งเตือนจริงหมายถึงอุปกรณ์ที่ติดเชื้อ การปฏิบัติต่อการแจ้งเตือนทุกครั้งเป็นการติดเชื้อจะไร้สาระ แต่การสละเวลาในการวิเคราะห์ทำให้คนเลวต้องลงมือทำ ที่แย่กว่านั้นคือเมื่อการวิเคราะห์เวลาเสร็จสิ้นการติดเชื้อก็อาจจะดำเนินต่อไป โดยเฉพาะอย่างยิ่งมันอาจใช้ URL ที่แตกต่างอย่างสิ้นเชิงเพื่อรับคำแนะนำและกรองข้อมูล

การไหลของโดเมน

ตามรายงาน Damballa เห็นเกือบครึ่งหนึ่งของปริมาณการใช้อินเทอร์เน็ตในอเมริกาเหนือทั้งหมดและหนึ่งในสามของปริมาณข้อมูลมือถือ นั่นทำให้พวกเขามีข้อมูลขนาดใหญ่ที่น่าเล่น ในไตรมาสแรกพวกเขาบันทึกปริมาณการใช้งานโดเมนมากกว่า 146 ล้านโดเมน ประมาณ 700, 000 ของผู้ที่ไม่เคยเห็นมาก่อนและกว่าครึ่งของโดเมนในกลุ่มนั้นไม่เคยเห็นอีกครั้งหลังจากวันแรก น่าสงสัยมาก?

รายงานตั้งข้อสังเกตว่าช่องทางการสื่อสารแบบง่าย ๆ ระหว่างอุปกรณ์ที่ติดเชื้อและโดเมนคำสั่งและการควบคุมเฉพาะจะถูกตรวจพบและบล็อกอย่างรวดเร็ว เพื่อช่วยให้อยู่ภายใต้เรดาร์ผู้โจมตีจะใช้สิ่งที่เรียกว่าอัลกอริทึมการสร้างโดเมน อุปกรณ์ที่ถูกบุกรุกและผู้โจมตีใช้ "เมล็ดพันธุ์" ที่ตกลงกันไว้เพื่อสุ่มอัลกอริทึมตัวอย่างเช่นเรื่องเด่นในเว็บไซต์ข่าวบางแห่งในเวลาที่กำหนด ด้วยเมล็ดเดียวกันอัลกอริทึมจะให้ผลลัพธ์แบบหลอกหลอกแบบเดียวกัน

ผลลัพธ์ในกรณีนี้คือชุดของชื่อโดเมนแบบสุ่มซึ่งอาจเป็น 1, 000 ชื่อ ผู้โจมตีลงทะเบียนเพียงหนึ่งในนั้นในขณะที่อุปกรณ์ที่ถูกบุกรุกพยายามทั้งหมด เมื่อถึงจุดที่ถูกต้องแล้วก็สามารถรับคำแนะนำใหม่อัปเดตมัลแวร์ส่งความลับทางการค้าหรือรับคำแนะนำใหม่สำหรับเมล็ดพันธุ์ที่จะใช้ในครั้งต่อไป

ข้อมูลเกิน

รายงานตั้งข้อสังเกตว่า "การแจ้งเตือนเพียงระบุพฤติกรรมที่ผิดปกติไม่ใช่หลักฐานของการติดเชื้อ" ลูกค้าของ Damballa บางคนได้รับการแจ้งเตือนมากถึง 150, 000 กิจกรรมทุกวัน ในองค์กรที่ต้องการการวิเคราะห์โดยมนุษย์เพื่อแยกข้าวสาลีออกจากแกลบนั่นเป็นข้อมูลที่มากเกินไป

มันแย่ลงเรื่อย ๆ การทำเหมืองข้อมูลจากฐานลูกค้าของตนเองนักวิจัยของ Damballa พบว่า "องค์กรขนาดใหญ่ที่กระจายทั่วโลก" โดยเฉลี่ยแล้วพบว่ามี 97 อุปกรณ์ต่อวันที่ติดเชื้อมัลแวร์ อุปกรณ์ที่ติดเชื้อเหล่านั้นนำมารวมกันอัปโหลดเฉลี่ย 10GB ทุกวัน พวกเขากำลังส่งอะไร รายชื่อลูกค้าความลับทางการค้าแผนธุรกิจอาจเป็นอะไรก็ได้

Damballa เชื่อว่าทางออกเดียวคือการกำจัดคอขวดของมนุษย์และทำการวิเคราะห์อัตโนมัติอย่างสมบูรณ์ เนื่องจาก บริษัท ให้บริการดังกล่าวอย่างแม่นยำข้อสรุปจึงไม่แปลกใจ แต่นั่นไม่ได้หมายความว่ามันผิด รายงานเสนอราคาการสำรวจที่ระบุว่าลูกค้า 100 เปอร์เซ็นต์ของ Damballa ยอมรับว่า "การดำเนินการด้วยตนเองโดยอัตโนมัติเป็นกุญแจสำคัญในการเผชิญกับความท้าทายด้านความปลอดภัยในอนาคต"

หากคุณรับผิดชอบด้านความปลอดภัยเครือข่ายของ บริษัท ของคุณหรือหากคุณอยู่ในสายการจัดการจากผู้ที่รับผิดชอบคุณจะต้องอ่านรายงานฉบับเต็ม มันเป็นเอกสารที่เข้าถึงได้ไม่ใช่ศัพท์แสง หากคุณเป็นผู้บริโภคโดยเฉลี่ยในครั้งต่อไปที่คุณได้ยินรายงานข่าวเกี่ยวกับการฝ่าฝืนข้อมูลที่เกิดขึ้นแม้จะมีการแจ้งเตือนถึง 60, 000 เหตุการณ์โปรดจำไว้ว่าการแจ้งเตือนไม่ใช่การติดเชื้อ นักวิเคราะห์ความปลอดภัยไม่สามารถติดตามได้

การไหลของโดเมนช่วยให้การรั่วไหลของข้อมูลยังคงซ่อนอยู่