Nyelidiki kasus sing ana gandhengane karo phishing, botnet, transaksi penipuan lan kelompok peretas kriminal, ahli Group-IB wis pirang-pirang taun nggunakake analisis grafik kanggo ngenali macem-macem jinis sambungan. Kasus sing beda duwe set data dhewe, algoritma dhewe kanggo ngenali sambungan, lan antarmuka sing disesuaikan kanggo tugas tartamtu. Kabeh alat kasebut dikembangake sacara internal dening Group-IB lan mung kasedhiya kanggo karyawan kita.
Analisis grafik infrastruktur jaringan (grafik jaringan) dadi alat internal pisanan sing dibangun ing kabeh produk umum perusahaan. Sadurunge nggawe grafik jaringan, kita nganalisa akeh pangembangan sing padha ing pasar lan ora nemokake produk siji sing nyukupi kabutuhan kita. Ing artikel iki kita bakal pirembagan bab carane nggawe graph jaringan, carane nggunakake lan apa kangelan kita ketemu.
Dmitry Volkov, CTO Group-IB lan kepala intelijen cyber
Apa sing bisa ditindakake dening grafik jaringan Group-IB?
Penyelidikan
Wiwit ngadege Group-IB ing 2003 nganti saiki, ngenali, deanoning lan nggawa penjahat cyber menyang kaadilan wis dadi prioritas utama ing karya kita. Ora ana investigasi cyberattack siji sing rampung tanpa nganalisa infrastruktur jaringan para panyerang. Ing wiwitan lelampahan, iku "karya manual" sing rada angel kanggo nggoleki hubungan sing bisa mbantu ngenali penjahat: informasi babagan jeneng domain, alamat IP, sidik jari digital server, lsp.
Umume panyerang nyoba tumindak kanthi anonim ing jaringan kasebut. Nanging, kaya kabeh wong, dheweke nggawe kesalahan. Tujuan utama analisis kasebut yaiku kanggo nemokake proyek sejarah "putih" utawa "abu-abu" saka panyerang sing duwe persimpangan karo infrastruktur jahat sing digunakake ing kedadeyan saiki sing kita selidiki. Yen bisa ndeteksi "proyek putih", banjur nemokake panyerang, minangka aturan, dadi tugas sing ora pati penting. Ing kasus "abu-abu", telusuran mbutuhake wektu lan gaweyan luwih akeh, amarga pemilike nyoba anonim utawa ndhelikake data registrasi, nanging kemungkinan tetep cukup dhuwur. Minangka aturan, ing wiwitan kegiatan pidana, para panyerang kurang nggatekake safety dhewe lan nggawe luwih akeh kesalahan, saengga luwih jero kita bisa nyilem crita, luwih dhuwur kemungkinan investigasi sing sukses. Pramila grafik jaringan kanthi riwayat sing apik minangka unsur sing penting banget kanggo investigasi kasebut. Cukup, data historis sing luwih jero sing diduweni perusahaan, luwih apik grafik kasebut. Ayo ngomong yen sejarah 5 taun bisa mbantu ngatasi, kanthi kondisional, 1-2 saka 10 kejahatan, lan sejarah 15 taun menehi kesempatan kanggo ngatasi kabeh sepuluh.
Phishing lan Deteksi Penipuan
Saben-saben kita nampa link sing curiga menyang sumber daya phishing, penipuan utawa bajakan, kita kanthi otomatis nggawe grafik sumber daya jaringan sing gegandhengan lan mriksa kabeh host sing ditemokake kanggo konten sing padha. Iki ngidini sampeyan nemokake situs phishing lawas sing aktif nanging ora dingerteni, uga situs anyar sing disiapake kanggo serangan ing mangsa ngarep, nanging durung digunakake. Conto dhasar sing kerep kedadeyan: kita nemokake situs phishing ing server kanthi mung 5 situs. Kanthi mriksa saben wong, kita nemokake konten phishing ing situs liyane, tegese kita bisa mblokir 5 tinimbang 1.
Telusuri backends
Proses iki perlu kanggo nemtokake ngendi server angkoro bener manggon.
99% toko kertu, forum peretas, akeh sumber daya phishing lan server angkoro liyane didhelikake ing mburi server proxy dhewe lan proxy layanan sing sah, contone, Cloudflare. Kawruh babagan backend nyata penting banget kanggo investigasi: panyedhiya hosting saka ngendi server bisa dicekel dadi dikenal, lan dadi bisa kanggo mbangun sambungan karo proyek jahat liyane.
Contone, sampeyan duwe situs phishing kanggo ngumpulake data kertu bank sing mutusakΓ© kanggo alamat IP 11.11.11.11, lan alamat toko kertu sing mutusakΓ© kanggo alamat IP 22.22.22.22. Sajrone analisis, bisa uga situs phishing lan toko kertu duwe alamat IP backend sing umum, contone, 33.33.33.33. Kawruh iki ngidini kita mbangun sambungan antarane serangan phishing lan toko kertu ing ngendi data kertu bank bisa didol.
Korelasi acara
Yen sampeyan duwe loro pemicu beda (kayata ing IDS) karo malware beda lan server beda kanggo ngontrol serangan, sampeyan bakal dianggep minangka loro acara sawijining. Nanging yen ana hubungan apik antarane infrastruktur angkoro, banjur dadi ketok sing iki ora beda serangan, nanging orane tumrap sekolah saka siji, luwih Komplek serangan multi-tataran. Lan yen salah sawijining acara wis ana gandhengane karo klompok penyerang, mula sing nomer loro uga bisa digandhengake karo klompok sing padha. Mesthine, proses atribusi luwih rumit, mula dianggep minangka conto sing prasaja.
Pengayaan indikator
Kita ora bakal menehi perhatian akeh babagan iki, amarga iki minangka skenario sing paling umum kanggo nggunakake grafik ing cybersecurity: sampeyan menehi siji indikator minangka input, lan minangka output sampeyan entuk macem-macem indikator sing gegandhengan.
Ngenali pola
Ngenali pola penting kanggo mburu efektif. Grafik ngidini sampeyan ora mung nemokake unsur sing gegandhengan, nanging uga kanggo ngenali sifat umum sing dadi ciri saka klompok peretas tartamtu. Kawruh babagan karakteristik unik kasebut ngidini sampeyan ngenali prasarana penyerang sanajan ing tahap persiapan lan tanpa bukti sing ngonfirmasi serangan kasebut, kayata email phishing utawa malware.
Napa kita nggawe grafik jaringan dhewe?
Maneh, kita ndeleng solusi saka vendor sing beda-beda sadurunge nggawe kesimpulan yen kita kudu ngembangake alat kita dhewe sing bisa nindakake apa wae sing ora ana produk sing bisa ditindakake. Butuh sawetara taun kanggo nggawe, sajrone kita ngganti kabeh kaping pirang-pirang. Nanging, sanajan wektu pangembangan sing dawa, kita durung nemokake analog siji sing bakal nyukupi kabutuhan kita. Nggunakake produk kita dhewe, pungkasane kita bisa ngrampungake meh kabeh masalah sing ditemokake ing grafik jaringan sing wis ana. Ing ngisor iki kita bakal nimbang masalah kasebut kanthi rinci:
masalah
kaputusan
Kurang panyedhiya kanthi macem-macem koleksi data: domain, DNS pasif, SSL pasif, cathetan DNS, port mbukak, layanan sing mlaku ing port, file sing sesambungan karo jeneng domain lan alamat IP. Panjelasan. Biasane, panyedhiya nyedhiyakake jinis data sing kapisah, lan kanggo entuk gambar lengkap, sampeyan kudu tuku langganan saka kabeh wong. Sanajan mangkono, ora mesthi bisa entuk kabeh data: sawetara panyedhiya SSL pasif nyedhiyakake data mung babagan sertifikat sing ditanggepi dening CA sing dipercaya, lan jangkoan sertifikat sing ditandatangani dhewe banget. Liyane uga nyedhiyakake data nggunakake sertifikat sing ditandatangani dhewe, nanging ngumpulake mung saka port standar.
Kita ngumpulake kabeh koleksi ing ndhuwur dhewe. Contone, kanggo ngumpulake data babagan sertifikat SSL, kita nulis layanan kita dhewe sing ngumpulake loro-lorone saka CA sing dipercaya lan kanthi mindhai kabeh ruang IPv4. Sertifikat diklumpukake ora mung saka IP, nanging uga saka kabeh domain lan subdomain saka database kita: yen sampeyan duwe domain conto.com lan subdomain. lan kabeh mau mutusake kanggo IP 1.1.1.1, banjur nalika sampeyan nyoba entuk sertifikat SSL saka port 443 ing IP, domain lan subdomain, sampeyan bisa entuk telung asil sing beda. Kanggo ngumpulake data ing port sing mbukak lan layanan sing mlaku, kita kudu nggawe sistem pemindaian sing disebarake dhewe, amarga layanan liyane asring duwe alamat IP saka server pemindaian ing "dhaptar ireng." Server pemindaian kita uga ana ing daftar ireng, nanging asil ndeteksi layanan sing kita butuhake luwih dhuwur tinimbang sing mung mindhai port sabisa lan adol akses menyang data iki.
Lack akses kanggo kabeh database cathetan sajarah. Panjelasan. Saben supplier normal duwe sejarah akumulasi sing apik, nanging amarga alasan alami, kita, minangka klien, ora bisa ngakses kabeh data sejarah. Sing. Sampeyan bisa entuk kabeh riwayat kanggo rekaman siji, contone, kanthi domain utawa alamat IP, nanging sampeyan ora bisa ndeleng riwayat kabeh - lan tanpa iki sampeyan ora bisa ndeleng gambar lengkap.
Kanggo ngumpulake minangka akeh cathetan sajarah ing domain sabisa, kita tuku macem-macem database, parsed akeh mbukak sumber sing wis sajarah iki (iku apik sing ana akeh), lan rembugan karo registrar jeneng domain. Kabeh nganyari koleksi kita mesthi disimpen kanthi riwayat revisi lengkap.
Kabeh solusi sing ana ngidini sampeyan nggawe grafik kanthi manual. Panjelasan. Contone, sampeyan tuku akeh langganan saka kabeh panyedhiya data (biasane disebut "enrichers"). Nalika sampeyan kudu mbangun grafik, sampeyan "tangan" menehi printah kanggo mbangun saka unsur sambungan sing dikarepake, banjur pilih sing perlu saka unsur sing katon lan menehi printah kanggo ngrampungake sambungan saka wong-wong mau, lan ing. Ing kasus iki, tanggung jawab kanggo carane grafik bakal dibangun tanggung jawab kanggo wong.
Kita nggawe konstruksi grafik kanthi otomatis. Sing. yen sampeyan kudu mbangun grafik, banjur sambungan saka unsur pisanan dibangun kanthi otomatis, banjur saka kabeh sakteruse, banget. Spesialis mung nuduhake ambane ing ngendi grafik kudu dibangun. Proses kanthi otomatis ngrampungake grafik prasaja, nanging vendor liyane ora ngleksanakake amarga ngasilake asil sing ora cocog, lan kita uga kudu nganggep kekurangan kasebut (ndeleng ngisor).
Akeh asil sing ora cocog minangka masalah karo kabeh grafik unsur jaringan. Panjelasan. Contone, "domain ala" (melu serangan) digandhengake karo server sing nduweni 10 domain liyane sing digandhengake sajrone 500 taun kepungkur. Nalika nambah utawa nggawe grafik kanthi manual, kabeh 500 domain kasebut uga kudu katon ing grafik kasebut, sanajan ora ana hubungane karo serangan kasebut. Utawa, contone, sampeyan mriksa indikator IP saka laporan keamanan vendor. Biasane, laporan kasebut dirilis kanthi wektu tundha sing signifikan lan asring nganti setahun utawa luwih. Paling kamungkinan, nalika sampeyan maca laporan, server kanthi alamat IP iki wis disewakake menyang wong liya sing duwe sambungan liyane, lan nggawe grafik maneh bakal ngasilake asil sing ora relevan.
Kita nglatih sistem kasebut kanggo ngenali unsur sing ora relevan nggunakake logika sing padha karo para ahli kanthi manual. Contone, sampeyan mriksa domain ala example.com, sing saiki mutusake menyang IP 11.11.11.11, lan sasi kepungkur - menyang IP 22.22.22.22. Saliyane domain example.com, IP 11.11.11.11 uga digandhengake karo example.ru, lan IP 22.22.22.22 digandhengake karo 25 ewu domain liyane. Sistem kasebut, kaya wong, ngerti yen 11.11.11.11 paling mungkin minangka server darmabakti, lan amarga domain example.ru padha karo ejaan conto.com, mula, kanthi kemungkinan gedhe, dheweke disambungake lan kudu ana ing grafik; nanging IP 22.22.22.22 kalebu hosting sing dienggo bareng, mula kabeh domain kasebut ora perlu dilebokake ing grafik kajaba ana sambungan liyane sing nuduhake yen salah siji saka 25 ewu domain kasebut uga kudu dilebokake (contone, contone. net) . Sadurunge sistem mangertos yen sambungan kudu rusak lan sawetara unsur ora dipindhah menyang graph, iku njupuk menyang akun akeh sifat saka unsur lan kluster menyang unsur iki digabungake, uga kekuatan sambungan saiki. Contone, yen kita duwe kluster cilik (50 unsur) ing grafik, sing kalebu domain ala, lan kluster gedhe liyane (5 ewu unsur) lan loro kluster disambungake kanthi sambungan (garis) kanthi kekuatan (bobot) sing sithik banget. , banjur sambungan kuwi bakal rusak lan unsur saka kluster gedhe bakal dibusak. Nanging yen ana akeh sambungan antarane klompok cilik lan gedhe lan kekuatan sing mboko sithik mundhak, banjur ing kasus iki sambungan ora bakal bejat lan unsur perlu saka loro klompok bakal tetep ing grafik.
Interval kepemilikan server lan domain ora dianggep. Panjelasan. "Domain ala" cepet utawa mengko bakal kadaluwarsa lan dituku maneh kanggo tujuan ala utawa sah. Malah server hosting sing anti peluru disewakake kanggo peretas sing beda-beda, mula penting kanggo ngerti lan nggatekake interval nalika domain / server tartamtu ana ing kontrol siji pemilik. Kita asring nemoni kahanan nalika server kanthi IP 11.11.11.11 saiki digunakake minangka C&C kanggo bot perbankan, lan 2 wulan kepungkur dikontrol dening Ransomware. Yen kita mbangun sambungan tanpa njupuk interval kepemilikan akun, bakal katon kaya ana sambungan antarane pamilik botnet perbankan lan ransomware, sanajan nyatane ora ana. Ing karya kita, kesalahan kuwi kritis.
Kita mulang sistem kanggo nemtokake interval kepemilikan. Kanggo domain iki relatif prasaja, amarga whois asring ngemot tanggal wiwitan lan kadaluwarsa lan, nalika ana riwayat lengkap babagan owah-owahan whois, gampang nemtokake interval. Nalika registrasi domain durung kadaluwarsa, nanging manajemen wis ditransfer menyang pemilik liyane, domain kasebut uga bisa dilacak. Ora ana masalah kanggo sertifikat SSL, amarga ditanggepi sapisan lan ora dianyari utawa ditransfer. Nanging kanthi sertifikat sing ditandatangani dhewe, sampeyan ora bisa dipercaya tanggal sing ditemtokake ing periode validitas sertifikat kasebut, amarga sampeyan bisa ngasilake sertifikat SSL dina iki, lan nemtokake tanggal wiwitan sertifikat wiwit 2010. Sing paling angel yaiku nemtokake interval kepemilikan kanggo server, amarga mung panyedhiya hosting sing duwe tanggal lan periode sewa. Kanggo nemtokake wektu kepemilikan server, kita wiwit nggunakake asil scan port lan nggawe sidik jari saka layanan sing mlaku ing port. Nggunakake informasi iki, kita bisa ngomong kanthi akurat nalika pemilik server diganti.
Sawetara sambungan. Panjelasan. Saiki, ora dadi masalah kanggo entuk dhaptar domain gratis sing ngemot alamat email tartamtu, utawa nemokake kabeh domain sing ana gandhengane karo alamat IP tartamtu. Nanging nalika nerangake peretas sing nindakake sing paling apik supaya angel dilacak, kita butuh trik tambahan kanggo nemokake properti anyar lan mbangun sambungan anyar.
Kita ngginakaken akeh wektu kanggo riset carane kita bisa extract data sing ora kasedhiya ing cara conventional. Kita ora bisa njlèntrèhaké ing kene cara kerjane kanthi alasan sing jelas, nanging ing kahanan tartamtu, peretas, nalika ndhaptar domain utawa nyewa lan nyetel server, nggawe kesalahan sing ngidini dheweke nemokake alamat email, alias hacker, lan alamat backend. Luwih akeh sambungan sing diekstrak, luwih akurat grafik sing bisa digawe.
Cara kerja grafik kita
Kanggo miwiti nggunakake grafik jaringan, sampeyan kudu ngetik domain, alamat IP, email, utawa sidik jari sertifikat SSL menyang bar telusuran. Ana telung kondisi sing bisa dikontrol dening analis: wektu, ambane langkah, lan ngresiki.
ΠΡΠ΅ΠΌΡ
Wektu - tanggal utawa interval nalika unsur sing digoleki digunakake kanggo tujuan ala. Yen sampeyan ora nemtokake parameter iki, sistem dhewe bakal nemtokake interval kepemilikan pungkasan kanggo sumber iki. Contone, ing 11 Juli, Eset diterbitake babagan carane Buhtrap nggunakake eksploitasi 0 dina kanggo spionase cyber. Ana 6 indikator ing pungkasan laporan. Salah sijine, secure-telemetry[.]net, didaftar maneh tanggal 16 Juli. Mulane, yen sampeyan nggawe grafik sawise 16 Juli, sampeyan bakal entuk asil sing ora relevan. Nanging yen sampeyan nuduhake yen domain iki digunakake sadurunge tanggal iki, grafik kasebut kalebu 126 domain anyar, 69 alamat IP sing ora kadhaptar ing laporan Eset:
- ukrfreshnews[.]com
- unian-search [.]com
- vesti-world[.]info
- runewsmeta[.]com
- foxnewsmeta [.]biz
- sobesednik-meta[.]info
- rian-ua [.]net
- lan liyane.
Saliyane indikator jaringan, kita langsung nemokake sambungan karo file jahat sing ana hubungane karo infrastruktur iki lan tag sing ngandhani yen Meterpreter lan AZORult digunakake.
Sing paling apik yaiku sampeyan entuk asil iki sajrone sedetik lan sampeyan ora perlu ngenteni dina kanggo nganalisa data. Mesthi, pendekatan iki kadhangkala nyuda wektu kanggo investigasi, sing asring kritis.
Jumlah langkah utawa ambane rekursi sing bakal digawe grafik
Kanthi gawan, ambane 3. Iki tegese kabeh unsur sing gegandhengan langsung bakal ditemokake saka unsur sing dikarepake, banjur sambungan anyar bakal dibangun saka saben unsur anyar menyang unsur liyane, lan unsur anyar bakal digawe saka unsur anyar saka pungkasan. langkah.
Coba conto sing ora ana gandhengane karo APT lan eksploitasi 0 dina. Bubar, kasus penipuan sing menarik sing ana hubungane karo cryptocurrencies diterangake ing HabrΓ©. Laporan kasebut nyebutake domain themcx[.]co, digunakake dening scammers kanggo tuan rumah situs web sing purports dadi Miner Coin Exchange lan telpon-lookup [.]xyz kanggo narik kawigaten lalu lintas.
Cetha saka katrangan manawa skema kasebut mbutuhake infrastruktur sing cukup gedhe kanggo narik lalu lintas menyang sumber daya penipuan. Kita mutusake kanggo ndeleng infrastruktur iki kanthi mbangun grafik ing 4 langkah. Output yaiku grafik kanthi 230 domain lan 39 alamat IP. Sabanjure, kita dibagi domain dadi 2 kategori: sing padha karo layanan kanggo nggarap cryptocurrencies lan sing dimaksudake kanggo ngarahake lalu lintas liwat layanan verifikasi telpon:
Gegandhengan karo cryptocurrency
Digandhengake karo layanan punching telpon
dhuwit recehan [.]cc
panelpon-rekaman [.]situs.
mcxwallet[.]co
telpon-rekaman [.]ruang
btcnoise[.]com
fone-mbukak [.]xyz
cryptominer [.] nonton
nomer-nemokake [.]info
Reresik
Kanthi gawan, opsi "Graph Cleanup" diaktifake lan kabeh unsur sing ora cocog bakal dibusak saka grafik. Miturut cara, iki digunakake ing kabeh conto sadurunge. Aku ngarep-arep pitakonan alami: kepiye kita bisa mesthekake yen ana sing penting ora dibusak? Aku bakal mangsuli: kanggo analis sing seneng nggawe grafik kanthi tangan, reresik otomatis bisa dipateni lan jumlah langkah bisa dipilih = 1. Sabanjure, analis bakal bisa ngrampungake grafik saka unsur sing dibutuhake lan mbusak unsur saka grafik sing ora cocog karo tugas.
Wis ana ing grafik, riwayat owah-owahan ing whois, DNS, uga port lan layanan sing mbukak kasedhiya kanggo analis.
phishing finansial
Kita nyelidiki aktivitas siji grup APT, sing wis pirang-pirang taun nindakake serangan phishing marang klien saka macem-macem bank ing macem-macem wilayah. Fitur khas grup iki yaiku registrasi domain sing meh padha karo jeneng bank nyata, lan umume situs phishing duwe desain sing padha, mung bedane ing jeneng bank lan logo.
Ing kasus iki, analisis grafik otomatis mbantu kita akeh. Njupuk salah sawijining domain - lloydsbnk-uk[.]com, ing sawetara detik kita nggawe grafik kanthi ambane 3 langkah, sing ngenali luwih saka 250 domain angkoro sing wis digunakake dening grup iki wiwit 2015 lan terus digunakake. . Sawetara domain iki wis dituku dening bank-bank, nanging cathetan sajarah nuduhake yen padha sadurunge kedhaftar kanggo panyerang.
Kanggo gamblang, tokoh nuduhake grafik kanthi ambane 2 langkah.
Wigati dicathet yen ing taun 2019, para panyerang wis ngganti taktik lan wiwit ndhaptar ora mung domain bank kanggo hosting web phishing, nanging uga domain saka macem-macem perusahaan konsultasi kanggo ngirim email phishing. Contone, domain swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com.
Geng kobalt
Ing Desember 2018, klompok peretas Cobalt, khusus ing serangan sing ditargetake ing bank-bank, ngirim kampanye mailing atas jenenge Bank Nasional Kazakhstan.
Huruf kasebut ana pranala menyang hXXps://nationalbank.bz/Doc/Prikaz.doc. Dokumen sing diundhuh ngemot makro sing ngluncurake Powershell, sing bakal nyoba mbukak lan nglakokake file saka hXXp://wateroilclub.com/file/dwm.exe ing %Temp%einmrmdmy.exe. Berkas %Temp%einmrmdmy.exe aka dwm.exe minangka stager CobInt sing dikonfigurasi kanggo sesambungan karo server hXXp://admvmsopp.com/rilruietguadvtoefmuy.
Mbayangno ora bisa nampa email phishing iki lan nindakake analisis lengkap file angkoro. Grafik kanggo domain angkoro nationalbank[.]bz langsung nuduhake sambungan karo domain angkoro liyane, atribut menyang grup lan nuduhake file sing digunakake ing serangan.
Ayo njupuk alamat IP 46.173.219 [.] 152 saka grafik iki lan mbangun grafik saka ing siji pass lan mateni reresik. Ana 40 domain sing digandhengake karo, contone, bl0ckchain [.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com
Miturut jeneng domain, misale jek digunakake ing skema penipuan, nanging algoritma reresik nyadari yen ora ana hubungane karo serangan iki lan ora dilebokake ing grafik, sing ndadekake proses analisis lan atribusi banget.
Yen sampeyan mbangun maneh graph nggunakake bank nasional [.] bz, nanging mateni algoritma reresik graph, banjur bakal ngemot luwih saka 500 unsur, paling kang ora ana hubungane karo klompok Cobalt utawa serangan sing. Conto kaya apa grafik kasebut diwenehi ing ngisor iki:
kesimpulan
Sawise pirang-pirang taun nggoleki, nguji investigasi nyata, riset ancaman lan mburu penyerang, kita ora mung bisa nggawe alat sing unik, nanging uga ngganti sikap para ahli ing perusahaan kasebut. Kaping pisanan, ahli teknis pengin kontrol lengkap babagan proses konstruksi grafik. Ngyakinake dheweke yen konstruksi grafik otomatis bisa nindakake iki luwih apik tinimbang wong sing duwe pengalaman pirang-pirang taun pancen angel banget. Kabeh diputusake kanthi wektu lan pirang-pirang "manual" mriksa asil saka grafik sing diasilake. Saiki para ahli kita ora mung ngandelake sistem kasebut, nanging uga nggunakake asil sing dipikolehi ing karya saben dinane. Teknologi iki bisa digunakake ing saben sistem lan ngidini kita ngenali ancaman apa wae. Antarmuka kanggo analisis grafik manual dibangun ing kabeh produk Group-IB lan kanthi signifikan ngembangake kemampuan kanggo mburu kejahatan cyber. Iki dikonfirmasi dening review analis saka klien kita. Lan kita, sabanjure, terus nambah grafik kanthi data lan nggarap algoritma anyar nggunakake intelijen buatan kanggo nggawe grafik jaringan sing paling akurat.
Source: www.habr.com