Andmepüügi, botnettide, petturlike tehingute ja kuritegelike häkkerirühmitustega seotud juhtumeid uurides on Group-IB eksperdid kasutanud graafikuanalüüsi juba aastaid, et tuvastada erinevaid seoseid. Erinevatel juhtudel on oma andmekogumid, oma algoritmid ühenduste tuvastamiseks ja liidesed, mis on kohandatud konkreetsete ülesannete jaoks. Kõik need tööriistad töötas ettevõttesiseselt välja Group-IB ja need olid saadaval ainult meie töötajatele.
Võrgu infrastruktuuri graafiline analüüs (võrgugraafik) sai esimeseks sisemiseks tööriistaks, mille lõime kõikidesse ettevõtte avalikesse toodetesse. Enne võrgugraafiku koostamist analüüsisime paljusid sarnaseid arendusi turul ja ei leidnud ühtegi toodet, mis rahuldaks meie enda vajadusi. Selles artiklis räägime sellest, kuidas me võrgugraafiku koostasime, kuidas seda kasutame ja millised raskused tekkisid.
Dmitri Volkov, CTO Group-IB ja küberluure juht
Mida saab Group-IB võrgugraafik teha?
Uurimised
Alates Group-IB asutamisest 2003. aastal kuni tänapäevani on küberkurjategijate tuvastamine, deanoneerimine ja kohtu ette toomine olnud meie töös esmatähtis. Ükski küberrünnaku uurimine ei olnud lõppenud ilma ründajate võrguinfrastruktuuri analüüsimata. Kohe meie teekonna alguses oli üsna vaevarikas “käsitöö” otsida seoseid, mis võiksid aidata kurjategijaid tuvastada: info domeeninimede, IP-aadresside, serverite digitaalsete sõrmejälgede jms kohta.
Enamik ründajaid püüab võrgus tegutseda võimalikult anonüümselt. Kuid nagu kõik inimesed, teevad ka nemad vigu. Sellise analüüsi põhieesmärk on leida ründajate "valgeid" või "hallisid" ajaloolisi projekte, mis ristuvad praeguses uuritavas juhtumis kasutatud pahatahtliku infrastruktuuriga. Kui "valgeid projekte" on võimalik tuvastada, muutub ründaja leidmine reeglina triviaalseks ülesandeks. “Hallide” puhul võtab otsimine rohkem aega ja vaeva, kuna nende omanikud üritavad registreerimisandmeid anonüümseks muuta või peita, kuid tõenäosus on endiselt üsna suur. Reeglina pööravad ründajad oma kuritegeliku tegevuse alguses vähem tähelepanu enda turvalisusele ja teevad rohkem vigu, mistõttu mida sügavamale saame loosse sukelduda, seda suurem on võimalus uurimise õnnestumiseks. Seetõttu on hea ajalooga võrgugraafik sellise uurimise äärmiselt oluline element. Lihtsamalt öeldes, mida sügavamad ajaloolised andmed ettevõttel on, seda parem on selle graafik. Oletame, et 5-aastane ajalugu võib aidata lahendada tinglikult 1-2 kuritegu 10-st ja 15-aastane ajalugu annab võimaluse lahendada kõik kümme.
Andmepüügi ja pettuste tuvastamine
Iga kord, kui saame kahtlase lingi andmepüügi-, petturlikule või piraatressursile, koostame automaatselt seotud võrguressursside graafiku ja kontrollime kõiki leitud hoste sarnase sisu suhtes. See võimaldab leida nii vanu andmepüügisaite, mis olid aktiivsed, kuid tundmatud, kui ka täiesti uued, mis on tulevasteks rünnakuteks ette valmistatud, kuid mida veel ei kasutata. Elementaarne näide, mida tuleb ette üsna sageli: leidsime ainult 5 saidiga serverist andmepüügi saidi. Neid kõiki kontrollides leiame teistelt saitidelt andmepüügisisu, mis tähendab, et saame blokeerida 5 asemel 1.
Otsige taustaprogramme
See protsess on vajalik pahatahtliku serveri tegeliku asukoha kindlakstegemiseks.
99% kaardipoodidest, häkkerite foorumitest, paljudest andmepüügiressurssidest ja muudest pahatahtlikest serveritest on peidetud nii nende enda puhverserverite kui ka legitiimsete teenuste, näiteks Cloudflare'i, puhverserverite taha. Teadmised tegeliku taustaprogrammi kohta on uurimise jaoks väga olulised: saab teada hostiteenuse pakkuja, kellelt serveri konfiskeerida, ning võimalik on luua ühendusi teiste pahatahtlike projektidega.
Näiteks on teil andmepüügisait pangakaardiandmete kogumiseks, mille IP-aadress on 11.11.11.11, ja kaardipoe aadress, mis lahendab IP-aadressi 22.22.22.22. Analüüsi käigus võib selguda, et nii andmepüügisaidil kui ka kaardipoel on ühine tausta IP-aadress, näiteks 33.33.33.33. Need teadmised võimaldavad meil luua ühenduse andmepüügirünnakute ja kaardipoe vahel, kus võidakse müüa pangakaardi andmeid.
Sündmuse korrelatsioon
Kui teil on rünnaku juhtimiseks kaks erinevat käivitajat (ütleme IDS-il) erineva pahavara ja erinevate serveritega, käsitlete neid kahe sõltumatu sündmusena. Aga kui pahatahtlike infrastruktuuride vahel on hea ühendus, siis saab selgeks, et tegemist pole erinevate rünnakutega, vaid ühe keerukama mitmeastmelise ründe etappidega. Ja kui üks sündmustest on juba omistatud suvalisele ründajate rühmale, siis võib ka teise omistada samale rühmale. Muidugi on omistamisprotsess palju keerulisem, seega käsitlege seda lihtsa näitena.
Indikaatori rikastamine
Me ei pööra sellele palju tähelepanu, kuna see on kõige levinum stsenaarium graafikute kasutamisel küberturvalisuses: annate sisendiks ühe indikaatori ja väljundina saate hulga seotud indikaatoreid.
Mustrite tuvastamine
Mustrite tuvastamine on tõhusa jahipidamise jaoks hädavajalik. Graafikud võimaldavad teil mitte ainult leida seotud elemente, vaid tuvastada ka ühiseid omadusi, mis on iseloomulikud teatud häkkerite rühmale. Selliste ainulaadsete omaduste tundmine võimaldab teil tuvastada ründaja infrastruktuuri isegi ettevalmistusetapis ja ilma rünnakut kinnitavate tõenditeta, nagu andmepüügimeilid või pahavara.
Miks lõime oma võrgugraafiku?
Jällegi vaatasime erinevate tarnijate lahendusi, enne kui jõudsime järeldusele, et peame välja töötama oma tööriista, mis suudaks teha midagi, mida ükski olemasolev toode ei suudaks. Selle loomiseks kulus mitu aastat, mille jooksul muutsime seda mitu korda täielikult. Kuid hoolimata pikast arendusperioodist ei ole me veel leidnud ühtegi analoogi, mis vastaks meie nõuetele. Oma toodet kasutades suutsime lõpuks lahendada peaaegu kõik probleemid, mille avastasime olemasolevates võrgugraafikutes. Allpool käsitleme neid probleeme üksikasjalikult:
probleem
otsus
Erinevate andmekogudega pakkuja puudumine: domeenid, passiivne DNS, passiivne SSL, DNS-kirjed, avatud pordid, portides töötavad teenused, domeeninimede ja IP-aadressidega suhtlevad failid. Selgitus. Tavaliselt pakuvad pakkujad erinevat tüüpi andmeid ja täieliku pildi saamiseks peate kõigilt tellimusi ostma. Sellegipoolest ei ole alati võimalik kõiki andmeid hankida: mõned passiivsed SSL-i pakkujad edastavad andmeid ainult usaldusväärsete CA-de väljastatud sertifikaatide kohta ja nende iseallkirjastatud sertifikaatide katvus on äärmiselt halb. Teised edastavad andmeid ka iseallkirjastatud sertifikaatide abil, kuid koguvad neid ainult tavapärastest portidest.
Kogusime kõik ülaltoodud kollektsioonid ise kokku. Näiteks SSL-sertifikaatide kohta andmete kogumiseks koostasime oma teenuse, mis kogub neid nii usaldusväärsetelt CA-delt kui ka kogu IPv4 ruumi skaneerimisega. Sertifikaate koguti mitte ainult IP-lt, vaid ka kõigilt meie andmebaasi domeenidelt ja alamdomeenidelt: kui teil on domeen example.com ja selle alamdomeen ja need kõik lahendavad IP 1.1.1.1, siis kui proovite hankida SSL-sertifikaati IP, domeeni ja selle alamdomeeni pordist 443, saate kolm erinevat tulemust. Andmete kogumiseks avatud portide ja töötavate teenuste kohta pidime looma oma hajutatud skannimissüsteemi, kuna teistel teenustel olid sageli oma skannimisserverite IP-aadressid "mustas nimekirjas". Ka meie skannimisserverid satuvad mustadesse nimekirjadesse, kuid vajalike teenuste tuvastamise tulemus on suurem kui nendel, kes lihtsalt skaneerivad võimalikult palju porte ja müüvad neile andmetele juurdepääsu.
Juurdepääsu puudumine kogu ajalooliste kirjete andmebaasile. Selgitus. Igal tavalisel tarnijal on hea ajalugu, kuid loomulikel põhjustel ei saanud me kliendina ligipääsu kõigile ajaloolistele andmetele. Need. Saate hankida ühe kirje kogu ajaloo, näiteks domeeni või IP-aadressi järgi, kuid te ei näe kõigi ajalugu - ja ilma selleta ei saa te näha täit pilti.
Domeenide kohta võimalikult paljude ajalooliste kirjete kogumiseks ostsime erinevaid andmebaase, analüüsisime palju avatud ressursse, millel oli see ajalugu (hea, et neid oli palju) ja pidasime läbirääkimisi domeeninimede registripidajatega. Kõiki meie enda kogude värskendusi säilitatakse loomulikult täieliku läbivaatamise ajalooga.
Kõik olemasolevad lahendused võimaldavad graafikut käsitsi koostada. Selgitus. Oletame, et ostsite palju tellimusi kõigilt võimalikelt andmepakkujatelt (tavaliselt nimetatakse neid "rikastajateks"). Kui on vaja koostada graafik, siis annad “käed” käsu ehitada soovitud ühenduselemendist, seejärel valid ilmuvate elementide hulgast vajalikud ja annad käsu nendest ühendused lõpule viia jne. Sel juhul vastutab selle eest, kui hästi graafik koostatakse, täielikult inimene.
Tegime graafikute automaatse konstrueerimise. Need. kui on vaja koostada graafik, siis luuakse automaatselt ühendused esimesest elemendist, seejärel ka kõigist järgnevatest. Spetsialist näitab ainult sügavust, milleni graafik tuleb ehitada. Graafikute automaatse täitmise protsess on lihtne, kuid teised müüjad seda ei rakenda, kuna see annab tohutul hulgal ebaolulisi tulemusi ja me pidime ka selle puudusega arvestama (vt allpool).
Paljud ebaolulised tulemused on probleemiks kõigi võrguelementide graafikutega. Selgitus. Näiteks "halb domeen" (osales rünnakus) on seotud serveriga, millega on viimase 10 aasta jooksul seotud 500 muud domeeni. Graafiku käsitsi lisamisel või automaatsel koostamisel peaksid kõik need 500 domeeni ka graafikule ilmuma, kuigi need pole rünnakuga seotud. Või näiteks kontrollite IP indikaatorit tarnija turvaaruandest. Tavaliselt avaldatakse sellised aruanded märkimisväärse viivitusega ja hõlmavad sageli aastat või kauem. Tõenäoliselt on aruande lugemise ajal selle IP-aadressiga server juba renditud teistele teiste ühendustega inimestele ja graafiku koostamise tulemuseks on jällegi ebaoluliste tulemuste saamine.
Koolitasime süsteemi ebaolulisi elemente tuvastama, kasutades sama loogikat, mida meie eksperdid käsitsi tegid. Näiteks kontrollite vigast domeeni example.com, mille IP-aadress on nüüd 11.11.11.11 ja kuu aega tagasi IP 22.22.22.22. Lisaks domeenile example.com on IP 11.11.11.11 seotud ka example.ruga ja IP 22.22.22.22 25 tuhande muu domeeniga. Süsteem, nagu inimenegi, mõistab, et 11.11.11.11 on suure tõenäosusega spetsiaalne server ja kuna domeen example.ru on õigekirja poolest sarnane domeeniga example.com, siis on nad suure tõenäosusega ühendatud ja peaksid asuma graafik; kuid IP 22.22.22.22 kuulub jagatud hostimisse, nii et kõiki selle domeene ei pea graafikusse kaasama, välja arvatud juhul, kui on muid ühendusi, mis näitavad, et üks neist 25 tuhandest domeenist tuleb kaasata (näiteks näide.net) . Enne kui süsteem mõistab, et ühendused tuleb katkestada ja mõnda elementi graafikule ei liigutata, võtab see arvesse paljusid elementide ja klastrite omadusi, millesse need elemendid on ühendatud, ning ka praeguste ühenduste tugevust. Näiteks kui meil on graafikul väike klaster (50 elementi), mis sisaldab halba domeeni, ja teine suur klaster (5 tuhat elementi) ja mõlemad klastrid on ühendatud väga väikese tugevusega (kaaluga) ühenduse (joonega) , siis selline ühendus katkeb ja elemendid suurest klastrist eemaldatakse. Aga kui väikeste ja suurte klastrite vahel on palju seoseid ja nende tugevus järk-järgult suureneb, siis sel juhul ühendus ei katke ja vajalikud elemendid mõlemast klastrist jäävad graafikule alles.
Serveri ja domeeni omandiintervalli ei võeta arvesse. Selgitus. "Halvad domeenid" aeguvad varem või hiljem ja neid ostetakse uuesti pahatahtlikel või seaduslikel eesmärkidel. Isegi kuulikindlaid hostiservereid renditakse erinevatele häkkeritele, seega on ülioluline teada ja arvestada intervalliga, millal konkreetne domeen/server oli ühe omaniku kontrolli all. Tihti kohtame olukorda, kus IP 11.11.11.11 serverit kasutatakse nüüd pangaroti C&C-na ja 2 kuud tagasi juhtis seda Ransomware. Kui loome ühenduse ilma omanike intervalle arvesse võtmata, siis tundub, et panganduse botneti omanike ja lunavara vahel on seos, kuigi tegelikult seda pole. Meie töös on selline viga kriitiline.
Õpetasime süsteemi omanike intervalle määrama. Domeenide puhul on see suhteliselt lihtne, sest whois sisaldab sageli registreerimise algus- ja aegumiskuupäevi ning kui whois'i muudatuste täielik ajalugu on olemas, on intervalle lihtne määrata. Kui domeeni registreering ei ole aegunud, kuid selle haldamine on teistele omanikele üle antud, saab seda ka jälgida. SSL-sertifikaatide puhul sellist probleemi ei ole, sest need väljastatakse ühekordselt ning neid ei uuendata ega teisaldata. Kuid ise allkirjastatud sertifikaatidega ei saa te usaldada sertifikaadi kehtivusajal määratud kuupäevi, sest saate SSL-sertifikaadi genereerida juba täna ja määrata sertifikaadi alguskuupäeva alates 2010. aastast. Kõige keerulisem on määrata serverite omandiintervalle, sest kuupäevad ja rendiperioodid on ainult hostingu pakkujatel. Serveri omandiperioodi määramiseks hakkasime kasutama pordi skaneerimise ja portides töötavate teenuste sõrmejälgede loomise tulemusi. Seda teavet kasutades saame üsna täpselt öelda, millal serveri omanik vahetus.
Vähe ühendusi. Selgitus. Tänapäeval pole isegi probleem hankida tasuta loendit domeenidest, mille whois sisaldab kindlat e-posti aadressi, ega välja selgitada kõik domeenid, mis olid seotud konkreetse IP-aadressiga. Kui aga rääkida häkkeritest, kes teevad kõik endast oleneva, et neid oleks raske jälgida, siis vajame täiendavaid nippe, et leida uusi omadusi ja luua uusi ühendusi.
Veetsime palju aega, et uurida, kuidas saaksime tavapärasel viisil eraldada andmeid, mis polnud saadaval. Arusaadavatel põhjustel ei saa me siin kirjeldada, kuidas see toimib, kuid teatud asjaoludel teevad häkkerid domeenide registreerimisel või serverite rentimisel ja seadistamisel vigu, mis võimaldavad neil teada saada meiliaadresse, häkkerite varjunimesid ja taustaaadresse. Mida rohkem ühendusi eraldate, seda täpsemaid graafikuid saate koostada.
Kuidas meie graafik töötab
Võrgugraafiku kasutamise alustamiseks peate sisestama otsinguribale domeeni, IP-aadressi, e-posti või SSL-sertifikaadi sõrmejälje. Analüütik saab kontrollida kolme tingimust: aeg, sammu sügavus ja puhastus.
aeg
Kellaaeg – kuupäev või intervall, millal otsitavat elementi pahatahtlikel eesmärkidel kasutati. Kui te seda parameetrit ei määra, määrab süsteem ise selle ressursi viimase omandiintervalli. Näiteks 11. juulil avaldas Eset selle kohta, kuidas Buhtrap kasutab 0-päevast ärakasutamist küberspionaažiks. Aruande lõpus on 6 näitajat. Üks neist, turvaline telemeetria[.]net, registreeriti uuesti 16. juulil. Seega, kui koostate graafiku pärast 16. juulit, saate ebaolulisi tulemusi. Kui aga märgite, et seda domeeni kasutati enne seda kuupäeva, sisaldab graafik 126 uut domeeni ja 69 IP-aadressi, mida Eseti aruandes pole loetletud:
- ukrfreshnews[.]com
- unian-search[.]com
- vesti-maailma[.]info
- runewsmeta[.]com
- foxnewsmeta[.]biz
- sobesednik-meta[.]info
- rian-ua[.]net
- jne
Lisaks võrguindikaatoritele leiame kohe ka ühendused pahatahtlike failidega, millel oli ühendus selle infrastruktuuriga, ja sildid, mis näitavad, et kasutati Meterpreterit ja AZORulti.
Suurepärane on see, et saate selle tulemuse ühe sekundi jooksul ja te ei pea enam kulutama päevi andmete analüüsimisele. Muidugi vähendab see lähenemine mõnikord märkimisväärselt uurimise aega, mis on sageli kriitiline.
Sammude arv või rekursiooni sügavus, millega graafik koostatakse
Vaikimisi on sügavus 3. See tähendab, et soovitud elemendist leitakse kõik otseselt seotud elemendid, seejärel ehitatakse igast uuest elemendist teiste elementidega uued ühendused ja viimasest elemendist luuakse uued elemendid. samm.
Võtame näite, mis ei ole seotud APT ja 0-päevase ärakasutamisega. Hiljuti kirjeldati Habres huvitavat krüptovaluutadega seotud pettusejuhtumit. Aruandes mainitakse domeeni themcx[.]co, mida petturid kasutavad veebilehe hostimiseks, mis väidetavalt on Miner Coin Exchange, ja telefoniotsing[.]xyz liikluse meelitamiseks.
Kirjeldusest selgub, et skeem eeldab küllaltki suurt infrastruktuuri, et meelitada liiklust petturlikele ressurssidele. Otsustasime seda infrastruktuuri vaadelda, koostades graafiku neljas etapis. Väljundiks oli graafik 4 domeeni ja 230 IP-aadressiga. Järgmisena jagame domeenid kahte kategooriasse: need, mis on sarnased krüptovaluutadega töötamiseks mõeldud teenustega, ja need, mis on mõeldud liikluse suunamiseks telefonikinnitusteenuste kaudu:
Seotud krüptorahaga
Seotud telefoni mulgustamise teenustega
mündipidaja[.]cc
caller-record[.]sait.
mcxwallet[.]co
telefonikirjete[.]ruum
btcnoise[.]com
fone-uncover[.]xyz
cryptominer[.]kell
number-uncover[.]info
Puhastamine
Vaikimisi on suvand "Graafiku puhastamine" lubatud ja kõik ebaolulised elemendid eemaldatakse graafikult. Muide, seda kasutati kõigis varasemates näidetes. Näen ette loomulikku küsimust: kuidas tagada, et midagi olulist ei kustutataks? Vastan: analüütikutel, kellele meeldib käsitsi graafikuid koostada, saab automaatse puhastamise keelata ja valida sammude arvu = 1. Järgmisena saab analüütik graafiku komplekteerida vajalikest elementidest ja eemaldada elemente ülesande jaoks ebaolulised graafikud.
Juba graafikul muutub analüütikule kättesaadavaks whois, DNS, aga ka avatud portide ja nendel töötavate teenuste muudatuste ajalugu.
Finantspüük
Uurisime ühe APT grupi tegevust, mis korraldas mitu aastat andmepüügirünnakuid erinevates piirkondades erinevate pankade klientide vastu. Selle grupi iseloomulikuks jooneks oli pärispankade nimedele väga sarnaste domeenide registreerimine ning enamus andmepüügisaite oli ühesuguse kujundusega, erinevused olid vaid pankade nimedes ja nende logodes.
Sel juhul aitas meid palju automatiseeritud graafikute analüüs. Võttes ühe nende domeenidest – lloydsbnk-uk[.]com, koostasime mõne sekundiga 3-astmelise sügavusega graafiku, mis tuvastas enam kui 250 pahatahtlikku domeeni, mida see grupp on kasutanud alates 2015. aastast ja mida kasutatakse jätkuvalt . Mõned neist domeenidest on pangad juba ostnud, kuid ajaloolised andmed näitavad, et need olid varem ründajatele registreeritud.
Selguse huvides on joonisel 2 astme sügavusega graafik.
Tähelepanuväärne on, et juba 2019. aastal muutsid ründajad mõnevõrra oma taktikat ja hakkasid registreerima lisaks pankade domeenidele veebiõngitsemise majutamiseks ka erinevate konsultatsioonifirmade domeene andmepüügimeilide saatmiseks. Näiteks domeenid swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com.
Koobalti jõuk
2018. aasta detsembris saatis pankade vastu suunatud rünnakutele spetsialiseerunud häkkerirühmitus Cobalt Kasahstani keskpanga nimel välja postikampaania.
Kirjad sisaldasid linke hXXps://nationalbank.bz/Doc/Prikaz.doc. Allalaaditud dokument sisaldas makrot, mis käivitas Powershelli, mis prooviks laadida ja käivitada faili saidilt hXXp://wateroilclub.com/file/dwm.exe failis %Temp%einmrmdmy.exe. Fail %Temp%einmrmdmy.exe ehk dwm.exe on CobInti etapiseade, mis on konfigureeritud suhtlema serveriga hXXp://admvmsopp.com/rilruietguadvtoefmuy.
Kujutage ette, et te ei saa neid andmepüügimeile vastu võtta ja pahatahtlike failide täielikku analüüsi teha. Pahatahtliku domeeni nationalbank[.]bz graafik näitab koheselt seoseid teiste pahatahtlike domeenidega, omistab selle grupile ja näitab, milliseid faile ründes kasutati.
Võtame sellelt graafikult IP-aadressi 46.173.219[.]152 ja koostame sellest ühe käiguga graafiku ning lülitame puhastamise välja. Sellega on seotud 40 domeeni, näiteks bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com
Domeeninimede järgi otsustades tundub, et neid kasutatakse petuskeemides, kuid puhastusalgoritm mõistis, et need pole selle rünnakuga seotud ja ei kandnud neid graafikule, mis lihtsustab oluliselt analüüsi ja omistamise protsessi.
Kui koostate graafiku uuesti Nationalbank[.]bz abil, kuid keelate graafiku puhastamise algoritmi, sisaldab see rohkem kui 500 elementi, millest enamikul pole midagi pistmist grupi Cobalt või nende rünnakutega. Näide selle kohta, kuidas selline graafik välja näeb, on toodud allpool:
Järeldus
Pärast mitu aastat kestnud peenhäälestamist, katsetamist tõelistes uurimistes, ohuuuringuid ja ründajate otsimist õnnestus meil mitte ainult luua ainulaadset tööriista, vaid muuta ka ettevõtte ekspertide suhtumist sellesse. Esialgu soovivad tehnilised eksperdid graafiku koostamise protsessi üle täielikku kontrolli. Neid veenda, et automaatne graafiku koostamine suudab seda paremini teha kui paljude aastate kogemusega inimene, oli äärmiselt raske. Kõik otsustas aeg ja graafiku tulemuste mitu "käsitsi" kontrollimist. Nüüd ei usalda meie eksperdid mitte ainult süsteemi, vaid kasutavad selle tulemusi ka oma igapäevatöös. See tehnoloogia töötab igas meie süsteemis ja võimaldab meil paremini tuvastada mis tahes tüüpi ohte. Graafiku käsitsi analüüsimise liides on sisse ehitatud kõikidesse Group-IB toodetesse ja see laiendab oluliselt küberkuritegevuse jahtimise võimalusi. Seda kinnitavad meie klientide analüütikute ülevaated. Ja meie omakorda jätkame graafiku rikastamist andmetega ja töötame tehisintellekti abil uute algoritmide kallal, et luua kõige täpsem võrgugraafik.
Allikas: www.habr.com