Deur sake te ondersoek wat verband hou met uitvissing, botnets, bedrieglike transaksies en kriminele hackergroepe, gebruik Group-IB-kundiges vir baie jare grafiekontleding om verskeie soorte verbindings te identifiseer. Verskillende gevalle het hul eie datastelle, hul eie algoritmes om verbindings te identifiseer en koppelvlakke wat vir spesifieke take aangepas is. Al hierdie instrumente is intern deur Group-IB ontwikkel en was slegs vir ons werknemers beskikbaar.
Grafiekontleding van netwerkinfrastruktuur (netwerk grafiek) het die eerste interne hulpmiddel geword wat ons in al die maatskappy se openbare produkte ingebou het. Voordat ons ons netwerkgrafiek geskep het, het ons baie soortgelyke ontwikkelings op die mark ontleed en nie 'n enkele produk gevind wat aan ons eie behoeftes voldoen het nie. In hierdie artikel sal ons praat oor hoe ons die netwerkgrafiek geskep het, hoe ons dit gebruik en watter probleme ons ondervind het.
Dmitri Volkov, CTO Group-IB en hoof van kuberintelligensie
Wat kan die Groep-IB-netwerkgrafiek doen?
Ondersoeke
Sedert die stigting van Group-IB in 2003 tot op hede, was die identifisering, deonering en geregtigheid van kubermisdadigers 'n topprioriteit in ons werk. Nie 'n enkele kuberaanvalondersoek was voltooi sonder om die netwerkinfrastruktuur van die aanvallers te ontleed nie. Heel aan die begin van ons reis was dit 'n taamlik moeisame "handwerk" om na verhoudings te soek wat kan help om misdadigers te identifiseer: inligting oor domeinname, IP-adresse, digitale vingerafdrukke van bedieners, ens.
Die meeste aanvallers probeer om so anoniem as moontlik op die netwerk op te tree. Soos alle mense maak hulle egter foute. Die hoofdoel van so 'n ontleding is om "wit" of "grys" historiese projekte van aanvallers te vind wat kruisings het met die kwaadwillige infrastruktuur wat gebruik word in die huidige voorval wat ons ondersoek. As dit moontlik is om "wit projekte" op te spoor, word dit as 'n reël 'n onbenullige taak om die aanvaller te vind. In die geval van "grys" neem die soektog meer tyd en moeite, aangesien hul eienaars probeer om registrasiedata te anonimiseer of weg te steek, maar die kanse bly redelik hoog. As 'n reël gee aanvallers aan die begin van hul kriminele aktiwiteite minder aandag aan hul eie veiligheid en maak hulle meer foute, so hoe dieper ons in die storie kan duik, hoe groter is die kanse op 'n suksesvolle ondersoek. Daarom is 'n netwerkgrafiek met 'n goeie geskiedenis 'n uiters belangrike element van so 'n ondersoek. Eenvoudig gestel, hoe dieper historiese data 'n maatskappy het, hoe beter is sy grafiek. Kom ons sê dat 'n 5-jaar geskiedenis kan help om, voorwaardelik, 1-2 uit 10 misdade op te los, en 'n 15-jaar geskiedenis gee 'n kans om al tien op te los.
Uitvissing en bedrogopsporing
Elke keer as ons 'n verdagte skakel na 'n uitvissing-, bedrieglike of seerower-hulpbron ontvang, bou ons outomaties 'n grafiek van verwante netwerkhulpbronne en kyk alle gevind gashere vir soortgelyke inhoud. Dit laat jou toe om beide ou uitvissingswerwe wat aktief maar onbekend was, sowel as heeltemal nuwes wat voorberei is vir toekomstige aanvalle, maar nog nie gebruik word nie, te vind. 'n Elementêre voorbeeld wat redelik gereeld voorkom: ons het 'n uitvissingwebwerf gevind op 'n bediener met slegs 5 werwe. Deur elkeen van hulle na te gaan, vind ons uitvissing-inhoud op ander werwe, wat beteken dat ons 5 in plaas van 1 kan blokkeer.
Soek vir backends
Hierdie proses is nodig om te bepaal waar die kwaadwillige bediener werklik woon.
99% van kaartwinkels, kuberforums, baie uitvissingsbronne en ander kwaadwillige bedieners is versteek agter beide hul eie instaanbedieners en gevolmagtigdes van wettige dienste, byvoorbeeld Cloudflare. Kennis oor die regte agterkant is baie belangrik vir ondersoeke: die gasheerverskaffer van wie die bediener beslag gelê kan word, word bekend, en dit word moontlik om verbindings met ander kwaadwillige projekte te bou.
Byvoorbeeld, jy het 'n uitvissing-werf vir die insameling van bankkaartdata wat na die IP-adres 11.11.11.11 omskakel, en 'n kaartwinkeladres wat na die IP-adres 22.22.22.22 omskakel. Tydens die ontleding kan dit blyk dat beide die phishing-werf en die kaartwinkel 'n gemeenskaplike backend-IP-adres het, byvoorbeeld 33.33.33.33. Hierdie kennis stel ons in staat om 'n verband te bou tussen phishing-aanvalle en 'n kaartwinkel waar bankkaartdata verkoop kan word.
Gebeurtenis korrelasie
Wanneer jy twee verskillende snellers het (kom ons sê op 'n IDS) met verskillende wanware en verskillende bedieners om die aanval te beheer, sal jy hulle as twee onafhanklike gebeurtenisse hanteer. Maar as daar 'n goeie verband tussen kwaadwillige infrastruktuur is, word dit duidelik dat dit nie verskillende aanvalle is nie, maar stadiums van een, meer komplekse multi-stadium aanval. En as een van die gebeurtenisse reeds aan enige groep aanvallers toegeskryf word, dan kan die tweede een ook aan dieselfde groep toegeskryf word. Natuurlik is die toeskrywingsproses baie meer kompleks, so behandel dit as 'n eenvoudige voorbeeld.
Aanwyser verryking
Ons sal nie veel aandag hieraan gee nie, aangesien dit die mees algemene scenario is vir die gebruik van grafieke in kuberveiligheid: jy gee een aanwyser as inset, en as 'n uitset kry jy 'n verskeidenheid verwante aanwysers.
Identifisering van patrone
Die identifisering van patrone is noodsaaklik vir effektiewe jag. Grafieke laat jou toe om nie net verwante elemente te vind nie, maar ook om algemene eienskappe te identifiseer wat kenmerkend is van 'n spesifieke groep hackers. Kennis van sulke unieke eienskappe laat jou toe om die aanvaller se infrastruktuur te herken selfs in die voorbereidingstadium en sonder bewyse wat die aanval bevestig, soos uitvissing-e-posse of wanware.
Hoekom het ons ons eie netwerkgrafiek geskep?
Weereens het ons na oplossings van verskillende verskaffers gekyk voordat ons tot die gevolgtrekking gekom het dat ons ons eie instrument moet ontwikkel wat iets kan doen wat geen bestaande produk kan doen nie. Dit het etlike jare geneem om dit te skep, waartydens ons dit verskeie kere heeltemal verander het. Maar, ten spyte van die lang ontwikkelingsperiode, het ons nog nie 'n enkele analoog gevind wat aan ons vereistes sou voldoen nie. Deur ons eie produk te gebruik, kon ons uiteindelik byna al die probleme oplos wat ons in bestaande netwerkgrafieke ontdek het. Hieronder sal ons hierdie probleme in detail oorweeg:
probleem
besluit
Gebrek aan 'n verskaffer met verskillende versamelings van data: domeine, passiewe DNS, passiewe SSL, DNS-rekords, oop poorte, lopende dienste op poorte, lêers wat interaksie het met domeinname en IP-adresse. Verduideliking. Gewoonlik verskaf verskaffers aparte tipes data, en om die volle prentjie te kry, moet jy intekeninge van almal koop. Desondanks is dit nie altyd moontlik om al die data te bekom nie: sommige passiewe SSL-verskaffers verskaf slegs data oor sertifikate wat deur vertroude CA's uitgereik is, en hul dekking van selfondertekende sertifikate is uiters swak. Ander verskaf ook data deur selfondertekende sertifikate te gebruik, maar versamel dit slegs vanaf standaardpoorte.
Ons het al die bogenoemde kollektes self ingesamel. Byvoorbeeld, om data oor SSL-sertifikate in te samel, het ons ons eie diens geskryf wat dit van betroubare CA's versamel en deur die hele IPv4-spasie te skandeer. Sertifikate is nie net van IP ingesamel nie, maar ook van alle domeine en subdomeine vanaf ons databasis: as jy die domein example.com en sy subdomein het en hulle besluit almal na IP 1.1.1.1, wanneer jy dan probeer om 'n SSL-sertifikaat van poort 443 op 'n IP, domein en sy subdomein te verkry, kan jy drie verskillende resultate kry. Om data oor oop poorte en lopende dienste in te samel, moes ons ons eie verspreide skanderingstelsel skep, want ander dienste het dikwels die IP-adresse van hul skanderingbedieners op "swart lyste." Ons skanderingsbedieners beland ook op swartlyste, maar die resultaat van die opsporing van die dienste wat ons benodig, is hoër as dié van diegene wat net soveel poorte as moontlik skandeer en toegang tot hierdie data verkoop.
Gebrek aan toegang tot die hele databasis van historiese rekords. Verduideliking. Elke normale verskaffer het 'n goeie opgehoopte geskiedenis, maar om natuurlike redes kon ons as kliënt nie toegang tot alle historiese data kry nie. Dié. Jy kan die hele geskiedenis vir 'n enkele rekord kry, byvoorbeeld volgens domein of IP-adres, maar jy kan nie die geskiedenis van alles sien nie - en daarsonder kan jy nie die volle prentjie sien nie.
Om soveel moontlik historiese rekords oor domeine te versamel, het ons verskeie databasisse gekoop, baie oop bronne wat hierdie geskiedenis gehad het (dis goed dat daar baie van hulle was) ontleed en met domeinnaamregistrateurs onderhandel. Alle opdaterings aan ons eie versamelings word natuurlik gehou met 'n volledige hersieningsgeskiedenis.
Alle bestaande oplossings laat jou toe om 'n grafiek met die hand te bou. Verduideliking. Kom ons sê jy het baie intekeninge by alle moontlike dataverskaffers (gewoonlik "verrykers" genoem) gekoop. Wanneer jy 'n grafiek moet bou, gee jy "hande" die opdrag om van die verlangde verbindingselement te bou, kies dan die nodige uit die elemente wat verskyn en gee die opdrag om die verbindings daaruit te voltooi, ensovoorts. In hierdie geval lê die verantwoordelikheid vir hoe goed die grafiek saamgestel sal word geheel en al by die persoon.
Ons het outomatiese konstruksie van grafieke gemaak. Dié. as jy 'n grafiek moet bou, dan word verbindings van die eerste element outomaties gebou, dan van alle daaropvolgendes ook. Die spesialis dui slegs die diepte aan waarop die grafiek gebou moet word. Die proses om grafieke outomaties te voltooi is eenvoudig, maar ander verskaffers implementeer dit nie omdat dit 'n groot aantal irrelevante resultate lewer, en ons moes ook hierdie nadeel in ag neem (sien hieronder).
Baie irrelevante resultate is 'n probleem met alle netwerkelementgrafieke. Verduideliking. Byvoorbeeld, 'n "slegte domein" (het aan 'n aanval deelgeneem) word geassosieer met 'n bediener wat oor die afgelope 10 jaar 500 ander domeine daarmee geassosieer het. Wanneer 'n grafiek met die hand bygevoeg of outomaties saamgestel word, moet al hierdie 500 domeine ook op die grafiek verskyn, alhoewel hulle nie met die aanval verband hou nie. Of jy kyk byvoorbeeld na die IP-aanwyser uit die verkoper se sekuriteitsverslag. Tipies word sulke verslae met 'n aansienlike vertraging vrygestel en strek dit dikwels oor 'n jaar of meer. Heel waarskynlik, wanneer jy die verslag lees, is die bediener met hierdie IP-adres reeds aan ander mense met ander verbindings verhuur, en die bou van 'n grafiek sal weer daartoe lei dat jy irrelevante resultate kry.
Ons het die stelsel opgelei om irrelevante elemente te identifiseer deur dieselfde logika te gebruik as wat ons kundiges met die hand gedoen het. Byvoorbeeld, jy kyk na 'n slegte domein example.com, wat nou omskakel na IP 11.11.11.11, en 'n maand gelede - na IP 22.22.22.22. Benewens die domein example.com, word IP 11.11.11.11 ook met example.ru geassosieer, en IP 22.22.22.22 word geassosieer met 25 duisend ander domeine. Die stelsel, soos 'n persoon, verstaan dat 11.11.11.11 heel waarskynlik 'n toegewyde bediener is, en aangesien die example.ru-domein soortgelyk is in spelling aan example.com, is hulle met 'n hoë waarskynlikheid verbind en behoort hulle op die grafiek; maar IP 22.22.22.22 behoort aan gedeelde hosting, so al sy domeine hoef nie by die grafiek ingesluit te word nie, tensy daar ander verbindings is wat wys dat een van hierdie 25 duisend domeine ook ingesluit moet word (byvoorbeeld, example.net) . Voordat die stelsel verstaan dat verbindings verbreek moet word en sommige elemente nie na die grafiek geskuif moet word nie, neem dit baie eienskappe van die elemente en trosse waarin hierdie elemente gekombineer word in ag, sowel as die sterkte van die huidige verbindings. Byvoorbeeld, as ons 'n klein groepie (50 elemente) op die grafiek het, wat 'n slegte domein insluit, en nog 'n groot groep (5 duisend elemente) en beide trosse is verbind deur 'n verbinding (lyn) met baie lae sterkte (gewig) , dan sal so 'n verbinding verbreek word en elemente van die groot cluster verwyder word. Maar as daar baie verbande tussen klein en groot trosse is en hul sterkte geleidelik toeneem, dan sal die verbinding in hierdie geval nie verbreek word nie en die nodige elemente van beide trosse sal op die grafiek bly.
Die bediener- en domeineienaarskapinterval word nie in ag geneem nie. Verduideliking. "Slegte domeine" sal vroeër of later verval en weer vir kwaadwillige of wettige doeleindes gekoop word. Selfs koeëlvaste gasheerbedieners word aan verskillende kuberkrakers verhuur, daarom is dit van kritieke belang om die interval te ken en in ag te neem wanneer 'n spesifieke domein/bediener onder die beheer van een eienaar was. Ons kom dikwels 'n situasie teë waar 'n bediener met IP 11.11.11.11 nou as 'n C&C vir 'n bankbot gebruik word, en 2 maande gelede is dit deur Ransomware beheer. As ons 'n verbinding bou sonder om eienaarskapintervalle in ag te neem, sal dit lyk of daar 'n verband is tussen die eienaars van die bankbotnet en die losprysware, hoewel daar in werklikheid geen is nie. In ons werk is so 'n fout krities.
Ons het die stelsel geleer om eienaarskapintervalle te bepaal. Vir domeine is dit relatief eenvoudig, want whois bevat dikwels registrasie-begin- en vervaldatums en, wanneer daar 'n volledige geskiedenis van whois-veranderinge is, is dit maklik om die intervalle te bepaal. Wanneer 'n domein se registrasie nie verval het nie, maar die bestuur daarvan na ander eienaars oorgedra is, kan dit ook nagespoor word. Daar is nie so 'n probleem vir SSL-sertifikate nie, want hulle word een keer uitgereik en word nie hernu of oorgedra nie. Maar met selfondertekende sertifikate kan jy nie die datums vertrou wat in die geldigheidstydperk van die sertifikaat gespesifiseer is nie, want jy kan vandag 'n SSL-sertifikaat genereer, en die sertifikaat se begindatum vanaf 2010 spesifiseer. Die moeilikste ding is om die eienaarskapintervalle vir bedieners te bepaal, want slegs gasheerverskaffers het datums en huurperiodes. Om die bedienereienaarskaptydperk te bepaal, het ons die resultate van poortskandering begin gebruik en vingerafdrukke van lopende dienste op poorte geskep. Deur hierdie inligting te gebruik, kan ons redelik akkuraat sê wanneer die bediener se eienaar verander het.
Min verbindings. Verduideliking. Deesdae is dit nie eers 'n probleem om 'n gratis lys van domeine te kry waarvan die whois 'n spesifieke e-posadres bevat, of om al die domeine uit te vind wat met 'n spesifieke IP-adres geassosieer is nie. Maar as dit kom by kuberkrakers wat hul bes doen om moeilik op te spoor, het ons bykomende truuks nodig om nuwe eiendomme te vind en nuwe verbindings te bou.
Ons het baie tyd spandeer om te ondersoek hoe ons data kon onttrek wat nie op 'n konvensionele manier beskikbaar was nie. Ons kan om ooglopende redes nie hier beskryf hoe dit werk nie, maar onder sekere omstandighede maak hackers, wanneer hulle domeine registreer of huur en opstel van bedieners, foute wat hulle in staat stel om e-posadresse, kuberaliasse en backend-adresse uit te vind. Hoe meer verbindings jy onttrek, hoe akkurater grafieke kan jy bou.
Hoe ons grafiek werk
Om die netwerkgrafiek te begin gebruik, moet jy die domein, IP-adres, e-pos of SSL-sertifikaatvingerafdruk in die soekbalk invoer. Daar is drie toestande wat die ontleder kan beheer: tyd, stapdiepte en skoonmaak.
Tyd
Tyd – datum of interval wanneer die gesoekte element vir kwaadwillige doeleindes gebruik is. As jy nie hierdie parameter spesifiseer nie, sal die stelsel self die laaste eienaarskapinterval vir hierdie hulpbron bepaal. Byvoorbeeld, op 11 Julie het Eset gepubliseer oor hoe Buhtrap die 0-dag-uitbuiting vir kuberspioenasie gebruik. Daar is 6 aanwysers aan die einde van die verslag. Een daarvan, veilige-telemetrie[.]net, is op 16 Julie herregistreer. As jy dus ná 16 Julie ’n grafiek bou, sal jy irrelevante resultate kry. Maar as jy aandui dat hierdie domein voor hierdie datum gebruik is, dan bevat die grafiek 126 nuwe domeine, 69 IP-adresse wat nie in die Eset-verslag gelys word nie:
- ukrfreshnews[.]com
- unian-search[.]com
- vesti-wêreld[.]info
- runewsmeta[.]com
- foxnewsmeta[.]biz
- sobesednik-meta[.]info
- rian-ua[.]net
- ens.
Benewens netwerkaanwysers vind ons onmiddellik verbindings met kwaadwillige lêers wat verbindings met hierdie infrastruktuur gehad het en merkers wat ons vertel dat Meterpreter en AZORult gebruik is.
Die wonderlike ding is dat jy hierdie resultaat binne een sekonde kry en jy hoef nie meer dae te spandeer om die data te ontleed nie. Natuurlik verminder hierdie benadering soms die tyd vir ondersoeke aansienlik, wat dikwels krities is.
Die aantal stappe of rekursie-diepte waarmee die grafiek gebou sal word
By verstek is die diepte 3. Dit beteken dat alle direk verwante elemente van die verlangde element gevind sal word, dan sal nuwe verbindings van elke nuwe element na ander elemente gebou word, en nuwe elemente sal geskep word uit die nuwe elemente van die laaste stap.
Kom ons neem 'n voorbeeld wat nie verband hou met APT en 0-dag-uitbuitings nie. Onlangs is 'n interessante geval van bedrog wat verband hou met kripto-geldeenhede op Habré beskryf. Die verslag noem die domein themcx[.]co, wat deur swendelaars gebruik word om 'n webwerf te huisves wat voorgee om 'n Miner Coin Exchange te wees en telefoonopsoek[.]xyz om verkeer te lok.
Dit is duidelik uit die beskrywing dat die skema 'n redelike groot infrastruktuur vereis om verkeer na bedrieglike hulpbronne te lok. Ons het besluit om na hierdie infrastruktuur te kyk deur 'n grafiek in 4 stappe te bou. Die uitset was 'n grafiek met 230 domeine en 39 IP-adresse. Vervolgens verdeel ons domeine in 2 kategorieë: dié wat soortgelyk is aan dienste om met kripto-geldeenhede te werk en dié wat bedoel is om verkeer deur middel van telefoonverifikasiedienste te bestuur:
Verwant aan cryptocurrency
Geassosieer met telefoonponsdienste
munthouer[.]cc
oproeper-rekord[.]webwerf.
mcxwallet[.]co
telefoon-rekords[.]spasie
btcnoise[.]com
fone-ontbloot[.]xyz
kriptominer[.]kyk
nommer-ontbloot[.]inligting
skoonmaak
By verstek is die "Graph Cleanup" opsie geaktiveer en alle irrelevante elemente sal van die grafiek verwyder word. Terloops, dit is in alle vorige voorbeelde gebruik. Ek voorsien 'n natuurlike vraag: hoe kan ons seker maak dat iets belangriks nie uitgevee word nie? Ek sal antwoord: vir ontleders wat daarvan hou om grafieke met die hand te bou, kan outomatiese skoonmaak gedeaktiveer word en die aantal stappe kan gekies word = 1. Vervolgens sal die ontleder die grafiek kan voltooi vanaf die elemente wat hy benodig en elemente uit kan verwyder die grafiek wat irrelevant is vir die taak.
Reeds op die grafiek word die geskiedenis van veranderinge in whois, DNS, sowel as oop poorte en dienste wat daarop loop, beskikbaar vir die ontleder.
Finansiële uitvissing
Ons het die aktiwiteite van een APT-groep ondersoek, wat vir etlike jare uitvissing-aanvalle op kliënte van verskeie banke in verskillende streke uitgevoer het. 'n Kenmerkende kenmerk van hierdie groep was die registrasie van domeine wat baie soortgelyk is aan die name van regte banke, en die meeste van die uitvissingswebwerwe het dieselfde ontwerp gehad, die enigste verskille was in die name van die banke en hul logo's.
In hierdie geval het outomatiese grafiekanalise ons baie gehelp. Deur een van hul domeine te neem - lloydsbnk-uk[.]com, het ons binne 'n paar sekondes 'n grafiek met 'n diepte van 3 stappe gebou, wat meer as 250 kwaadwillige domeine geïdentifiseer het wat deur hierdie groep sedert 2015 gebruik is en steeds gebruik word . Sommige van hierdie domeine is reeds deur banke gekoop, maar historiese rekords toon dat dit voorheen vir aanvallers geregistreer is.
Vir duidelikheid toon die figuur 'n grafiek met 'n diepte van 2 stappe.
Dit is opmerklik dat die aanvallers reeds in 2019 hul taktiek ietwat verander het en nie net die domeine van banke vir die aanbieding van webvissing begin registreer nie, maar ook die domeine van verskeie konsultasiemaatskappye vir die stuur van uitvissing-e-posse. Byvoorbeeld, die domeine swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com.
Kobalt bende
In Desember 2018 het die kuberkrakergroep Cobalt, wat spesialiseer in geteikende aanvalle op banke, 'n posveldtog namens die Nasionale Bank van Kazakhstan uitgestuur.
Die briewe bevat skakels na hXXps://nationalbank.bz/Doc/Prikaz.doc. Die afgelaaide dokument het 'n makro bevat wat Powershell geloods het, wat sou probeer om die lêer vanaf hXXp://wateroilclub.com/file/dwm.exe in %Temp%einmrmdmy.exe te laai en uit te voer. Die lêer %Temp%einmrmdmy.exe aka dwm.exe is 'n CobInt-stapper wat opgestel is om met die bediener te kommunikeer hXXp://admvmsopp.com/rilruietguadvtoefmuy.
Stel jou voor dat jy nie hierdie uitvissing-e-posse kan ontvang nie en 'n volledige ontleding van die kwaadwillige lêers kan uitvoer. Die grafiek vir die kwaadwillige domein nationalbank[.]bz wys onmiddellik verbindings met ander kwaadwillige domeine, skryf dit toe aan 'n groep en wys watter lêers in die aanval gebruik is.
Kom ons neem die IP-adres 46.173.219[.]152 uit hierdie grafiek en bou 'n grafiek daaruit in een keer en skakel skoonmaak af. Daar is 40 domeine wat daarmee geassosieer word, byvoorbeeld bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com
Te oordeel aan die domeinname, blyk dit dat hulle in bedrieglike skemas gebruik word, maar die skoonmaakalgoritme het besef dat dit nie verband hou met hierdie aanval nie en het dit nie op die grafiek geplaas nie, wat die proses van analise en toeskrywing aansienlik vergemaklik.
As jy die grafiek herbou deur nationalbank[.]bz te gebruik, maar die grafiekskoonmaakalgoritme deaktiveer, sal dit meer as 500 elemente bevat, waarvan die meeste niks met die Cobalt-groep of hul aanvalle te doen het nie. 'n Voorbeeld van hoe so 'n grafiek lyk, word hieronder gegee:
Gevolgtrekking
Na 'n paar jaar van fyn instel, toetsing in werklike ondersoeke, bedreigingsnavorsing en jag vir aanvallers, het ons daarin geslaag om nie net 'n unieke instrument te skep nie, maar ook om die houding van kundiges binne die maatskappy daarteenoor te verander. Aanvanklik wil tegniese kenners volledige beheer hê oor die grafiekkonstruksieproses. Om hulle te oortuig dat outomatiese grafiekkonstruksie dit beter kan doen as 'n persoon met baie jare ondervinding, was uiters moeilik. Alles is bepaal deur tyd en veelvuldige "handmatige" kontroles van die resultate van wat die grafiek opgelewer het. Nou vertrou ons kundiges nie net die stelsel nie, maar gebruik ook die resultate wat dit verkry in hul daaglikse werk. Hierdie tegnologie werk binne elkeen van ons stelsels en stel ons in staat om bedreigings van enige soort beter te identifiseer. Die koppelvlak vir handgrafiekanalise is in alle Group-IB-produkte ingebou en brei die vermoëns vir kubermisdaadjag aansienlik uit. Dit word bevestig deur ontlederresensies van ons kliënte. En ons gaan op hul beurt voort om die grafiek met data te verryk en aan nuwe algoritmes te werk wat kunsmatige intelligensie gebruik om die mees akkurate netwerkgrafiek te skep.
Bron: will.com