וִידֵאוֹ: Ꮆ٥٥ℊℓℯ ⊂ªጠℯⓡª ự ⓡ٥٥ŧ Ħª ✘ίª٥ጠί ⓡℯ₫ጠί ŋ٥ŧℯ ⑤ (+ሉªӥቇ✗ªҝ) (אוֹקְטוֹבֶּר 2024)
הרבעון הראשון של השנה היה מלא עד אז בפרצי ידיעות על הפרות נתונים. המספרים היו מדאיגים - למשל, 40 מיליון לקוחות מטרה הושפעו. אך משך זמן ההפרות הגיע גם כמזעזע. המערכות של ניימן מרקוס היו פתוחות לרווחה במשך שלושה חודשים, והפרצתו של מייקל, שהחלה במאי 2013, לא התגלתה עד לינואר האחרון. אז האם החבר'ה שלהם מסתערים לגמרי? דוח שפרסם לאחרונה מהספק התאוששות ההפרות דמבלה מציע כי זה לא בהכרח נכון.
הדו"ח מציין כי היקף ההתראות הוא עצום, ולרוב נדרש מנתח אנושי לקבוע אם ההתראה מסמלת מכשיר נגוע או לא. התייחסות לכל התראה כזיהום תהיה מגוחכת, אך לוקח זמן לניתוח נותן לרעים זמן לפעול. גרוע מכך, עם סיום הניתוח יתכן שהזיהום המשיך הלאה. בפרט, יתכן שהיא משתמשת בכתובת אתר שונה לחלוטין כדי לקבל הוראות ולסנן נתונים.
תחום שטף
על פי הדיווח, דמבלה רואה כמעט מחצית מכל התעבורה באינטרנט בצפון אמריקה ושליש מהתנועה הסלולרית. זה נותן להם כמה נתונים גדולים באמת לשחק איתם. ברבעון הראשון הם רשמו תנועה ליותר מ- 146 מיליון דומיינים נפרדים. בערך 700, 000 מאלה לא נראו מעולם, ומעל מחצית מהתחומים בקבוצה זו לא נראו שוב לאחר היום הראשון. חשודים בהרבה?
הדו"ח מציין כי ערוץ תקשורת פשוט בין מכשיר נגוע לתחום פיקוד ובקרה ספציפי יתגלה וייחסם במהירות. כדי לעזור להישאר מתחת לרדאר, התוקפים משתמשים במה שמכונה אלגוריתם יצירת דומיינים. המכשיר שנפגע והתוקף משתמשים ב"זרע "מוסכם כדי לאזן את האלגוריתם באקראי, למשל, את הסיפור העליון באתר חדשות מסוים בזמן מסוים. בהינתן אותו זרע, האלגוריתם יביא את אותן תוצאות פסאודו אקראיות.
התוצאות, במקרה זה, הן אוסף של שמות דומיינים אקראיים, אולי 1, 000 מהם. התוקף רושם רק אחד מאלה, בעוד שהמכשיר שנפגע מנסה את כולם. כאשר הוא פוגע נכון, הוא יכול לקבל הוראות חדשות, לעדכן את התוכנה הזדונית, לשלוח סודות מסחריים או אפילו לקבל הוראות חדשות באיזה זרע יש להשתמש בפעם הבאה.
עומס מידע
בדו"ח מצוין כי "התראות מצביעות רק על התנהגות חריגה, לא עדות לזיהום." חלק מלקוחותיה של דמבלה עצמם מקבלים כל יום 150, 000 אירועי התראה. בארגון בו נדרש ניתוח אנושי כדי להבדיל בין החיטה למוץ, זה פשוט יותר מדי מידע.
זה מחמיר. חוקרים של דמבלה גילו כי כריית נתונים מבסיס הלקוחות שלה, כי "ארגונים גדולים ומפוזרים ברחבי העולם" סבלו בממוצע 97 מכשירים ביום עם דלקות זדוניות פעילות. אותם מכשירים נגועים, שנלקחו כולם יחד, העלו ממוצע של 10 ג'יגה-בתים בכל יום. מה הם שלחו? רשימות לקוחות, סודות מסחריים, תוכניות עסקיות - זה יכול להיות כל דבר.
דמבלה טוענת כי הפיתרון היחיד הוא לחסל את צוואר הבקבוק האנושי ולבצע ניתוח אוטומטי לחלוטין. בהתחשב בכך שהחברה מספקת שירות זה בדיוק, המסקנה אינה מפתיעה, אך אין פירוש הדבר שהיא שגויה. הדו"ח מצטט סקר שאומר כי 100 אחוז מלקוחותיה של דמבלה מסכימים כי "אוטומציה של תהליכים ידניים היא המפתח לעמוד באתגרי האבטחה העתידיים."
אם אתה אחראי על אבטחת הרשת של החברה שלך, או אם אתה נמצא ברשת הניהול מאלו האחראים, בהחלט תרצה לקרוא את הדו"ח המלא. זה מסמך ניגש, לא כבד ז'רגון. אם אתה סתם צרכן ממוצע, בפעם הבאה שאתה שומע דיווח חדשותי על הפרת נתונים שהתרחשה למרות 60, 000 אירועי התרעה, זכור שהתראות אינן זיהומים וכל אחת דורשת ניתוח. אנליסטי האבטחה פשוט לא יכולים לעמוד בקצב.
