域通量帮助隐藏数据泄露

今年第一季度充满了关于数据泄露的新闻报道。 这些数字令人震惊，例如，有4000万或更多的目标客户受到影响。 但是，某些违反行为的持续时间也令人震惊。 内曼·马库斯（Neiman Marcus）的系统已经开放了三个月，而迈克尔（Michael）的漏洞始于2013年5月，直到今年1月才被发现。 那么，他们的安全人员到底是不是乐团？ 漏洞恢复提供商Damballa最近的一份报告表明，这不一定是正确的。

该报告指出，警报数量巨大，通常需要人工分析人员确定警报是否实际上表示受感染的设备。 将每个警报视为感染是很荒谬的，但是花时间进行分析可以让坏人采取行动。 更糟糕的是，到分析完成时，感染可能已经转移了。 特别是，它可能正在使用完全不同的URL来获取指令和提取数据。

域融合

根据该报告，Damballa看到了北美所有互联网流量的近一半，以及移动流量的三分之一。 这给了他们一些真正的大数据。 在第一季度，他们记录了超过1.46亿个不同域的流量。 其中大约有700, 000个以前从未见过，并且该组中超过一半的域在第一天之后就再也没有见过。 可疑多吗？

该报告指出，被感染设备与特定命令和控制域之间的简单通信通道将很快被检测到并被阻止。 为了帮助躲在雷达下，攻击者使用了所谓的“域生成算法”。 受感染的设备和攻击者使用商定的“种子”来随机化算法，例如，特定时间某个新闻站点上的热门新闻。 给定相同的种子，该算法将产生相同的伪随机结果。

在这种情况下，结果是一个随机域名的集合，其中可能包含1, 000个。 攻击者仅注册其中之一，而受感染的设备将尝试全部注册。 当它遇到正确的提示时，它可以获取新的指令，更新恶意软件，发送商业秘密，甚至获取有关下次使用哪种种子的新指令。

信息超载

该报告指出：“警报仅表示异常行为，而不是感染的证据。” 达姆巴拉的一些客户每天收到多达150, 000个警报事件。 在需要人工分析以区分小麦与谷壳的组织中，这就是太多信息。

情况变得更糟。 Damballa的研究人员从其自身的客户群中获取数据后发现，“分布于全球的大型企业”平均每天遭受活动恶意软件感染的设备达97台。 那些被感染的设备加在一起平均每天上传10GB。 他们发送什么？ 客户名单，商业秘密，商业计划-可以是任何东西。

Damballa认为，唯一的解决方案是消除人为瓶颈并进行全自动分析。 鉴于公司正是提供该服务，结论并不令人惊讶，但这并不意味着它是错误的。 该报告援引一项调查的话说，Damballa的客户中有100％同意“手动流程自动化是应对未来安全挑战的关键”。

如果您要负责公司的网络安全，或者要由负责人管理管理链，则肯定要阅读完整的报告。 这是一个易于处理的文档，而不是繁琐的术语。 如果您只是普通消费者，下次您听到关于尽管发生60, 000个警报事件而发生的数据泄露的新闻报道时，请记住警报不是感染，并且每个警报都需要分析。 安全分析师只是跟不上。