Til að rannsaka mál sem tengjast vefveiðum, botnetum, sviksamlegum viðskiptum og glæpahópum tölvuþrjóta, hafa sérfræðingar Group-IB notað grafgreiningu í mörg ár til að bera kennsl á ýmis konar tengingar. Mismunandi tilvik hafa sín eigin gagnasett, eigin reiknirit til að bera kennsl á tengingar og viðmót sem eru sérsniðin fyrir ákveðin verkefni. Öll þessi verkfæri voru þróuð innbyrðis af Group-IB og voru aðeins í boði fyrir starfsmenn okkar.
Gröf greining á netinnviðum (net línurit) varð fyrsta innra tólið sem við byggðum inn í allar opinberar vörur fyrirtækisins. Áður en við bjuggum til netgrafið okkar greindum við marga svipaða þróun á markaðnum og fundum ekki eina vöru sem uppfyllti okkar eigin þarfir. Í þessari grein munum við tala um hvernig við bjuggum til netgrafið, hvernig við notum það og hvaða erfiðleika við lentum í.
Dmitry Volkov, CTO Group-IB og yfirmaður netnjósna
Hvað getur Group-IB netgrafið gert?
Rannsóknir
Frá stofnun Group-IB árið 2003 til dagsins í dag hefur það verið forgangsverkefni í starfi okkar að bera kennsl á, dæma og draga netglæpamenn fyrir rétt. Ekki einni netárásarrannsókn var lokið án þess að greina netinnviði árásarmannanna. Strax í upphafi ferðar okkar var það frekar vandað „handvirk vinna“ að leita að samböndum sem gætu hjálpað til við að bera kennsl á glæpamenn: upplýsingar um lén, IP tölur, stafræn fingraför netþjóna o.s.frv.
Flestir árásarmenn reyna að koma fram eins nafnlaust og hægt er á netinu. Hins vegar, eins og allir, gera þeir mistök. Meginmarkmið slíkrar greiningar er að finna „hvít“ eða „grá“ söguleg verkefni árásarmanna sem hafa skurðpunkta við illgjarna innviði sem notaðir eru í núverandi atviki sem við erum að rannsaka. Ef það er hægt að greina „hvít verkefni“, þá verður að finna árásarmanninn að jafnaði léttvægt verkefni. Þegar um er að ræða „gráa“ þá tekur leitin meiri tíma og fyrirhöfn, þar sem eigendur þeirra reyna að nafngreina eða fela skráningargögn, en líkurnar eru enn frekar miklar. Að jafnaði, í upphafi glæpsamlegra athafna sinna, huga árásarmenn minna að eigin öryggi og gera fleiri mistök, þannig að því dýpra sem við getum kafað ofan í söguna, því meiri líkur eru á árangursríkri rannsókn. Þess vegna er netgraf með góða sögu afar mikilvægur þáttur í slíkri rannsókn. Einfaldlega sagt, því dýpri söguleg gögn sem fyrirtæki hefur, því betra grafið er það. Segjum að 5 ára saga geti hjálpað til við að leysa, með skilyrðum, 1-2 af 10 glæpum og 15 ára saga gefur tækifæri til að leysa alla tíu.
Vefveiðar og uppgötvun svika
Í hvert sinn sem við fáum grunsamlegan hlekk á vefveiðar, sviksamlega eða sjóræningjaauðlind, byggjum við sjálfkrafa línurit af tengdum netauðlindum og athugum alla hýsingaaðila fyrir svipað efni. Þetta gerir þér kleift að finna bæði gamlar vefveiðasíður sem voru virkar en óþekktar, sem og alveg nýjar sem eru tilbúnar fyrir árásir í framtíðinni, en eru ekki enn notaðar. Grunndæmi sem kemur nokkuð oft fyrir: við fundum vefveiðar á netþjóni með aðeins 5 síður. Með því að haka við hvert þeirra finnum við vefveiðaefni á öðrum síðum, sem þýðir að við getum lokað fyrir 5 í stað 1.
Leitaðu að bakenda
Þetta ferli er nauðsynlegt til að ákvarða hvar illgjarn netþjónn er í raun búsettur.
99% kortaverslana, tölvuþrjótaspjallborða, margra vefveiðaauðlinda og annarra skaðlegra netþjóna eru falin á bak við bæði eigin proxy-þjóna og umboð lögmætra þjónustu, til dæmis Cloudflare. Þekking um raunverulegan bakenda er mjög mikilvæg fyrir rannsóknir: hýsingaraðilinn sem hægt er að taka þjóninn frá verður þekktur og það verður hægt að byggja upp tengingar við önnur skaðleg verkefni.
Til dæmis, þú ert með vefveiðasíðu til að safna bankakortagögnum sem leiða til IP tölunnar 11.11.11.11, og kortabúðar vistfang sem snýr að IP tölunni 22.22.22.22. Við greininguna getur komið í ljós að bæði vefveiðasíðan og kortabúðin hafa sameiginlegt IP-tölu bakenda, til dæmis 33.33.33.33. Þessi þekking gerir okkur kleift að byggja upp tengsl milli vefveiðaárása og kortabúðar þar sem bankakortagögn geta verið seld.
Atburðafylgni
Þegar þú ert með tvo mismunandi kveikjur (við skulum segja á IDS) með mismunandi spilliforritum og mismunandi netþjónum til að stjórna árásinni, muntu meðhöndla þá sem tvo sjálfstæða atburði. En ef það er góð tenging á milli skaðlegra innviða, þá verður augljóst að þetta eru ekki mismunandi árásir, heldur stig af einni, flóknari fjölþrepa árás. Og ef einn atburðanna er þegar kenndur við einhvern hóp árásarmanna, þá má einnig rekja þann seinni til sama hóps. Að sjálfsögðu er úthlutunarferlið miklu flóknara, svo líttu á þetta sem einfalt dæmi.
Vísir auðgun
Við munum ekki gefa þessu mikla athygli, þar sem þetta er algengasta atburðarásin til að nota línurit í netöryggi: þú gefur upp einn vísi sem inntak og sem úttak færðu fjölda tengdra vísbendinga.
Að greina mynstur
Að bera kennsl á mynstur er nauðsynlegt fyrir árangursríkar veiðar. Línurit leyfa þér ekki aðeins að finna tengda þætti heldur einnig að bera kennsl á algenga eiginleika sem eru einkennandi fyrir tiltekinn hóp tölvuþrjóta. Þekking á slíkum einstökum eiginleikum gerir þér kleift að þekkja innviði árásarmannsins jafnvel á undirbúningsstigi og án sönnunargagna sem staðfesta árásina, svo sem vefveiðar eða spilliforrit.
Af hverju bjuggum við til okkar eigið netgraf?
Aftur skoðuðum við lausnir frá mismunandi söluaðilum áður en við komumst að þeirri niðurstöðu að við þyrftum að þróa okkar eigið tól sem gæti gert eitthvað sem engin núverandi vara gæti gert. Það tók nokkur ár að búa það til, þar sem við breyttum því algjörlega nokkrum sinnum. En þrátt fyrir langan þróunartíma höfum við ekki enn fundið eina hliðstæðu sem myndi uppfylla kröfur okkar. Með því að nota okkar eigin vöru gátum við að lokum leyst næstum öll vandamálin sem við uppgötvuðum í núverandi netgröfum. Hér að neðan munum við íhuga þessi vandamál í smáatriðum:
vandamálið
ákvörðun
Skortur á veitanda með mismunandi gagnasöfn: lén, óvirkt DNS, óvirkt SSL, DNS færslur, opnar hafnir, keyrandi þjónustu á höfnum, skrár sem hafa samskipti við lén og IP tölur. Skýring. Venjulega veita veitendur aðskildar tegundir gagna og til að fá heildarmyndina þarftu að kaupa áskrift af öllum. Þrátt fyrir það er ekki alltaf hægt að fá öll gögnin: Sumir óvirkir SSL veitendur veita aðeins gögn um vottorð sem gefin eru út af traustum CA, og umfjöllun þeirra um sjálfundirrituð vottorð er afar léleg. Aðrir veita einnig gögn með því að nota sjálfundirrituð vottorð, en safna þeim aðeins frá venjulegum höfnum.
Öll ofangreind söfn söfnuðum við sjálf. Til dæmis, til að safna gögnum um SSL vottorð, skrifuðum við okkar eigin þjónustu sem safnar þeim bæði frá traustum CA og með því að skanna allt IPv4 rýmið. Vottorðum var safnað ekki aðeins frá IP, heldur einnig frá öllum lénum og undirlénum úr gagnagrunninum okkar: ef þú ert með lénið example.com og undirlén þess og þeir leysast allir í IP 1.1.1.1, þá þegar þú reynir að fá SSL vottorð frá port 443 á IP, léni og undirléni þess geturðu fengið þrjár mismunandi niðurstöður. Til að safna gögnum um opnar hafnir og keyrandi þjónustu þurftum við að búa til okkar eigið dreifða skannakerfi, vegna þess að aðrar þjónustur voru oft með IP tölur skannaþjóna sinna á „svartum listum“. Skannaþjónar okkar lenda líka á svörtum listum, en niðurstaðan af því að greina þá þjónustu sem við þurfum er hærri en hjá þeim sem einfaldlega skanna eins mörg port og mögulegt er og selja aðgang að þessum gögnum.
Skortur á aðgangi að öllum gagnagrunni sögulegra gagna. Skýring. Sérhver venjulegur birgir hefur góða uppsafnaða sögu, en af eðlilegum ástæðum gátum við, sem viðskiptavinur, ekki fengið aðgang að öllum sögulegum gögnum. Þeir. Þú getur fengið alla söguna fyrir eina færslu, til dæmis eftir léni eða IP-tölu, en þú getur ekki séð sögu alls - og án þess geturðu ekki séð heildarmyndina.
Til að safna eins mörgum sögulegum gögnum um lén og hægt var keyptum við ýmsa gagnagrunna, þáttuðum margar opnar auðlindir sem höfðu þessa sögu (það er gott að þær voru margar) og sömdum við lénaskrárstjóra. Allar uppfærslur á eigin söfnum okkar eru að sjálfsögðu geymdar með fullri endurskoðunarsögu.
Allar núverandi lausnir gera þér kleift að smíða línurit handvirkt. Skýring. Segjum að þú hafir keypt mikið af áskriftum frá öllum mögulegum gagnaveitum (venjulega kallaðir "auðgarar"). Þegar þú þarft að búa til graf, gefur þú "hendur" skipunina um að byggja úr viðkomandi tengieiningu, velur síðan nauðsynlega úr þeim þáttum sem birtast og gefur skipunina til að klára tengingarnar úr þeim, og svo framvegis. Í þessu tilviki er ábyrgðin á því hversu vel línuritið verður smíðað algjörlega hjá viðkomandi.
Við gerðum sjálfvirka smíði á línuritum. Þeir. ef þú þarft að búa til línurit, þá eru tengingar frá fyrsta þættinum byggðar sjálfkrafa, síðan frá öllum síðari líka. Sérfræðingur gefur aðeins til kynna á hvaða dýpi þarf að byggja línuritið. Ferlið við að ljúka sjálfkrafa út línuritum er einfalt, en aðrir seljendur útfæra það ekki vegna þess að það framleiðir gríðarlegan fjölda óviðkomandi niðurstöður, og við þurftum líka að taka tillit til þessa galla (sjá hér að neðan).
Margar óviðkomandi niðurstöður eru vandamál með öll línurit netþátta. Skýring. Til dæmis er „slæmt lén“ (sem tók þátt í árás) tengt netþjóni sem hefur 10 önnur lén tengd sér á undanförnum 500 árum. Þegar grafi er bætt við handvirkt eða sjálfkrafa smíðað ættu öll þessi 500 lén einnig að birtast á línuritinu, þó þau séu ekki tengd árásinni. Eða, til dæmis, þú athugar IP-vísirinn úr öryggisskýrslu seljanda. Venjulega eru slíkar skýrslur gefnar út með verulegri töf og spanna oft eitt ár eða lengur. Líklegast er, á þeim tíma sem þú lest skýrsluna, að þjónninn með þessa IP tölu er þegar leigður til annarra með aðrar tengingar og að byggja línurit mun aftur leiða til þess að þú færð óviðkomandi niðurstöður.
Við þjálfuðum kerfið til að bera kennsl á óviðkomandi þætti með því að nota sömu rökfræði og sérfræðingar okkar gerðu handvirkt. Til dæmis, þú ert að athuga með slæmt lén example.com, sem nú breytist í IP 11.11.11.11, og fyrir mánuði síðan - í IP 22.22.22.22. Auk lénsins example.com er IP 11.11.11.11 einnig tengt example.ru og IP 22.22.22.22 tengist 25 þúsund öðrum lénum. Kerfið, eins og manneskja, skilur að 11.11.11.11 er líklegast hollur þjónn, og þar sem example.ru lénið er svipað í stafsetningu og example.com, þá eru miklar líkur á að þau séu tengd og ættu að vera á línurit; en IP 22.22.22.22 tilheyrir sameiginlegri hýsingu, þannig að öll lén þess þurfa ekki að vera með á línuritinu nema það séu aðrar tengingar sem sýna að eitt af þessum 25 þúsund lénum þarf líka að vera með (td dæmi.net) . Áður en kerfið skilur að rjúfa þarf tengingar og ekki færa suma þætti yfir á línuritið tekur það tillit til margra eiginleika frumefna og klasa sem þessir þættir eru sameinaðir í, auk styrks núverandi tenginga. Til dæmis, ef við erum með lítinn klasa (50 frumefni) á grafinu, sem inniheldur slæmt lén, og annan stóran klasa (5 þúsund frumefni) og báðir klasarnir eru tengdir með tengingu (línu) með mjög lágan styrk (þyngd) , þá verður slík tenging rofin og þættir úr stóra klasanum fjarlægðir. En ef það eru mörg tengsl á milli lítilla og stórra þyrpinga og styrkur þeirra eykst smám saman, þá verður tengingin ekki rofin í þessu tilfelli og nauðsynlegir þættir úr báðum þyrpingum verða áfram á línuritinu.
Ekki er tekið tillit til þjóns- og lénseignartímabilsins. Skýring. „Slæmt lén“ munu fyrr eða síðar renna út og verða keypt aftur í illgjarnum eða lögmætum tilgangi. Jafnvel skotheldir hýsingarþjónar eru leigðir til mismunandi tölvuþrjóta, svo það er mikilvægt að vita og taka með í reikninginn hversu lengi tiltekið lén/þjónn var undir stjórn eins eiganda. Við lendum oft í aðstæðum þar sem netþjónn með IP 11.11.11.11 er nú notaður sem C&C fyrir bankabot, og fyrir 2 mánuðum síðan var honum stjórnað af Ransomware. Ef við byggjum upp tengingu án þess að taka tillit til millibils eignarhalds mun það líta út fyrir að það sé tenging á milli eigenda bankabotnetsins og lausnarhugbúnaðarins, þó að það sé í raun engin. Í starfi okkar er slík villa mikilvæg.
Við kenndum kerfinu að ákvarða eignarhaldsbil. Fyrir lén er þetta tiltölulega einfalt, vegna þess að whois inniheldur oft upphafs- og fyrningardagsetningar fyrir skráningu og þegar það er fullkomin saga um whois breytingar er auðvelt að ákvarða millibilið. Þegar skráning léns er ekki útrunnin, en umsjón þess hefur verið færð til annarra eigenda, er einnig hægt að rekja það. Það er ekkert slíkt vandamál fyrir SSL vottorð, vegna þess að þau eru gefin út einu sinni og eru ekki endurnýjuð eða flutt. En með sjálfundirrituðum vottorðum geturðu ekki treyst dagsetningunum sem tilgreindar eru í gildistíma vottorðsins, því þú getur búið til SSL vottorð í dag og tilgreint upphafsdag vottorðsins frá 2010. Það erfiðasta er að ákvarða eignartímabilið fyrir netþjóna, því aðeins hýsingaraðilar hafa dagsetningar og leigutímabil. Til að ákvarða eignarhaldstíma netþjónsins fórum við að nota niðurstöður gáttaskönnunar og búa til fingraför af keyrandi þjónustu á höfnum. Með því að nota þessar upplýsingar getum við sagt nokkuð nákvæmlega hvenær eiganda netþjónsins breyttist.
Fáar tengingar. Skýring. Nú á dögum er það ekki einu sinni vandamál að fá ókeypis lista yfir lén þar sem whois inniheldur tiltekið netfang, eða að finna út öll lén sem voru tengd tilteknu IP-tölu. En þegar kemur að tölvuþrjótum sem gera sitt besta til að vera erfitt að rekja þá þurfum við fleiri brellur til að finna nýjar eignir og byggja upp nýjar tengingar.
Við eyddum miklum tíma í að rannsaka hvernig við gætum dregið út gögn sem ekki voru tiltæk á hefðbundinn hátt. Við getum ekki lýst því hér hvernig það virkar af augljósum ástæðum, en undir vissum kringumstæðum gera tölvuþrjótar mistök, þegar þeir skrá lén eða leigja og setja upp netþjóna, sem gera þeim kleift að finna netföng, samnefni tölvuþrjóta og netföng. Því fleiri tengingar sem þú dregur út, því nákvæmari línurit geturðu smíðað.
Hvernig grafið okkar virkar
Til að byrja að nota netgrafið þarftu að slá inn lén, IP tölu, tölvupóst eða fingrafar SSL vottorðs í leitarstikuna. Það eru þrjú skilyrði sem sérfræðingur getur stjórnað: tíma, skrefdýpt og hreinsun.
Tími
Tími – dagsetning eða bil þegar frumefnið sem leitað var að var notað í illgjarn tilgangi. Ef þú tilgreinir ekki þessa færibreytu mun kerfið sjálft ákvarða síðasta eignartímabilið fyrir þessa auðlind. Til dæmis birti Eset 11. júlí um hvernig Buhtrap notar 0 daga hagnýtingu fyrir netnjósnir. Í lok skýrslunnar eru 6 vísbendingar. Eitt þeirra, secure-telemetry[.]net, var endurskráð 16. júlí. Því ef þú byggir línurit eftir 16. júlí færðu óviðkomandi niðurstöður. En ef þú gefur til kynna að þetta lén hafi verið notað fyrir þessa dagsetningu, þá inniheldur línuritið 126 ný lén, 69 IP tölur sem eru ekki skráðar í Eset skýrslunni:
- ukrfreshnews[.]com
- unian-leit[.]com
- vesti-heimur[.]uppl
- runewsmeta[.]com
- foxnewsmeta[.]biz
- sobesednik-meta[.]uppl
- rian-ua[.]net
- o.fl.
Auk netvísa finnum við strax tengingar við skaðlegar skrár sem höfðu tengingar við þennan innviði og merki sem segja okkur að Meterpreter og AZORult hafi verið notuð.
Það frábæra er að þú færð þessa niðurstöðu innan einni sekúndu og þú þarft ekki lengur að eyða dögum í að greina gögnin. Auðvitað styttir þessi nálgun stundum verulega tíma til rannsókna, sem er oft mikilvægt.
Fjöldi þrepa eða endurvikadýpt sem línuritið verður byggt upp með
Sjálfgefið er að dýptin sé 3. Þetta þýðir að allir beinttengdir þættir finnast úr viðkomandi frumefni, þá verða nýjar tengingar byggðar úr hverjum nýjum þætti til annarra þátta og nýir þættir verða búnir til úr nýju þáttunum frá því síðasta. skref.
Tökum dæmi sem ekki tengist APT og 0-daga hetjudáð. Nýlega var áhugaverðu svikamáli sem tengist dulritunargjaldmiðlum lýst á Habré. Í skýrslunni er minnst á lénið themcx[.]co, sem svindlarar nota til að hýsa vefsíðu sem þykist vera Miner Coin Exchange og símaleit[.]xyz til að laða að umferð.
Ljóst er af lýsingunni að kerfið krefst nokkuð stórra innviða til að laða umferð að sviksamlegum auðlindum. Við ákváðum að skoða þessa innviði með því að byggja línurit í 4 skrefum. Úttakið var graf með 230 lénum og 39 IP tölum. Næst skiptum við lénum í 2 flokka: þau sem líkjast þjónustu við að vinna með dulritunargjaldmiðla og þau sem eiga að keyra umferð í gegnum símastaðfestingarþjónustu:
Tengt cryptocurrency
Tengt við gataþjónustu í síma
mynthafi[.]cc
hringja-skrá[.]síða.
mcxwallet[.]co
símaskrár[.]rými
btcnoise[.]com
fone-afhjúpa[.]xyz
cryptominer[.]watch
númer-afhjúpa[.]upplýsingar
Þrif
Sjálfgefið er að „Graph Cleanup“ valmöguleikinn er virkur og allir óviðkomandi þættir verða fjarlægðir af línuritinu. Við the vegur, það var notað í öllum fyrri dæmum. Ég sé fyrir mér eðlilega spurningu: hvernig getum við tryggt að einhverju mikilvægu sé ekki eytt? Ég mun svara: fyrir greiningaraðila sem hafa gaman af því að smíða línurit í höndunum er hægt að slökkva á sjálfvirkri hreinsun og velja fjölda skrefa = 1. Því næst mun sérfræðingurinn geta klárað grafið úr þeim þáttum sem hann þarfnast og fjarlægt þætti úr línuritið sem er óviðkomandi verkefninu.
Þegar á línuritinu er saga breytinga á whois, DNS, sem og opnum höfnum og þjónustu sem keyrir á þeim, aðgengileg sérfræðingnum.
Fjárhagsveiðar
Við könnuðum starfsemi eins APT hóps, sem í nokkur ár stundaði phishing árásir á viðskiptavini ýmissa banka á mismunandi svæðum. Einkennandi eiginleiki þessa hóps var skráning léna mjög lík nöfnum raunverulegra banka og flestar vefveiðasíður voru með sömu hönnun, eini munurinn er á nöfnum bankanna og merki þeirra.
Í þessu tilviki hjálpaði sjálfvirk grafgreining okkur mikið. Með því að taka eitt af lénum þeirra - lloydsbnk-uk[.]com, byggðum við á nokkrum sekúndum línurit með 3 þrepa dýpt, sem auðkenndi meira en 250 illgjarn lén sem hafa verið notuð af þessum hópi síðan 2015 og eru áfram notuð . Sum þessara léna hafa þegar verið keypt af bönkum, en sögulegar heimildir sýna að þau voru áður skráð á árásarmönnum.
Til glöggvunar sýnir myndin línurit með 2 skrefum dýpt.
Það er athyglisvert að þegar árið 2019 breyttu árásarmennirnir aðferðum sínum nokkuð og byrjuðu að skrá ekki aðeins lén banka til að hýsa vefveiðar, heldur einnig lén ýmissa ráðgjafafyrirtækja til að senda vefveiðar tölvupósta. Til dæmis, lénin swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com.
Kóbaltgengi
Í desember 2018 sendi tölvuþrjótahópurinn Cobalt, sem sérhæfir sig í markvissum árásum á banka, póstherferð fyrir hönd seðlabanka Kasakstan.
Bréfin innihéldu tengla á hXXps://nationalbank.bz/Doc/Prikaz.doc. Skjalið sem hlaðið var niður innihélt fjölvi sem ræsti Powershell, sem myndi reyna að hlaða og keyra skrána frá hXXp://wateroilclub.com/file/dwm.exe í %Temp%einmrmdmy.exe. Skráin %Temp%einmrmdmy.exe aka dwm.exe er CobInt stager stilltur til að hafa samskipti við netþjóninn hXXp://admvmsopp.com/rilruietguadvtoefmuy.
Ímyndaðu þér að þú getir ekki tekið á móti þessum vefveiðum og framkvæmt fulla greiningu á skaðlegum skrám. Línuritið fyrir illgjarn lén nationalbank[.]bz sýnir strax tengingar við önnur illgjarn lén, kennir það til hóps og sýnir hvaða skrár voru notaðar í árásinni.
Tökum IP töluna 46.173.219[.]152 úr þessu grafi og byggjum línurit úr því í einni umferð og slökkum á hreinsun. Það eru 40 lén tengd því, til dæmis bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com
Miðað við lénsnöfnin virðist sem þau séu notuð í sviksamlegum kerfum, en hreinsunaralgrímið áttaði sig á því að þau tengdust ekki þessari árás og setti þau ekki á línuritið, sem einfaldar mjög ferlið við greiningu og tilvísun.
Ef þú endurbyggir línuritið með því að nota nationalbank[.]bz, en slökktir á grafhreinsunaralgríminu, þá mun það innihalda meira en 500 þætti, sem flestir hafa ekkert með Cobalt hópinn eða árásir þeirra að gera. Dæmi um hvernig svona línurit lítur út er gefið hér að neðan:
Ályktun
Eftir nokkurra ára fínstillingu, prófun í raunverulegum rannsóknum, ógnarrannsóknum og leit að árásarmönnum tókst okkur ekki aðeins að búa til einstakt tæki heldur einnig að breyta viðhorfi sérfræðinga innan fyrirtækisins til þess. Upphaflega vilja tæknifræðingar hafa fulla stjórn á grafbyggingarferlinu. Það var afar erfitt að sannfæra þá um að sjálfvirk grafasmíði gæti gert þetta betur en maður með margra ára reynslu. Allt var ákveðið af tíma og margvíslegum „handvirkum“ athugunum á niðurstöðum þess sem línuritið gaf. Nú treysta sérfræðingar okkar ekki bara á kerfið heldur nýta þeir einnig árangurinn sem það fær í daglegu starfi sínu. Þessi tækni virkar inni í hverju kerfi okkar og gerir okkur kleift að bera kennsl á ógnir af hvaða gerð sem er. Viðmótið fyrir handvirka grafgreiningu er innbyggt í allar Group-IB vörur og eykur verulega möguleika á netglæpaveiðum. Þetta er staðfest af umsögnum sérfræðinga frá viðskiptavinum okkar. Og aftur á móti höldum við áfram að auðga línuritið með gögnum og vinnum að nýjum reikniritum með því að nota gervigreind til að búa til nákvæmasta netgrafið.
Heimild: www.habr.com