Experti Group-IB pri vyšetrovaní prípadov súvisiacich s phishingom, botnetmi, podvodnými transakciami a zločineckými hackerskými skupinami už mnoho rokov používajú grafovú analýzu na identifikáciu rôznych druhov spojení. Rôzne prípady majú svoje vlastné súbory údajov, svoje vlastné algoritmy na identifikáciu pripojení a rozhrania prispôsobené špecifickým úlohám. Všetky tieto nástroje boli interne vyvinuté spoločnosťou Group-IB a boli dostupné iba našim zamestnancom.

Grafová analýza sieťovej infraštruktúry (sieťový graf) sa stal prvým interným nástrojom, ktorý sme zabudovali do všetkých verejných produktov spoločnosti. Pred vytvorením nášho sieťového grafu sme analyzovali veľa podobných vývojov na trhu a nenašli sme jediný produkt, ktorý by uspokojoval naše vlastné potreby. V tomto článku si povieme, ako sme sieťový graf vytvorili, ako ho používame a s akými ťažkosťami sme sa stretli.

Dmitrij Volkov, CTO Group-IB a vedúci oddelenia kybernetického spravodajstva

Čo dokáže graf siete Group-IB?

vyšetrovania

Od založenia Group-IB v roku 2003 až po súčasnosť je identifikácia, odhaľovanie a postavenie kyberzločincov pred súd najvyššou prioritou našej práce. Ani jedno vyšetrovanie kybernetického útoku sa nezaobišlo bez analýzy sieťovej infraštruktúry útočníkov. Na úplnom začiatku našej cesty to bola dosť namáhavá „manuálna práca“ hľadať vzťahy, ktoré by mohli pomôcť pri identifikácii zločincov: informácie o doménových názvoch, IP adresách, digitálnych odtlačkoch serverov atď.

Väčšina útočníkov sa snaží na sieti pôsobiť čo najanonymnejšie. Ako všetci ľudia však robia chyby. Hlavným cieľom takejto analýzy je nájsť „biele“ alebo „sivé“ historické projekty útočníkov, ktoré majú prienik so škodlivou infraštruktúrou použitou v aktuálnom incidente, ktorý vyšetrujeme. Ak je možné odhaliť „biele projekty“, nájdenie útočníka sa spravidla stáva triviálnou úlohou. V prípade „sivých“ si vyhľadávanie vyžaduje viac času a úsilia, pretože ich majitelia sa snažia anonymizovať alebo skryť registračné údaje, ale šanca zostáva pomerne vysoká. Útočníci spravidla na začiatku svojej trestnej činnosti menej dbajú na vlastnú bezpečnosť a robia viac chýb, takže čím hlbšie sa môžeme ponoriť do príbehu, tým sú šance na úspešné vyšetrovanie vyššie. Preto je sieťový graf s dobrou históriou mimoriadne dôležitým prvkom takéhoto vyšetrovania. Jednoducho povedané, čím hlbšie historické údaje firma má, tým lepší je jej graf. Povedzme, že 5-ročná história môže pomôcť vyriešiť podmienečne 1-2 z 10 zločinov a 15-ročná história dáva šancu vyriešiť všetkých desať.

Odhaľovanie phishingu a podvodov

Zakaždým, keď dostaneme podozrivý odkaz na phishing, podvodný alebo pirátsky zdroj, automaticky vytvoríme graf súvisiacich sieťových zdrojov a skontrolujeme podobný obsah na všetkých nájdených hostiteľoch. To vám umožní nájsť staré phishingové stránky, ktoré boli aktívne, ale neznáme, ako aj úplne nové, ktoré sú pripravené na budúce útoky, ale ešte sa nepoužívajú. Základný príklad, ktorý sa vyskytuje pomerne často: našli sme phishingovú stránku na serveri s iba 5 stránkami. Kontrolou každého z nich nájdeme phishingový obsah na iných stránkach, čo znamená, že môžeme zablokovať 5 namiesto 1.

Vyhľadajte backendy

Tento proces je potrebný na určenie, kde sa skutočne nachádza škodlivý server.
99 % kartových obchodov, hackerských fór, veľa zdrojov phishingu a iných škodlivých serverov je skrytých za svojimi vlastnými proxy servermi a za proxy legitímnych služieb, napríklad Cloudflare. Znalosti o skutočnom backende sú veľmi dôležité pre vyšetrovanie: poskytovateľ hostingu, od ktorého je možné odobrať server, sa stáva známym a je možné nadviazať spojenie s inými škodlivými projektmi.

Máte napríklad phishingovú stránku na zhromažďovanie údajov o bankových kartách, ktoré sa prenášajú na IP adresu 11.11.11.11 a adresu cardshopu, ktorá sa prekladá na IP adresu 22.22.22.22. Počas analýzy sa môže ukázať, že phishingová stránka aj cardshop majú spoločnú backendovú IP adresu, napríklad 33.33.33.33. Tieto znalosti nám umožňujú vytvoriť spojenie medzi phishingovými útokmi a obchodom s kartami, kde sa môžu predávať údaje o bankových kartách.

Korelácia udalostí

Keď máte dva rôzne spúšťače (povedzme na IDS) s rôznym malvérom a rôznymi servermi na kontrolu útoku, budete ich považovať za dve nezávislé udalosti. Ale ak existuje dobré spojenie medzi škodlivými infraštruktúrami, potom je zrejmé, že nejde o rôzne útoky, ale o štádiá jedného, ​​zložitejšieho viacstupňového útoku. A ak je jedna z udalostí už pripísaná ktorejkoľvek skupine útočníkov, potom môže byť aj druhá pripísaná tej istej skupine. Samozrejme, proces pripisovania je oveľa zložitejší, takže to berte ako jednoduchý príklad.

Obohatenie indikátora

Nebudeme tomu venovať veľkú pozornosť, pretože toto je najbežnejší scenár na použitie grafov v kybernetickej bezpečnosti: jeden ukazovateľ zadáte ako vstup a ako výstup získate rad súvisiacich ukazovateľov.

Identifikácia vzorov

Identifikácia vzorov je nevyhnutná pre efektívny lov. Grafy umožňujú nielen nájsť súvisiace prvky, ale aj identifikovať spoločné vlastnosti, ktoré sú charakteristické pre určitú skupinu hackerov. Znalosť takýchto jedinečných charakteristík vám umožňuje rozpoznať infraštruktúru útočníka už v štádiu prípravy a bez dôkazov potvrdzujúcich útok, ako sú phishingové e-maily alebo malvér.

Prečo sme vytvorili vlastný sieťový graf?

Opäť sme sa pozreli na riešenia od rôznych dodávateľov, kým sme dospeli k záveru, že musíme vyvinúť vlastný nástroj, ktorý dokáže niečo, čo žiadny existujúci produkt nedokáže. Jeho vytvorenie trvalo niekoľko rokov, počas ktorých sme ho niekoľkokrát kompletne zmenili. No napriek dlhému vývojovému obdobiu sme zatiaľ nenašli jediný analóg, ktorý by vyhovoval našim požiadavkám. Pomocou nášho vlastného produktu sme nakoniec dokázali vyriešiť takmer všetky problémy, ktoré sme objavili v existujúcich sieťových grafoch. Nižšie sa budeme podrobne zaoberať týmito problémami:

problém
rozhodnutie

Nedostatok poskytovateľa s rôznymi zbierkami údajov: domény, pasívne DNS, pasívne SSL, DNS záznamy, otvorené porty, bežiace služby na portoch, súbory interagujúce s názvami domén a IP adresami. Vysvetlenie. Poskytovatelia zvyčajne poskytujú samostatné typy údajov a ak chcete získať úplný obraz, musíte si kúpiť predplatné od každého. Napriek tomu nie je vždy možné získať všetky údaje: niektorí poskytovatelia pasívnych SSL poskytujú údaje len o certifikátoch vydaných dôveryhodnými CA a ich pokrytie certifikátmi s vlastným podpisom je extrémne slabé. Iné tiež poskytujú údaje pomocou certifikátov s vlastným podpisom, ale zbierajú ich iba zo štandardných portov.
Všetky vyššie uvedené zbierky sme nazbierali sami. Napríklad na zber údajov o SSL certifikátoch sme vytvorili vlastnú službu, ktorá ich zhromažďuje od dôveryhodných CA a skenovaním celého priestoru IPv4. Certifikáty boli zozbierané nielen z IP, ale aj zo všetkých domén a subdomén z našej databázy: ak máte doménu example.com a jej subdoménu www.example.com a všetky sa riešia na IP 1.1.1.1, potom keď sa pokúsite získať certifikát SSL z portu 443 na IP, doméne a jej subdoméne, môžete získať tri rôzne výsledky. Na zber údajov o otvorených portoch a spustených službách sme museli vytvoriť vlastný distribuovaný systém skenovania, pretože iné služby mali často IP adresy svojich skenovacích serverov na „čiernych listinách“. Naše skenovacie servery tiež končia na čiernej listine, ale výsledok detekcie služieb, ktoré potrebujeme, je vyšší ako u tých, ktorí jednoducho skenujú čo najviac portov a predávajú prístup k týmto údajom.

Nedostatočný prístup k celej databáze historických záznamov. Vysvetlenie. Každý normálny dodávateľ má dobrú akumulovanú históriu, ale z prirodzených dôvodov sme sa ako klient nemohli dostať ku všetkým historickým údajom. Tie. Môžete získať celú históriu pre jeden záznam, napríklad podľa domény alebo IP adresy, ale nemôžete vidieť históriu všetkého - a bez toho nemôžete vidieť úplný obraz.
Aby sme zhromaždili čo najviac historických záznamov o doménach, kúpili sme rôzne databázy, analyzovali sme veľa otvorených zdrojov, ktoré mali túto históriu (je dobré, že ich bolo veľa) a rokovali sme s registrátormi názvov domén. Všetky aktualizácie našich vlastných zbierok sú samozrejme uchovávané s úplnou históriou revízií.

Všetky existujúce riešenia vám umožňujú zostaviť graf manuálne. Vysvetlenie. Povedzme, že ste si kúpili veľa odberov od všetkých možných poskytovateľov dát (zvyčajne nazývaných „obohacovači“). Keď potrebujete zostaviť graf, „rukami“ dáte príkaz na zostavenie z požadovaného prvku spojenia, potom vyberiete potrebné z prvkov, ktoré sa objavia, a dáte príkaz na dokončenie spojení z nich atď. V tomto prípade je zodpovednosť za to, ako dobre bude graf skonštruovaný, úplne na osobe.
Urobili sme automatickú konštrukciu grafov. Tie. ak potrebujete vytvoriť graf, automaticky sa vytvoria spojenia z prvého prvku a potom aj zo všetkých nasledujúcich. Špecialista uvádza iba hĺbku, v ktorej je potrebné graf postaviť. Proces automatického vypĺňania grafov je jednoduchý, ale iní predajcovia ho neimplementujú, pretože produkuje obrovské množstvo irelevantných výsledkov a aj túto nevýhodu sme museli brať do úvahy (pozri nižšie).

Mnohé irelevantné výsledky sú problémom všetkých grafov sieťových prvkov. Vysvetlenie. Napríklad „zlá doména“ (zúčastnená na útoku) je spojená so serverom, ku ktorému je za posledných 10 rokov priradených 500 ďalších domén. Pri manuálnom pridávaní alebo automatickom vytváraní grafu by sa na grafe malo objaviť aj všetkých týchto 500 domén, hoci nesúvisia s útokom. Alebo napríklad skontrolujete IP indikátor z bezpečnostnej správy predajcu. Takéto správy sa zvyčajne zverejňujú s výrazným oneskorením a často trvajú rok alebo viac. S najväčšou pravdepodobnosťou v čase, keď čítate správu, je server s touto IP adresou už prenajatý iným ľuďom s inými pripojeniami a zostavenie grafu bude mať za následok opäť irelevantné výsledky.
Vyškolili sme systém na identifikáciu irelevantných prvkov pomocou rovnakej logiky, ako to robili naši odborníci manuálne. Napríklad kontrolujete zlú doménu example.com, ktorá sa teraz rieši na IP 11.11.11.11 a pred mesiacom na IP 22.22.22.22. Okrem domény example.com je IP 11.11.11.11 spojená aj s example.ru a IP 22.22.22.22 je spojená s 25 11.11.11.11 ďalšími doménami. Systém, podobne ako človek, chápe, že 22.22.22.22 je s najväčšou pravdepodobnosťou dedikovaný server, a keďže doména example.ru má podobný pravopis ako example.com, potom sú s vysokou pravdepodobnosťou pripojené a mali by byť na graf; ale IP 25 patrí zdieľanému hostingu, takže všetky jeho domény nemusia byť zahrnuté v grafe, pokiaľ neexistujú iné spojenia, ktoré ukazujú, že je potrebné zahrnúť aj jednu z týchto 50 tisíc domén (napríklad example.net) . Predtým, než systém pochopí, že spojenia je potrebné prerušiť a niektoré prvky nepremiestniť do grafu, zohľadní mnohé vlastnosti prvkov a zhlukov, do ktorých sú tieto prvky kombinované, ako aj silu súčasných spojení. Napríklad, ak máme na grafe malý zhluk (5 prvkov), ktorý obsahuje zlú doménu, a ďalší veľký zhluk (XNUMX tisíc prvkov) a oba zhluky sú spojené spojom (čiarou) s veľmi nízkou pevnosťou (hmotnosťou) , potom sa takéto spojenie preruší a prvky z veľkého klastra sa odstránia. Ale ak existuje veľa spojení medzi malými a veľkými zhlukmi a ich sila sa postupne zvyšuje, potom sa v tomto prípade spojenie nepreruší a potrebné prvky z oboch zhlukov zostanú na grafe.

Interval vlastníctva servera a domény sa neberie do úvahy. Vysvetlenie. Platnosť „zlých domén“ skôr či neskôr vyprší a budú znovu zakúpené na škodlivé alebo legitímne účely. Dokonca aj nepriestrelné hostingové servery sa prenajímajú rôznym hackerom, takže je dôležité poznať a brať do úvahy interval, kedy bola konkrétna doména/server pod kontrolou jedného vlastníka. Často sa stretávame so situáciou, kedy sa server s IP 11.11.11.11 teraz používa ako C&C pre bankového robota a pred 2 mesiacmi ho kontroloval Ransomware. Ak vytvoríme spojenie bez zohľadnenia intervalov vlastníctva, bude to vyzerať, že existuje spojenie medzi vlastníkmi bankového botnetu a ransomvéru, hoci v skutočnosti žiadne neexistuje. V našej práci je takáto chyba kritická.
Naučili sme systém určovať intervaly vlastníctva. Pre domény je to pomerne jednoduché, pretože whois často obsahuje dátumy začiatku a konca registrácie a keď je k dispozícii kompletná história zmien whois, je ľahké určiť intervaly. Keď registrácia domény nevypršala, ale jej správa bola prevedená na iných vlastníkov, možno ju tiež sledovať. Pri SSL certifikátoch takýto problém nie je, pretože sa vydávajú jednorazovo a neobnovujú sa ani neprenášajú. Pri certifikátoch s vlastným podpisom však nemôžete dôverovať dátumom uvedeným v dobe platnosti certifikátu, pretože certifikát SSL môžete vygenerovať už dnes a dátum začiatku certifikátu môžete zadať od roku 2010. Najťažšie je určiť intervaly vlastníctva serverov, pretože dátumy a obdobia prenájmu majú iba poskytovatelia hostingu. Na určenie doby vlastníctva servera sme začali využívať výsledky skenovania portov a vytvárania odtlačkov bežiacich služieb na portoch. Pomocou týchto informácií vieme pomerne presne povedať, kedy sa zmenil vlastník servera.

Málo spojení. Vysvetlenie. V dnešnej dobe nie je ani problém získať bezplatný zoznam domén, ktorých whois obsahuje konkrétnu emailovú adresu, alebo zistiť všetky domény, ktoré boli priradené ku konkrétnej IP adrese. Ale pokiaľ ide o hackerov, ktorí robia všetko pre to, aby ich bolo ťažké sledovať, potrebujeme ďalšie triky, aby sme našli nové vlastnosti a vytvorili nové spojenia.
Strávili sme veľa času skúmaním, ako by sme mohli extrahovať údaje, ktoré neboli dostupné bežným spôsobom. Z pochopiteľných dôvodov tu nemôžeme popísať, ako to funguje, ale za určitých okolností sa hackeri pri registrácii domén alebo prenajímaní a nastavovaní serverov dopúšťajú chýb, ktoré im umožňujú zistiť e-mailové adresy, aliasy hackerov a backendové adresy. Čím viac spojení získate, tým presnejšie grafy môžete vytvoriť.

Ako funguje náš graf

Ak chcete začať používať sieťový graf, musíte do vyhľadávacieho panela zadať doménu, IP adresu, e-mail alebo odtlačok certifikátu SSL. Existujú tri podmienky, ktoré môže analytik ovládať: čas, hĺbka kroku a čistenie.

Čas

Čas – dátum alebo interval, kedy bol hľadaný prvok použitý na škodlivé účely. Ak tento parameter nešpecifikujete, systém sám určí posledný interval vlastníctva pre tento zdroj. Napríklad 11. júla zverejnil Eset správa o tom, ako Buhtrap využíva 0-dňový exploit na kybernetickú špionáž. Na konci správy je 6 ukazovateľov. Jeden z nich, secure-telemetry[.]net, bol preregistrovaný 16. júla. Ak teda zostavíte graf po 16. júli, dostanete nepodstatné výsledky. Ak však uvediete, že táto doména bola používaná pred týmto dátumom, potom graf obsahuje 126 nových domén, 69 IP adries, ktoré nie sú uvedené v prehľade Eset:

• ukrfreshnews[.]com
• unian-search[.]com
• vesti-world[.]info
• runewsmeta[.]com
• foxnewsmeta[.]biz
• sobesednik-meta[.]info
• rian-ua[.]net
• et al.

Okrem sieťových indikátorov okamžite nájdeme spojenia so škodlivými súbormi, ktoré mali spojenie s touto infraštruktúrou a tagy, ktoré nám hovoria, že boli použité Meterpreter a AZORult.

Skvelé je, že tento výsledok získate do jednej sekundy a už nemusíte tráviť dni analyzovaním údajov. Samozrejme, tento prístup niekedy výrazne skracuje čas na vyšetrovanie, čo je často kritické.

Počet krokov alebo hĺbka rekurzie, s ktorou bude graf vytvorený

Štandardne je hĺbka 3. To znamená, že všetky priamo súvisiace prvky sa nájdu z požadovaného prvku, potom sa z každého nového prvku vytvoria nové spojenia s inými prvkami a nové prvky sa vytvoria z nových prvkov z posledného prvku. krok.

Zoberme si príklad, ktorý nesúvisí s APT a 0-dňovými exploitmi. Nedávno bol na Habré popísaný zaujímavý prípad podvodu súvisiaceho s kryptomenami. V správe sa spomína doména themcx[.]co, ktorú používajú podvodníci na hosťovanie webovej stránky, ktorá sa vydáva za burzu mincí Miner a telefonické vyhľadávanie[.]xyz na prilákanie návštevnosti.

Z opisu je jasné, že schéma vyžaduje pomerne veľkú infraštruktúru na prilákanie prevádzky k podvodným zdrojom. Rozhodli sme sa pozrieť na túto infraštruktúru vytvorením grafu v 4 krokoch. Výstupom bol graf s 230 doménami a 39 IP adresami. Ďalej rozdeľujeme domény do 2 kategórií: domény, ktoré sú podobné službám na prácu s kryptomenami, a domény, ktoré sú určené na zvýšenie návštevnosti prostredníctvom služieb telefonického overovania:

Súvisí s kryptomenou
Súvisí so službami dierovania do telefónov

mincovník[.]cc
stránka záznamu volajúceho[.].

mcxwallet[.]co
telefónne-záznamy[.]priestor

btcnoise[.]com
fone-uncover[.]xyz

kryptomín[.]sledovať
číslo-odkryť[.]informácie

čistenie

V predvolenom nastavení je povolená možnosť „Čistenie grafu“ a všetky nepodstatné prvky budú z grafu odstránené. Mimochodom, bol použitý vo všetkých predchádzajúcich príkladoch. Predpokladám prirodzenú otázku: ako môžeme zabezpečiť, aby sa niečo dôležité nevymazalo? Odpoviem: pre analytikov, ktorí radi zostavujú grafy ručne, je možné automatické čistenie deaktivovať a zvoliť počet krokov = 1. Ďalej bude analytik môcť doplniť graf z prvkov, ktoré potrebuje, a prvky z nich odstrániť. grafu, ktorý nie je relevantný pre danú úlohu.

Už na grafe je analytikovi k dispozícii história zmien vo whois, DNS, ako aj otvorených portoch a službách, ktoré na nich bežia.

Finančný phishing

Skúmali sme aktivity jednej skupiny APT, ktorá niekoľko rokov vykonávala phishingové útoky na klientov rôznych bánk v rôznych regiónoch. Charakteristickým znakom tejto skupiny bola registrácia domén veľmi podobných názvom skutočných bánk a väčšina phishingových stránok mala rovnaký dizajn, rozdiely boli len v názvoch bánk a ich logách.

V tomto prípade nám veľmi pomohla automatizovaná grafová analýza. Z jednej z ich domén – lloydsbnk-uk[.]com sme za pár sekúnd vytvorili graf s hĺbkou 3 krokov, ktorý identifikoval viac ako 250 škodlivých domén, ktoré táto skupina používa od roku 2015 a naďalej sa používa . Niektoré z týchto domén už banky kúpili, no historické záznamy ukazujú, že predtým boli zaregistrované na útočníkov.

Pre názornosť je na obrázku znázornený graf s hĺbkou 2 krokov.

Pozoruhodné je, že už v roku 2019 útočníci trochu zmenili taktiku a začali registrovať nielen domény bánk na hosťovanie web phishingu, ale aj domény rôznych poradenských spoločností na posielanie phishingových emailov. Napríklad domény swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com.

Kobaltový gang

V decembri 2018 rozoslala hackerská skupina Cobalt, ktorá sa špecializuje na cielené útoky na banky, poštovú kampaň v mene Národnej banky Kazachstanu.

Listy obsahovali odkazy na hXXps://nationalbank.bz/Doc/Prikaz.doc. Stiahnutý dokument obsahoval makro, ktoré spúšťalo Powershell, ktorý by sa pokúsil načítať a spustiť súbor z hXXp://wateroilclub.com/file/dwm.exe v %Temp%einmrmdmy.exe. Súbor %Temp%einmrmdmy.exe alias dwm.exe je CobInt stager nakonfigurovaný na interakciu so serverom hXXp://admvmsopp.com/rilruietguadvtoefmuy.

Predstavte si, že nemôžete prijímať tieto phishingové e-maily a vykonávať úplnú analýzu škodlivých súborov. Graf pre škodlivú doménu nationalbank[.]bz okamžite zobrazuje spojenia s inými škodlivými doménami, priraďuje ju skupine a ukazuje, ktoré súbory boli použité pri útoku.

Zoberme si z tohto grafu IP adresu 46.173.219[.]152 a zostavíme z nej graf jedným prechodom a vypneme čistenie. Je s ním spojených 40 domén, napríklad bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com

Súdiac podľa názvov domén sa zdá, že sa používajú v podvodných schémach, ale čistiaci algoritmus si uvedomil, že nesúvisia s týmto útokom a nevložil ich do grafu, čo značne zjednodušuje proces analýzy a pripisovania.

Ak graf znova zostavíte pomocou národnej banky[.]bz, ale vypnete algoritmus čistenia grafu, bude obsahovať viac ako 500 prvkov, z ktorých väčšina nemá nič spoločné so skupinou Cobalt alebo ich útokmi. Príklad, ako taký graf vyzerá, je uvedený nižšie:

Záver

Po niekoľkých rokoch dolaďovania, testovania v reálnych vyšetrovaniach, skúmania hrozieb a lovu útočníkov sa nám podarilo nielen vytvoriť unikátny nástroj, ale aj zmeniť postoj odborníkov v rámci spoločnosti k nemu. Spočiatku chcú technickí experti úplnú kontrolu nad procesom konštrukcie grafu. Presvedčiť ich, že automatická konštrukcia grafu to dokáže lepšie ako človek s dlhoročnými skúsenosťami, bolo mimoriadne ťažké. O všetkom rozhodoval čas a viacnásobné „ručné“ kontroly výsledkov toho, čo graf vytvoril. Teraz naši odborníci nielen dôverujú systému, ale výsledky, ktoré získa, využívajú aj pri svojej každodennej práci. Táto technológia funguje vo vnútri každého z našich systémov a umožňuje nám lepšie identifikovať hrozby akéhokoľvek typu. Rozhranie pre manuálnu analýzu grafov je zabudované do všetkých produktov Group-IB a výrazne rozširuje možnosti pre vyhľadávanie počítačovej kriminality. Potvrdzujú to hodnotenia analytikov od našich klientov. A my zase pokračujeme v obohacovaní grafu o údaje a pracujeme na nových algoritmoch využívajúcich umelú inteligenciu na vytvorenie čo najpresnejšieho sieťového grafu.

Zdroj: hab.com