Experts van Group-IB onderzoeken gevallen gerelateerd aan phishing, botnets, frauduleuze transacties en criminele hackergroepen en gebruiken al jaren grafiekanalyse om verschillende soorten verbindingen te identificeren. Verschillende cases hebben hun eigen datasets, hun eigen algoritmen voor het identificeren van verbindingen en interfaces die zijn afgestemd op specifieke taken. Al deze tools zijn intern ontwikkeld door Group-IB en waren alleen beschikbaar voor onze medewerkers.
Grafiekanalyse van netwerkinfrastructuur (netwerk grafiek) werd de eerste interne tool die we in alle publieke producten van het bedrijf inbouwden. Voordat we onze netwerkgrafiek maakten, hebben we veel vergelijkbare ontwikkelingen op de markt geanalyseerd en hebben we geen enkel product gevonden dat aan onze eigen behoeften voldeed. In dit artikel zullen we praten over hoe we de netwerkgrafiek hebben gemaakt, hoe we deze gebruiken en welke problemen we tegenkwamen.
Dmitri Volkov, CTO Group-IB en hoofd cyberintelligentie
Wat kan de Group-IB-netwerkgrafiek doen?
onderzoeken
Sinds de oprichting van Group-IB in 2003 tot op de dag van vandaag is het identificeren, decanoneren en voor de rechter brengen van cybercriminelen een topprioriteit in ons werk. Geen enkel cyberaanvalonderzoek was compleet zonder analyse van de netwerkinfrastructuur van de aanvallers. Helemaal aan het begin van onze reis was het een nogal moeizaam ‘handwerk’ om relaties te zoeken die konden helpen bij het identificeren van criminelen: informatie over domeinnamen, IP-adressen, digitale vingerafdrukken van servers, enz.
De meeste aanvallers proberen zo anoniem mogelijk op het netwerk te handelen. Maar net als alle mensen maken ze fouten. Het belangrijkste doel van een dergelijke analyse is het vinden van ‘witte’ of ‘grijze’ historische projecten van aanvallers die kruispunten hebben met de kwaadaardige infrastructuur die wordt gebruikt bij het huidige incident dat we onderzoeken. Als het mogelijk is om “witte projecten” te detecteren, wordt het vinden van de aanvaller in de regel een triviale taak. In het geval van ‘grijze’ kost het zoeken meer tijd en moeite, omdat hun eigenaren registratiegegevens proberen te anonimiseren of verbergen, maar de kans blijft vrij hoog. In de regel besteden aanvallers aan het begin van hun criminele activiteiten minder aandacht aan hun eigen veiligheid en maken ze meer fouten, dus hoe dieper we in het verhaal kunnen duiken, hoe groter de kans op een succesvol onderzoek. Daarom is een netwerkgrafiek met een goede historie een uiterst belangrijk onderdeel van een dergelijk onderzoek. Simpel gezegd: hoe dieper de historische gegevens van een bedrijf, hoe beter de grafiek. Laten we zeggen dat een geschiedenis van vijf jaar voorwaardelijk kan helpen bij het oplossen van 5 tot 1 van de 2 misdaden, en dat een geschiedenis van 10 jaar de kans biedt om ze alle tien op te lossen.
Phishing- en fraudedetectie
Elke keer dat we een verdachte link ontvangen naar een phishing-, frauduleuze of illegale bron, maken we automatisch een grafiek van gerelateerde netwerkbronnen en controleren we alle gevonden hosts op vergelijkbare inhoud. Hiermee kun je zowel oude phishingsites vinden die actief maar onbekend waren, als compleet nieuwe die voorbereid zijn op toekomstige aanvallen, maar nog niet worden gebruikt. Een elementair voorbeeld dat nogal eens voorkomt: we vonden een phishingsite op een server met slechts 5 sites. Door ze allemaal te controleren, vinden we phishing-inhoud op andere sites, wat betekent dat we er 5 kunnen blokkeren in plaats van 1.
Zoek naar backends
Dit proces is nodig om te bepalen waar de kwaadaardige server zich daadwerkelijk bevindt.
99% van de kaartwinkels, hackerforums, veel phishing-bronnen en andere kwaadaardige servers zijn verborgen achter zowel hun eigen proxyservers als proxy's van legitieme diensten, bijvoorbeeld Cloudflare. Kennis over de echte backend is van groot belang voor onderzoeken: de hostingprovider waarvan de server in beslag kan worden genomen wordt bekend, en het wordt mogelijk om verbindingen te leggen met andere kwaadaardige projecten.
U hebt bijvoorbeeld een phishing-site voor het verzamelen van bankkaartgegevens die worden omgezet in het IP-adres 11.11.11.11, en een kaartwinkeladres dat wordt omgezet in het IP-adres 22.22.22.22. Tijdens de analyse kan blijken dat zowel de phishingsite als de kaartenwinkel een gemeenschappelijk backend IP-adres hebben, bijvoorbeeld 33.33.33.33. Met deze kennis kunnen we een verband leggen tussen phishing-aanvallen en een kaartenwinkel waar bankkaartgegevens kunnen worden verkocht.
Correlatie van gebeurtenissen
Als je twee verschillende triggers hebt (laten we zeggen op een IDS) met verschillende malware en verschillende servers om de aanval te controleren, behandel je ze als twee onafhankelijke gebeurtenissen. Maar als er een goede verbinding is tussen kwaadaardige infrastructuren, wordt het duidelijk dat dit geen verschillende aanvallen zijn, maar stadia van één, complexere, meerfasige aanval. En als een van de gebeurtenissen al aan een groep aanvallers wordt toegeschreven, kan de tweede ook aan dezelfde groep worden toegeschreven. Het attributieproces is uiteraard veel complexer, dus beschouw dit als een eenvoudig voorbeeld.
Indicatorverrijking
We zullen hier niet veel aandacht aan besteden, omdat dit het meest voorkomende scenario is voor het gebruik van grafieken in cybersecurity: je geeft één indicator als input, en als output krijg je een reeks gerelateerde indicatoren.
Patronen identificeren
Het identificeren van patronen is essentieel voor een effectieve jacht. Met grafieken kunt u niet alleen gerelateerde elementen vinden, maar ook gemeenschappelijke eigenschappen identificeren die kenmerkend zijn voor een bepaalde groep hackers. Kennis van dergelijke unieke kenmerken stelt u in staat de infrastructuur van de aanvaller te herkennen, zelfs in de voorbereidingsfase en zonder bewijs dat de aanval bevestigt, zoals phishing-e-mails of malware.
Waarom hebben we onze eigen netwerkgrafiek gemaakt?
Opnieuw keken we naar oplossingen van verschillende leveranciers voordat we tot de conclusie kwamen dat we onze eigen tool moesten ontwikkelen die iets kon doen wat geen enkel bestaand product kon doen. Het duurde een aantal jaren om het te maken, waarin we het verschillende keren volledig hebben veranderd. Maar ondanks de lange ontwikkelingsperiode hebben we nog geen enkele analoog gevonden die aan onze eisen zou voldoen. Met ons eigen product konden we uiteindelijk bijna alle problemen oplossen die we ontdekten in bestaande netwerkgrafieken. Hieronder zullen we deze problemen in detail bekijken:
probleem
beslissing
Gebrek aan een provider met verschillende gegevensverzamelingen: domeinen, passieve DNS, passieve SSL, DNS-records, open poorten, draaiende services op poorten, bestanden die interactie hebben met domeinnamen en IP-adressen. Uitleg. Meestal bieden providers afzonderlijke soorten gegevens aan, en om een volledig beeld te krijgen, moet u van iedereen abonnementen kopen. Toch is het niet altijd mogelijk om alle gegevens te verkrijgen: sommige passieve SSL-providers verstrekken alleen gegevens over certificaten die zijn uitgegeven door vertrouwde CA's, en hun dekking van zelfondertekende certificaten is uiterst slecht. Anderen leveren ook gegevens met behulp van zelfondertekende certificaten, maar verzamelen deze alleen via standaardpoorten.
Alle bovenstaande collecties hebben wij zelf verzameld. Om bijvoorbeeld gegevens over SSL-certificaten te verzamelen, hebben we onze eigen service geschreven die deze verzamelt bij zowel vertrouwde CA's als door de volledige IPv4-ruimte te scannen. Er zijn niet alleen certificaten verzameld van IP, maar ook van alle domeinen en subdomeinen uit onze database: als u het domein example.com en zijn subdomein heeft en ze lossen allemaal op naar IP 1.1.1.1. Als u vervolgens een SSL-certificaat probeert te verkrijgen van poort 443 op een IP, domein en zijn subdomein, kunt u drie verschillende resultaten krijgen. Om gegevens te verzamelen over open poorten en actieve services, moesten we ons eigen gedistribueerde scansysteem creëren, omdat andere services de IP-adressen van hun scanservers vaak op ‘zwarte lijsten’ hadden staan. Onze scanservers komen ook op zwarte lijsten terecht, maar het resultaat van het detecteren van de diensten die we nodig hebben is hoger dan dat van degenen die simpelweg zoveel mogelijk poorten scannen en toegang tot deze gegevens verkopen.
Gebrek aan toegang tot de gehele database met historische gegevens. Uitleg. Iedere normale leverancier heeft een goede opgebouwde historie, maar om natuurlijke redenen konden wij als opdrachtgever niet over alle historische gegevens beschikken. Die. Je kunt de volledige geschiedenis van één record krijgen, bijvoorbeeld per domein of IP-adres, maar je kunt niet de geschiedenis van alles zien - en zonder dit kun je het volledige plaatje niet zien.
Om zoveel mogelijk historische gegevens over domeinen te verzamelen, hebben we verschillende databases gekocht, veel open bronnen met deze geschiedenis ontleed (het is goed dat er veel van waren) en onderhandeld met domeinnaamregistreerders. Alle updates van onze eigen collecties worden uiteraard bijgehouden met een volledige revisiegeschiedenis.
Met alle bestaande oplossingen kunt u handmatig een grafiek opbouwen. Uitleg. Stel dat u een groot aantal abonnementen heeft gekocht bij alle mogelijke dataproviders (meestal 'verrijkers' genoemd). Wanneer u een grafiek moet bouwen, geeft u met uw “handen” de opdracht om te bouwen op basis van het gewenste verbindingselement, selecteert u vervolgens de benodigde uit de elementen die verschijnen en geeft u de opdracht om de verbindingen daaruit te voltooien, enzovoort. In dit geval ligt de verantwoordelijkheid voor hoe goed de grafiek wordt opgebouwd volledig bij de persoon.
We hebben automatische constructie van grafieken gemaakt. Die. als je een grafiek moet bouwen, worden er automatisch verbindingen gemaakt vanaf het eerste element, en vervolgens ook vanaf alle daaropvolgende elementen. De specialist geeft alleen de diepte aan waarop de grafiek gebouwd moet worden. Het proces van het automatisch invullen van grafieken is eenvoudig, maar andere leveranciers implementeren het niet omdat het een groot aantal irrelevante resultaten oplevert, en we moesten ook rekening houden met dit nadeel (zie hieronder).
Veel irrelevante resultaten vormen een probleem met alle netwerkelementgrafieken. Uitleg. Een ‘slecht domein’ (deelgenomen aan een aanval) wordt bijvoorbeeld gekoppeld aan een server waaraan in de afgelopen tien jaar 10 andere domeinen zijn gekoppeld. Bij het handmatig toevoegen of automatisch construeren van een grafiek zouden al deze 500 domeinen ook in de grafiek moeten verschijnen, hoewel ze geen verband houden met de aanval. Of u controleert bijvoorbeeld de IP-indicator uit het beveiligingsrapport van de leverancier. Dergelijke rapporten worden doorgaans met aanzienlijke vertraging vrijgegeven en bestrijken vaak een jaar of langer. Hoogstwaarschijnlijk is de server met dit IP-adres op het moment dat u het rapport leest al verhuurd aan andere mensen met andere verbindingen, en het maken van een grafiek zal er opnieuw toe leiden dat u irrelevante resultaten krijgt.
We hebben het systeem getraind om irrelevante elementen te identificeren met behulp van dezelfde logica als onze experts handmatig deden. U controleert bijvoorbeeld een slecht domein example.com, dat nu wordt omgezet naar IP 11.11.11.11, en een maand geleden - naar IP 22.22.22.22. Naast het domein example.com is IP 11.11.11.11 ook geassocieerd met example.ru, en IP 22.22.22.22 is geassocieerd met 25 andere domeinen. Het systeem begrijpt, net als een persoon, dat 11.11.11.11 hoogstwaarschijnlijk een speciale server is, en aangezien het example.ru-domein qua spelling vergelijkbaar is met example.com, zijn ze met grote waarschijnlijkheid verbonden en zouden ze op de grafiek; maar IP 22.22.22.22 behoort tot gedeelde hosting, dus al zijn domeinen hoeven niet in de grafiek te worden opgenomen, tenzij er andere verbindingen zijn die aantonen dat een van deze 25 domeinen ook moet worden opgenomen (bijvoorbeeld example.net) . Voordat het systeem begrijpt dat verbindingen moeten worden verbroken en dat sommige elementen niet naar de grafiek moeten worden verplaatst, houdt het rekening met veel eigenschappen van de elementen en clusters waarin deze elementen worden gecombineerd, evenals met de sterkte van de huidige verbindingen. Als we bijvoorbeeld een klein cluster (50 elementen) in de grafiek hebben, dat een slecht domein bevat, en een ander groot cluster (5 elementen) en beide clusters zijn verbonden door een verbinding (lijn) met een zeer lage sterkte (gewicht) , dan wordt zo’n verbinding verbroken en worden elementen uit het grote cluster verwijderd. Maar als er veel verbindingen zijn tussen kleine en grote clusters en hun kracht geleidelijk toeneemt, dan wordt in dit geval de verbinding niet verbroken en blijven de benodigde elementen uit beide clusters in de grafiek staan.
Er wordt geen rekening gehouden met het server- en domeineigendomsinterval. Uitleg. “Slechte domeinen” zullen vroeg of laat verlopen en opnieuw worden aangeschaft voor kwaadaardige of legitieme doeleinden. Zelfs kogelvrije hostingservers worden verhuurd aan verschillende hackers, dus het is van cruciaal belang om te weten en rekening te houden met het interval waarop een bepaald domein/server onder controle was van één eigenaar. We komen vaak een situatie tegen waarin een server met IP 11.11.11.11 nu wordt gebruikt als C&C voor een bankbot, en 2 maanden geleden werd deze gecontroleerd door Ransomware. Als we een verbinding tot stand brengen zonder rekening te houden met eigendomsintervallen, zal het lijken alsof er een verband bestaat tussen de eigenaren van het bankbotnet en de ransomware, terwijl dat in werkelijkheid niet het geval is. In ons werk is een dergelijke fout van cruciaal belang.
We hebben het systeem geleerd om eigendomsintervallen te bepalen. Voor domeinen is dit relatief eenvoudig, omdat whois vaak start- en vervaldata van registratie bevat en, wanneer er een volledige geschiedenis van whois-wijzigingen is, de intervallen eenvoudig te bepalen zijn. Wanneer de registratie van een domein niet is verlopen, maar het beheer ervan is overgedragen aan andere eigenaren, kan dit ook worden gevolgd. Bij SSL-certificaten bestaat dit probleem niet, omdat deze eenmalig worden uitgegeven en niet worden verlengd of overgedragen. Maar met zelfondertekende certificaten kunt u de data die zijn opgegeven in de geldigheidsperiode van het certificaat niet vertrouwen, omdat u vandaag nog een SSL-certificaat kunt genereren en de startdatum van het certificaat vanaf 2010 kunt opgeven. Het moeilijkste is om de eigendomsintervallen voor servers te bepalen, omdat alleen hostingproviders data en huurperiodes hebben. Om de eigendomsperiode van de server te bepalen, begonnen we de resultaten van poortscans te gebruiken en vingerafdrukken te maken van actieve services op poorten. Met behulp van deze informatie kunnen we vrij nauwkeurig zeggen wanneer de eigenaar van de server is gewijzigd.
Weinig verbindingen. Uitleg. Tegenwoordig is het niet eens een probleem om een gratis lijst te krijgen van domeinen waarvan de whois een specifiek e-mailadres bevat, of om alle domeinen te achterhalen die aan een specifiek IP-adres zijn gekoppeld. Maar als het om hackers gaat die hun best doen om moeilijk te traceren te zijn, hebben we extra trucjes nodig om nieuwe eigenschappen te vinden en nieuwe verbindingen op te bouwen.
We hebben veel tijd besteed aan het onderzoeken hoe we gegevens konden extraheren die niet op een conventionele manier beschikbaar waren. We kunnen hier om voor de hand liggende redenen niet beschrijven hoe het werkt, maar onder bepaalde omstandigheden maken hackers bij het registreren van domeinen of het huren en opzetten van servers fouten waardoor ze e-mailadressen, hackeraliassen en backend-adressen kunnen achterhalen. Hoe meer verbindingen u extraheert, hoe nauwkeuriger grafieken u kunt maken.
Hoe onze grafiek werkt
Om de netwerkgrafiek te gaan gebruiken, moet u het domein, het IP-adres, het e-mailadres of de SSL-certificaatvingerafdruk in de zoekbalk invoeren. Er zijn drie omstandigheden die de analist kan controleren: tijd, stapdiepte en clearing.
tijd
Tijd – datum of interval waarop het gezochte element voor kwaadaardige doeleinden werd gebruikt. Als u deze parameter niet opgeeft, bepaalt het systeem zelf het laatste eigendomsinterval voor deze bron. Op 11 juli publiceerde Eset bijvoorbeeld over hoe Buhtrap de 0-day exploit gebruikt voor cyberspionage. Aan het einde van het rapport staan zes indicatoren. Eén daarvan, secure-telemetry[.]net, werd op 6 juli opnieuw geregistreerd. Als u na 16 juli een grafiek maakt, krijgt u dus irrelevante resultaten. Maar als u aangeeft dat dit domein vóór deze datum werd gebruikt, bevat de grafiek 16 nieuwe domeinen, 126 IP-adressen die niet in het Eset-rapport staan:
- ukrfreshnews[.]com
- unian-search[.]com
- vesti-wereld[.]info
- runewsmeta[.]com
- foxnewsmeta[.]biz
- sobesednik-meta[.]info
- rian-ua[.]net
- и др.
Naast netwerkindicatoren vinden we meteen verbindingen met kwaadaardige bestanden die verbindingen hadden met deze infrastructuur en tags die ons vertellen dat Meterpreter en AZORult zijn gebruikt.
Het mooie is dat je binnen één seconde dit resultaat hebt en je geen dagen meer hoeft te besteden aan het analyseren van de data. Uiteraard verkort deze aanpak soms aanzienlijk de tijd voor onderzoeken, wat vaak van cruciaal belang is.
Het aantal stappen of recursiediepte waarmee de grafiek wordt opgebouwd
Standaard is de diepte 3. Dit betekent dat alle direct gerelateerde elementen worden gevonden vanuit het gewenste element, vervolgens worden er nieuwe verbindingen opgebouwd van elk nieuw element naar andere elementen, en worden er nieuwe elementen gemaakt op basis van de nieuwe elementen uit het vorige element. stap.
Laten we een voorbeeld nemen dat geen verband houdt met APT en 0-day exploits. Onlangs werd op Habré een interessant geval van fraude met betrekking tot cryptocurrencies beschreven. Het rapport vermeldt het domein themcx[.]co, dat door oplichters wordt gebruikt om een site te hosten die zich voordoet als een Miner Coin Exchange en telefoonopzoek[.]xyz om verkeer aan te trekken.
Uit de beschrijving blijkt duidelijk dat de regeling een vrij grote infrastructuur vereist om verkeer naar frauduleuze bronnen te lokken. We besloten om naar deze infrastructuur te kijken door in 4 stappen een grafiek te bouwen. De uitvoer was een grafiek met 230 domeinen en 39 IP-adressen. Vervolgens verdelen we domeinen in 2 categorieën: domeinen die vergelijkbaar zijn met diensten voor het werken met cryptocurrencies en domeinen die bedoeld zijn om verkeer via telefoonverificatiediensten te leiden:
Gerelateerd aan cryptocurrency
Geassocieerd met telefoonponsdiensten
munthouder[.]cc
beller-record[.]site.
mcxwallet[.]co
telefoongegevens[.]ruimte
btcnoise[.]com
fone-uncover[.]xyz
cryptominer[.]kijken
nummer-uncover[.]info
Очистка
Standaard is de optie “Grafiek Opschonen” ingeschakeld en worden alle irrelevante elementen uit de grafiek verwijderd. Het werd trouwens in alle voorgaande voorbeelden gebruikt. Ik voorzie een logische vraag: hoe kunnen we ervoor zorgen dat iets belangrijks niet wordt verwijderd? Ik zal antwoorden: voor analisten die graag met de hand grafieken maken, kan geautomatiseerd opschonen worden uitgeschakeld en kan het aantal stappen worden geselecteerd = 1. Vervolgens kan de analist de grafiek aanvullen met de elementen die hij nodig heeft en elementen verwijderen uit de grafiek die niet relevant zijn voor de taak.
Al in de grafiek wordt de geschiedenis van veranderingen in whois, DNS, evenals open poorten en services die daarop draaien, beschikbaar voor de analist.
Financiële phishing
We onderzochten de activiteiten van één APT-groep, die jarenlang phishing-aanvallen uitvoerde op klanten van verschillende banken in verschillende regio's. Kenmerkend voor deze groep was de registratie van domeinen die sterk leken op de namen van echte banken, en de meeste phishingsites hadden hetzelfde ontwerp, met als enige verschil de namen van de banken en hun logo's.
In dit geval heeft geautomatiseerde grafiekanalyse ons veel geholpen. Door een van hun domeinen te nemen - lloydsbnk-uk[.]com, hebben we in een paar seconden een grafiek met een diepte van 3 stappen gebouwd, die meer dan 250 kwaadaardige domeinen identificeerde die sinds 2015 door deze groep zijn gebruikt en nog steeds worden gebruikt . Sommige van deze domeinen zijn al door banken gekocht, maar uit historische gegevens blijkt dat ze eerder door aanvallers waren geregistreerd.
Voor de duidelijkheid toont de figuur een grafiek met een diepte van 2 stappen.
Het is opmerkelijk dat de aanvallers al in 2019 hun tactiek enigszins veranderden en niet alleen de domeinen van banken begonnen te registreren voor het hosten van webphishing, maar ook de domeinen van verschillende adviesbureaus voor het verzenden van phishing-e-mails. Bijvoorbeeld de domeinen Swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com.
Kobalt bende
In december 2018 stuurde de hackergroep Cobalt, gespecialiseerd in gerichte aanvallen op banken, namens de Nationale Bank van Kazachstan een mailingcampagne uit.
De brieven bevatten links naar hXXps://nationalbank.bz/Doc/Prikaz.doc. Het gedownloade document bevatte een macro die Powershell startte, die zou proberen het bestand van hXXp://wateroilclub.com/file/dwm.exe in %Temp%einmrmdmy.exe te laden en uit te voeren. Het bestand %Temp%einmrmdmy.exe, ook bekend als dwm.exe, is een CobInt-stager die is geconfigureerd om te communiceren met de server hXXp://admvmsopp.com/rilruietguadvtoefmuy.
Stel je voor dat je deze phishing-e-mails niet kunt ontvangen en geen volledige analyse van de kwaadaardige bestanden kunt uitvoeren. De grafiek voor het kwaadaardige domein nationalbank[.]bz laat direct verbanden zien met andere kwaadaardige domeinen, kent deze toe aan een groep en laat zien welke bestanden bij de aanval zijn gebruikt.
Laten we het IP-adres 46.173.219[.]152 uit deze grafiek nemen en er in één keer een grafiek van maken en het opschonen uitschakelen. Er zijn 40 domeinen aan gekoppeld, bijvoorbeeld bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com
Afgaande op de domeinnamen lijkt het erop dat ze worden gebruikt in frauduleuze schema's, maar het opschoonalgoritme realiseerde zich dat ze geen verband hielden met deze aanval en plaatste ze niet in de grafiek, wat het analyse- en attributieproces aanzienlijk vereenvoudigt.
Als je de grafiek opnieuw opbouwt met behulp van nationalbank[.]bz, maar het algoritme voor het opschonen van grafieken uitschakelt, zal deze meer dan 500 elementen bevatten, waarvan de meeste niets te maken hebben met de Cobalt-groep of hun aanvallen. Hieronder ziet u een voorbeeld van hoe zo’n grafiek eruit ziet:
Conclusie
Na enkele jaren van verfijning, testen in echte onderzoeken, onderzoek naar bedreigingen en jacht op aanvallers, zijn we er niet alleen in geslaagd een unieke tool te creëren, maar ook de houding van experts binnen het bedrijf ten opzichte ervan te veranderen. In eerste instantie willen technische experts volledige controle over het grafische constructieproces. Het was buitengewoon moeilijk om hen ervan te overtuigen dat automatische grafiekconstructie dit beter zou kunnen dan iemand met vele jaren ervaring. Alles werd bepaald door de tijd en meerdere “handmatige” controles van de resultaten van wat de grafiek opleverde. Nu vertrouwen onze experts niet alleen op het systeem, maar gebruiken ze de resultaten die het behaalt ook in hun dagelijkse werk. Deze technologie werkt in elk van onze systemen en stelt ons in staat om alle soorten bedreigingen beter te identificeren. De interface voor handmatige grafiekanalyse is in alle Group-IB-producten ingebouwd en breidt de mogelijkheden voor de jacht op cybercriminaliteit aanzienlijk uit. Dit wordt bevestigd door analistenbeoordelingen van onze klanten. En wij blijven op onze beurt de grafiek verrijken met gegevens en werken aan nieuwe algoritmen met behulp van kunstmatige intelligentie om de meest nauwkeurige netwerkgrafiek te creëren.
Bron: www.habr.com