ビデオ: Диакритические знаки во французском. Accent aigu, accent grave, accent circonflexe. Видеоурок 1. (十一月 2024)
今年の第1四半期は、データ侵害に関するニュース記事で一杯になりました。 数は驚くべきものでした。たとえば、4, 000万人以上のターゲット顧客が影響を受けました。 しかし、いくつかの違反の期間は、ショッカーとしても来ました。 Neiman Marcusのシステムは3か月間広く開かれ、2013年5月に始まったMichaelの侵害はこの1月まで発見されませんでした。 それで、彼らの警備員は完全なラマーですか? 侵害復旧プロバイダーのDamballaからの最近のレポートは、必ずしも真実ではないことを示唆しています。
レポートでは、アラートの量が膨大であり、通常、アラートが実際に感染したデバイスを示しているかどうかを判断するには、人間の分析者が必要であると指摘しています。 すべてのアラートを感染として扱うのはばかげていますが、分析に時間をかけることは悪者に行動する時間を与えます。 さらに悪いことに、分析が完了するまでに感染が進行している可能性があります。 特に、完全に異なるURLを使用して指示を取得し、データを抽出している可能性があります。
ドメインフラックス
報告書によると、ダンバラは北米のインターネットトラフィックのほぼ半分とモバイルトラフィックの3分の1を把握しています。 それは彼らにいくつかの本当に大きなデータを与えます。 第1四半期には、1億4600万以上の異なるドメインへのトラフィックを記録しました。 これらの約70万人は以前に見たことがなく、そのグループ内のドメインの半分以上は、初日以降再び見られませんでした。 怪しい?
このレポートは、感染したデバイスと特定のコマンドアンドコントロールドメイン間の単純な通信チャネルがすぐに検出され、ブロックされることを指摘しています。 レーダーの下にとどまるために、攻撃者はいわゆるドメイン生成アルゴリズムを使用します。 侵害されたデバイスと攻撃者は、合意された「シード」を使用して、アルゴリズム、たとえば特定の時間に特定のニュースサイトのトップストーリーをランダム化します。 同じシードが与えられると、アルゴリズムは同じ擬似ランダムな結果を生成します。
この場合、結果はランダムなドメイン名のコレクションであり、おそらく1, 000個です。 攻撃者はこれらの1つだけを登録しますが、侵害されたデバイスはそれらすべてを試行します。 適切なものが見つかると、新しい指示を取得したり、マルウェアを更新したり、企業秘密を送信したり、次回使用するシードに関する新しい指示を取得したりできます。
情報過多
レポートでは、「アラートは異常な動作のみを示しており、感染の証拠は示していない」と指摘しています。 Damballaの一部の顧客は、毎日150, 000ものアラートイベントを受け取ります。 小麦とch殻を区別するために人間の分析が必要な組織では、それはあまりにも多くの情報です。
悪くなる。 Damballaの研究者は、自社の顧客ベースからデータをマイニングし、「大規模で世界的に分散した企業」がアクティブなマルウェア感染で1日平均97台のデバイスに苦しんでいることを発見しました。 感染したデバイスは、すべて合わせて、毎日平均10GBをアップロードしました。 彼らは何を送っていましたか? 顧客リスト、企業秘密、ビジネスプランなど、何でもかまいません。
Damballaは、唯一の解決策は人間のボトルネックを排除し、完全に自動化された分析に進むことだと主張します。 会社がそのサービスを正確に提供していることを考えると、結論は驚くことではありませんが、それが間違っているという意味ではありません。 このレポートは、Damballaの顧客の100%が「手動プロセスの自動化が将来のセキュリティの課題に対処するための鍵である」ことに同意しているという調査を引用しています。
会社のネットワークセキュリティを担当している場合、または担当者から管理チェーンを管理している場合は、レポート全体を読むことをお勧めします。 それは、専門用語が多い文書ではなく、親しみやすい文書です。 あなたが平均的な消費者である場合、次に6万件のアラートイベントにもかかわらず発生したデータ侵害に関するニュースレポートを聞いたとき、アラートは感染ではなく、それぞれ分析が必要であることを忘れないでください。 セキュリティアナリストは追いつくことができません。