2015-06-29 18:31

Cyber threat intelligence med Recorded Future

Det svensk-amerikanska bolaget Recorded Future har expanderat kraftigt sedan starten och förra artikeln 2011. Numera använder drygt 90% av kunderna tjänsten för cyber threat intelligence, dvs övervakning av hackerangrepp och säkerhetsproblem.

Man är idag runt 50 anställda, varav hälften, majoriteten av utvecklarna, sitter i Göteborg, medan större delen av övriga personalen sitter i Boston. Idag hittar man kunderna främst inom IT-kritiska företag som bank och finans, men även inom olika CERT-myndigheter och underrättelsetjänster, men även myndigheter.

Den första stora kunden inom cyber threat intelligence var amerikanska General Electric.
Förstasidan för liveövervakning av cyberhot, som man sedan kan söka sig ner i helt fritt. Till vänster ser man vilka hackergrupper som är aktiva, följt av vilka metoder och säkerhetsluckor som används. Därefter vilka måltavlorna är och vad för slags operationer som använts. 
Jag träffade VD:n Christopher Ahlberg på Göteborgskontoret och fick ett demo av tjänstens nuvarande status. 

Christopher Ahlberg
Som exempel kunde man få omedelbara meddelanden om någons inloggnings-ID:n har postats på hackers dumpsajter, som Pastebin. Det är inte ovanligt att anställda använder sin jobbepostadress för att registrera sig på sajter, som är hackade eller inte täppt till sina säkerhetsluckor. Exempelvis ideella föreningssidor, där man inte har anställd personal som ständigt kan underhålla och patcha de senaste säkerhetsluckorna.

Många använder sedan samma lösenord, och hackers postar sådana här credentials på diverse platser på nätet. Ahlberg visade hur ett antal användare med e-postadresser hos polisen.se har fått sina inloggningsuppgifter, med t ex hashade lösenord publicerade online. 

Systemet hanterar analyser på ursprungsspråk, som farsi, kinesiska, olika indiska språk eller ryska, och det är först i presentationen för slutanvändaren man går över till engelska. Det gör att man mycket snabbt kan upptäcka nya säkerhetsläckor eller incidenter även åt kunder som främst behärskar sitt eget lands språk eller engelska. Ofta snabbare än problemen hinner på media.

Man kan t ex välja att titta på vad IS och andra terroristorganisationers hackergrupper håller på med för tillfället eller historiskt. Vi diskuterade även psyops och desinformation, där man t ex identifierat att Yemen Cyber Armys angrepp mot Saudi-Arabien, i själva verket handlar om iranska hackers.

Bland kunder hittas också infrastrukturbolag inom el- och vattenförsörjning, som behöver övervaka säkerhetsläckor och pågående angrepp mot deras styrsystem, SCADA-system. Det finns även kunder inom traditionell underrättelseverksamhet, både privata och offentliga. Som exempel kunde man snabbt plocka fram kartor över pågående, historiska och kommande protester eller demonstrationer och andra konfliktincidenter.

Recorded Future är idag lönsamt, trots att man är en ganska ung startup, med finansiärer som b la Atlas Venture och Google Ventures. Startupbranschen visar annars klara överhettningstendenser och i USA är det sällan problem idag att få tag på riskkapital för IT-bolag. På en del sätt kan läget idag vara mer överhettat än under IT-bubblan, även om det oftast handlar om privata placeringar utanför börsen. Å andra sidan köper Google, Apple och Microsoft upp bolag till värderingar som skulle få IT-bubblan att skämmas.

Gissningsvis spelar de obefintliga räntorna in när det gäller riskkapital. Pengar söker alternativ avkastning när räntan är nära noll, och det är dessutom billigt att låna för de investerare som har tillgång till krediter.

Recorded Future har en intressant blogg kring främst threat ingelligence på sin hemsida, för den som vill läsa mer och titta på exempel på vad systemet kan göra.

4 kommentarer:

  1. Bra att du tar upp säkerhet. Kanske du skulle fundera på att slå på https på bloggen också då när du ändå är i farten.

    SvaraRadera
  2. Helt off topic men inte helt oviktigt om:
    1. följer grexit röran
    2. tror Europeiska kommissionen är EUs junta(!)
    3. är lite nyfiken på hur sossar från andra europeiska länder hanterar media (jag menar skulle ngn kunna tänka sig ngn svensk minister utom Damberg kunna prata så här?)

    http://www.politico.eu/event/politico-brussels-playbook-breakfast/

    Nulli secundus

    SvaraRadera
  3. Kvantdatorer kommer snart att knäcka precis alla krypton som bygger på primtal. Nya krypton kan göras kvantsäkra, men att all historisk data blir offentlig kan vara ett säkerhetsproblem, minst sagt. Jag undrar ifall säkerhetsbranschen har tagit itu med det här, redan infört kvantsäkra krypton och kanske åtgärder för att radera historiskt krypterad data?

    SvaraRadera
    Svar
    1. Kvantdatorn vore förstås väldigt välkommen för de som sysslar med "cyber intelligence", informationsinhämtning. Primtalskryptering är man nästan säker på saknar matematiska genvägar, kvantdatorn är dock kraftfull nog att samtidigt testa alla möjliga sätt att faktorisera vilket heltal som helst och ger svar på en bråkdel av en sekund. Spelar ingen roll om man har 1024 eller 65536 bitars krypto, dörren må vara låst men kvantdatorn går så att säga rakt genom väggarna. För kvantsäkra krypteringsmetoder kan det finnas matematiska svagheter, så branschen kommer nog att bli spännande framöver.

      Radera

Related Posts Plugin for WordPress, Blogger...