도메인 유출로 데이터 유출을 숨길 수 있습니다

올해 1 사분기는 데이터 유출에 대한 뉴스로 가득 차있었습니다. 예를 들어 4 천만 명 이상의 대상 고객이 영향을 미쳤다. 그러나 일부 위반 기간은 충격적이었습니다. Neiman Marcus의 시스템은 3 개월 동안 널리 개방되었으며 2013 년 5 월에 시작된 Michael의 위반은 이번 1 월까지 발견되지 않았습니다. 보안 담당자는 총 라머입니까? 위반 복구 제공 업체 인 Damballa의 최근 보고서에 따르면 반드시 그런 것은 아닙니다.

이 보고서는 경고의 양이 엄청나다는 것을 지적하고 일반적으로 인간 분석가가 경고가 실제로 감염된 장치를 나타내는 지 여부를 결정해야합니다. 모든 경보를 감염으로 취급하는 것은 우스운 일이지만 분석 시간이 걸리면 나쁜 사람이 행동 할 시간이 생깁니다. 더 나쁜 것은, 분석이 완료 될 때까지 감염이 진행되었을 수 있습니다. 특히, 완전히 다른 URL을 사용하여 지침을 얻고 데이터를 유출 할 수 있습니다.

도메인 플럭 싱

보고서에 따르면 Damballa는 북미 인터넷 트래픽의 거의 절반과 모바일 트래픽의 3 분의 1을보고 있습니다. 그것은 그들에게 정말 큰 데이터를 제공합니다. 1 사분기에는 1 억 4, 400 만 개 이상의 다른 도메인에 트래픽을 기록했습니다. 이 중 약 700, 000 개는 이전에 본 적이 없으며, 해당 그룹의 도메인 중 절반 이상이 첫날 이후 다시는 나타나지 않았습니다. 의심스러워?

이 보고서는 감염된 장치와 특정 명령 및 제어 도메인 사이의 간단한 통신 채널이 신속하게 감지되고 차단 될 것이라고 지적했습니다. 공격자는 레이더에 머물러 있도록 도메인 생성 알고리즘 (Domain Generation Algorithm)을 사용합니다. 손상된 장치와 공격자는 합의 된 "종자"를 사용하여 알고리즘을 무작위 화합니다 (예: 특정 시간에 특정 뉴스 사이트의 최상위 기사). 동일한 시드가 주어지면 알고리즘은 동일한 의사 랜덤 결과를 생성합니다.

이 경우 결과는 임의의 도메인 이름 모음으로, 그중 1, 000 개일 수 있습니다. 공격자는이 중 하나만 등록하고 손상된 장치는 모두 시도합니다. 올바른 지침에 부딪 치면 새로운 지침을 얻거나 맬웨어를 업데이트하거나 영업 비밀을 보내거나 다음에 사용할 시드에 대한 새로운 지침을 얻을 수 있습니다.

정보 과부하

이 보고서는 "경고는 감염의 증거가 아니라 비정상적인 행동만을 나타내는 것"이라고 지적했다. 담 발라 자체 고객 중 일부는 매일 최대 150, 000 건의 경고 이벤트를받습니다. 밀과 겨를 구별하기 위해 인간 분석이 필요한 조직에서는 정보가 너무 많습니다.

악화된다. Damballa의 연구원들은 자체 고객 기반에서 채굴 한 데이터를 조사하여 "전 세계적으로 분산 된 대기업"의 평균 악성 코드 감염으로 하루 평균 97 대의 장치를 사용하는 것으로 나타났습니다. 이 감염된 장치는 모두 평균 10GB를 매일 업로드했습니다. 그들은 무엇을 보냈습니까? 고객 목록, 영업 비밀, 사업 계획 등 무엇이든 가능합니다.

Damballa는 유일한 해결책은 사람 병목 현상을 제거하고 완전히 자동화 된 분석을 수행하는 것이라고 주장합니다. 회사가 그 서비스를 정확하게 제공한다는 것을 감안할 때, 결론은 놀라운 일이 아니지만 그것이 잘못되었다는 것을 의미하지는 않습니다. 이 보고서는 담 발라 고객의 100 %가 "수동 프로세스 자동화가 미래의 보안 문제를 해결하는 열쇠"라는 데 동의한다는 설문 조사를 인용합니다.

회사의 네트워크 보안을 담당하거나 담당자의 관리 체인을 운영하는 경우 전체 보고서를 읽고 싶을 것입니다. 전문 용어가 아닌 접근 가능한 문서입니다. 평균 소비자 일 경우 다음 번에 60, 000 건의 경고 이벤트에도 불구하고 발생한 데이터 유출에 대한 뉴스 보고서를 듣고 경고는 감염이 아니며 각각 분석이 필요하다는 것을 기억하십시오. 보안 분석가는 유지할 수 없습니다.