Group-IB:s experter har undersökt fall relaterade till nÀtfiske, botnÀt, bedrÀgliga transaktioner och kriminella hackergrupper och anvÀnt grafanalys i mÄnga Är för att identifiera olika typer av kopplingar. Olika fall har sina egna datamÀngder, sina egna algoritmer för att identifiera anslutningar och grÀnssnitt som Àr skrÀddarsydda för specifika uppgifter. Alla dessa verktyg utvecklades internt av Group-IB och var endast tillgÀngliga för vÄra anstÀllda.
Grafanalys av nÀtverksinfrastruktur (nÀtverksgraf) blev det första interna verktyget som vi byggde in i alla företagets publika produkter. Innan vi skapade vÄrt nÀtverksdiagram analyserade vi mÄnga liknande utvecklingar pÄ marknaden och hittade inte en enda produkt som tillfredsstÀllde vÄra egna behov. I den hÀr artikeln kommer vi att prata om hur vi skapade nÀtverksgrafen, hur vi anvÀnder den och vilka svÄrigheter vi stötte pÄ.
Dmitrij Volkov, CTO Group-IB och chef för cyberintelligens
Vad kan Group-IB-nÀtverksdiagrammet göra?
Undersökningar
Sedan grundandet av Group-IB 2003 och fram till idag, har identifiering, utnÀmning och stÀllande av cyberbrottslingar varit en högsta prioritet i vÄrt arbete. Inte en enda cyberattacksundersökning var komplett utan att analysera angriparnas nÀtverksinfrastruktur. I början av vÄr resa var det ett ganska mödosamt "manuellt arbete" att söka efter relationer som kunde hjÀlpa till att identifiera brottslingar: information om domÀnnamn, IP-adresser, digitala fingeravtryck frÄn servrar, etc.
De flesta angripare försöker agera sÄ anonymt som möjligt i nÀtverket. Men som alla mÀnniskor gör de misstag. HuvudmÄlet med en sÄdan analys Àr att hitta "vita" eller "grÄ" historiska projekt av angripare som har korsningar med den skadliga infrastruktur som anvÀnds i den aktuella incidenten som vi undersöker. Om det Àr möjligt att upptÀcka "vita projekt" blir det som regel en trivial uppgift att hitta angriparen. NÀr det gÀller "grÄ" tar sökningen mer tid och anstrÀngning, eftersom deras Àgare försöker anonymisera eller dölja registreringsdata, men chanserna Àr fortfarande ganska höga. Som regel, i början av sin kriminella verksamhet, Àgnar angriparna mindre uppmÀrksamhet Ät sin egen sÀkerhet och gör fler misstag, sÄ ju djupare vi kan dyka in i historien, desto större Àr chanserna för en framgÄngsrik utredning. DÀrför Àr en nÀtverksgraf med bra historik ett oerhört viktigt inslag i en sÄdan undersökning. Enkelt uttryckt, ju djupare historisk data ett företag har, desto bÀttre Àr dess graf. LÄt oss sÀga att en 5-Ärig historia kan hjÀlpa till att lösa, villkorligt, 1-2 av 10 brott, och en 15-Ärig historia ger en chans att lösa alla tio.
NÀtfiske och bedrÀgeriupptÀckt
Varje gÄng vi fÄr en misstÀnkt lÀnk till en nÀtfiske, bedrÀglig eller piratkopierad resurs bygger vi automatiskt en graf över relaterade nÀtverksresurser och kontrollerar alla hittade vÀrdar för liknande innehÄll. Detta gör att du kan hitta bÄde gamla nÀtfiskesidor som var aktiva men okÀnda, samt helt nya som Àr förberedda för framtida attacker, men som Ànnu inte anvÀnds. Ett elementÀrt exempel som förekommer ganska ofta: vi hittade en nÀtfiskewebbplats pÄ en server med endast 5 webbplatser. Genom att kontrollera var och en av dem hittar vi nÀtfiskeinnehÄll pÄ andra webbplatser, vilket innebÀr att vi kan blockera 5 istÀllet för 1.
Sök efter backends
Denna process Àr nödvÀndig för att avgöra var den skadliga servern faktiskt finns.
99 % av kortbutiker, hackerforum, mÄnga nÀtfiskeresurser och andra skadliga servrar Àr gömda bakom bÄde sina egna proxyservrar och proxyservrar för legitima tjÀnster, till exempel Cloudflare. Kunskap om den verkliga backend Àr mycket viktig för utredningar: vÀrdleverantören frÄn vilken servern kan beslagtas blir kÀnd och det blir möjligt att bygga förbindelser med andra skadliga projekt.
Till exempel har du en nÀtfiskewebbplats för att samla in bankkortsdata som löser sig till IP-adressen 11.11.11.11 och en kortbutiksadress som löser sig till IP-adressen 22.22.22.22. Under analysen kan det visa sig att bÄde nÀtfiskesidan och cardshop har en gemensam backend IP-adress, till exempel 33.33.33.33. Denna kunskap gör att vi kan bygga en koppling mellan nÀtfiskeattacker och en kortbutik dÀr bankkortsdata kan sÀljas.
HĂ€ndelsekorrelation
NÀr du har tvÄ olika utlösare (lÄt oss sÀga pÄ en IDS) med olika skadlig programvara och olika servrar för att kontrollera attacken, kommer du att behandla dem som tvÄ oberoende hÀndelser. Men om det finns en bra koppling mellan skadliga infrastrukturer, sÄ blir det uppenbart att det inte Àr olika attacker, utan stadier av en, mer komplex flerstegsattack. Och om en av hÀndelserna redan tillskrivs nÄgon grupp av angripare, kan den andra ocksÄ tillskrivas samma grupp. Naturligtvis Àr tillskrivningsprocessen mycket mer komplex, sÄ behandla detta som ett enkelt exempel.
Indikatorberikning
Vi kommer inte att Àgna mycket uppmÀrksamhet Ät detta, eftersom detta Àr det vanligaste scenariot för att anvÀnda grafer inom cybersÀkerhet: du ger en indikator som indata, och som en utgÄng fÄr du en rad relaterade indikatorer.
Identifiera mönster
Att identifiera mönster Àr avgörande för effektiv jakt. Grafer lÄter dig inte bara hitta relaterade element, utan ocksÄ identifiera vanliga egenskaper som Àr karakteristiska för en viss grupp av hackare. Kunskap om sÄdana unika egenskaper gör att du kan kÀnna igen angriparens infrastruktur Àven i förberedelsestadiet och utan bevis som bekrÀftar attacken, sÄsom nÀtfiske-e-postmeddelanden eller skadlig programvara.
Varför skapade vi vÄr egen nÀtverksgraf?
à terigen tittade vi pÄ lösningar frÄn olika leverantörer innan vi kom fram till att vi behövde utveckla ett eget verktyg som kunde göra nÄgot som ingen befintlig produkt kunde göra. Det tog flera Är att skapa den, under vilka vi Àndrade den fullstÀndigt flera gÄnger. Men trots den lÄnga utvecklingsperioden har vi Ànnu inte hittat en enda analog som skulle uppfylla vÄra krav. Med vÄr egen produkt kunde vi sÄ smÄningom lösa nÀstan alla problem vi upptÀckte i befintliga nÀtverksdiagram. Nedan kommer vi att övervÀga dessa problem i detalj:
problem
beslutet
Brist pÄ en leverantör med olika samlingar av data: domÀner, passiv DNS, passiv SSL, DNS-poster, öppna portar, kör tjÀnster pÄ portar, filer som interagerar med domÀnnamn och IP-adresser. Förklaring. Vanligtvis tillhandahÄller leverantörer separata typer av data, och för att fÄ hela bilden mÄste du köpa prenumerationer frÄn alla. Trots det Àr det inte alltid möjligt att fÄ all data: vissa passiva SSL-leverantörer tillhandahÄller endast data om certifikat utfÀrdade av betrodda certifikatutfÀrdare, och deras tÀckning av sjÀlvsignerade certifikat Àr extremt dÄlig. Andra tillhandahÄller ocksÄ data med hjÀlp av sjÀlvsignerade certifikat, men samlar bara in dem frÄn standardportar.
Vi samlade alla ovanstÄende samlingar sjÀlva. För att till exempel samla in data om SSL-certifikat skrev vi vÄr egen tjÀnst som samlar in dem bÄde frÄn betrodda certifikatutfÀrdare och genom att skanna hela IPv4-utrymmet. Certifikat samlades inte bara in frÄn IP, utan ocksÄ frÄn alla domÀner och underdomÀner frÄn vÄr databas: om du har domÀnen example.com och dess underdomÀn och de löser sig alla till IP 1.1.1.1, sedan nÀr du försöker fÄ ett SSL-certifikat frÄn port 443 pÄ en IP, domÀn och dess underdomÀn, kan du fÄ tre olika resultat. För att samla in data om öppna portar och körande tjÀnster var vi tvungna att skapa vÄrt eget distribuerade skanningssystem, eftersom andra tjÀnster ofta hade IP-adresserna till sina skanningsservrar pÄ "svarta listor". VÄra skanningsservrar hamnar ocksÄ pÄ svarta listor, men resultatet av att upptÀcka de tjÀnster vi behöver Àr högre Àn för dem som helt enkelt skannar sÄ mÄnga portar som möjligt och sÀljer tillgÄng till denna data.
Brist pĂ„ tillgĂ„ng till hela databasen med historiska dokument. Förklaring. Varje normal leverantör har en god ackumulerad historia, men av naturliga skĂ€l kunde vi som kund inte fĂ„ tillgĂ„ng till all historisk data. De dĂ€r. Du kan fĂ„ hela historiken för en enskild post, till exempel per domĂ€n eller IP-adress, men du kan inte se historiken för allt â och utan detta kan du inte se hela bilden.
För att samla in sÄ mÄnga historiska register pÄ domÀner som möjligt köpte vi olika databaser, analyserade mÄnga öppna resurser som hade denna historia (det Àr bra att det fanns mÄnga av dem) och förhandlade med domÀnnamnsregistratorer. Alla uppdateringar av vÄra egna samlingar förvaras naturligtvis med en fullstÀndig revisionshistorik.
Alla befintliga lösningar lÄter dig bygga en graf manuellt. Förklaring. LÄt oss sÀga att du köpt mÄnga abonnemang frÄn alla möjliga dataleverantörer (vanligtvis kallade "berikare"). NÀr du behöver bygga en graf ger du "hÀnder" kommandot att bygga frÄn det önskade anslutningselementet, vÀlj sedan de nödvÀndiga frÄn de element som visas och ger kommandot för att slutföra anslutningarna frÄn dem, och sÄ vidare. I det hÀr fallet ligger ansvaret för hur vÀl grafen kommer att konstrueras helt pÄ personen.
Vi gjorde automatisk konstruktion av grafer. De dÀr. om du behöver bygga en graf byggs anslutningar frÄn det första elementet automatiskt, sedan frÄn alla efterföljande ocksÄ. Specialisten anger bara vid vilket djup grafen behöver byggas. Processen att automatiskt fylla i grafer Àr enkel, men andra leverantörer implementerar det inte eftersom det ger ett stort antal irrelevanta resultat, och vi var ocksÄ tvungna att ta hÀnsyn till denna nackdel (se nedan).
MÄnga irrelevanta resultat Àr ett problem med alla nÀtverkselementgrafer. Förklaring. Till exempel Àr en "dÄlig domÀn" (deltog i en attack) associerad med en server som har 10 andra domÀner associerade med sig under de senaste 500 Ären. NÀr man manuellt lÀgger till eller konstruerar en graf manuellt, bör alla dessa 500 domÀner ocksÄ visas pÄ grafen, Àven om de inte Àr relaterade till attacken. Eller sÄ kontrollerar du till exempel IP-indikatorn frÄn leverantörens sÀkerhetsrapport. Vanligtvis slÀpps sÄdana rapporter med en betydande fördröjning och strÀcker sig ofta över ett Är eller mer. Troligtvis Àr servern med denna IP-adress redan uthyrd till andra personer med andra anslutningar nÀr du lÀser rapporten, och att bygga en graf kommer Äterigen att resultera i att du fÄr irrelevanta resultat.
Vi trÀnade systemet att identifiera irrelevanta element med samma logik som vÄra experter gjorde manuellt. Till exempel kontrollerar du en dÄlig domÀn example.com, som nu löser sig till IP 11.11.11.11, och för en mÄnad sedan - till IP 22.22.22.22. Förutom domÀnen example.com Àr IP 11.11.11.11 ocksÄ associerad med example.ru, och IP 22.22.22.22 Àr associerad med 25 tusen andra domÀner. Systemet, som en person, förstÄr att 11.11.11.11 med största sannolikhet Àr en dedikerad server, och eftersom domÀnen example.ru liknar stavningen pÄ example.com, sÄ Àr de med stor sannolikhet anslutna och bör ligga pÄ Graf; men IP 22.22.22.22 tillhör delad hosting, sÄ alla dess domÀner behöver inte inkluderas i grafen om det inte finns andra kopplingar som visar att en av dessa 25 tusen domÀner ocksÄ mÄste inkluderas (till exempel, example.net) . Innan systemet förstÄr att anslutningar mÄste brytas och vissa element inte flyttas till grafen, tar det hÀnsyn till mÄnga egenskaper hos de element och kluster i vilka dessa element kombineras, sÄvÀl som styrkan hos de nuvarande anslutningarna. Till exempel, om vi har ett litet kluster (50 element) pÄ grafen, som inkluderar en dÄlig domÀn, och ett annat stort kluster (5 tusen element) och bÄda klustren Àr sammankopplade med en anslutning (linje) med mycket lÄg styrka (vikt) , dÄ kommer en sÄdan anslutning att brytas och element frÄn det stora klustret tas bort. Men om det finns mÄnga kopplingar mellan smÄ och stora kluster och deras styrka gradvis ökar, kommer i det hÀr fallet inte kopplingen att brytas och de nödvÀndiga elementen frÄn bÄda klustren kommer att finnas kvar pÄ grafen.
Server- och domĂ€nĂ€gandeintervallet tas inte med i berĂ€kningen. Förklaring. "DĂ„liga domĂ€ner" kommer förr eller senare att upphöra att gĂ€lla och köpas igen för skadliga eller legitima syften. Ăven skottsĂ€kra vĂ€rdservrar hyrs ut till olika hackare, sĂ„ det Ă€r viktigt att veta och ta hĂ€nsyn till intervallet nĂ€r en viss domĂ€n/server var under kontroll av en Ă€gare. Vi stöter ofta pĂ„ en situation dĂ€r en server med IP 11.11.11.11 nu anvĂ€nds som C&C för en bankbot, och för 2 mĂ„nader sedan kontrollerades den av Ransomware. Om vi ââbygger en anslutning utan att ta hĂ€nsyn till Ă€garintervall kommer det att se ut som att det finns en koppling mellan Ă€garna av bankbotnĂ€tet och ransomware, Ă€ven om det faktiskt inte finns nĂ„gon. I vĂ„rt arbete Ă€r ett sĂ„dant fel kritiskt.
Vi lÀrde systemet att bestÀmma Àgarintervall. För domÀner Àr detta relativt enkelt, eftersom whois ofta innehÄller start- och utgÄngsdatum för registrering och, nÀr det finns en fullstÀndig historik över whois-Àndringar, Àr det lÀtt att faststÀlla intervallen. NÀr en domÀns registrering inte har löpt ut, men dess hantering har överförts till andra Àgare, kan den ocksÄ spÄras. Det finns inget sÄdant problem för SSL-certifikat, eftersom de utfÀrdas en gÄng och inte förnyas eller överförs. Men med sjÀlvsignerade certifikat kan du inte lita pÄ de datum som anges i certifikatets giltighetsperiod, eftersom du kan generera ett SSL-certifikat idag och ange certifikatets startdatum frÄn 2010. Det svÄraste Àr att bestÀmma Àgarintervallen för servrar, eftersom endast vÀrdleverantörer har datum och hyresperioder. För att faststÀlla serverns Àgandeperiod började vi anvÀnda resultaten av portskanning och skapa fingeravtryck av körande tjÀnster pÄ portar. Med hjÀlp av denna information kan vi ganska exakt sÀga nÀr serverns Àgare Àndrades.
FÄ kopplingar. Förklaring. Nuförtiden Àr det inte ens ett problem att fÄ en gratis lista över domÀner vars whois innehÄller en specifik e-postadress, eller att ta reda pÄ alla domÀner som var associerade med en specifik IP-adress. Men nÀr det kommer till hackare som gör sitt bÀsta för att vara svÄra att spÄra, behöver vi ytterligare knep för att hitta nya egenskaper och bygga nya kopplingar.
Vi Àgnade mycket tid Ät att undersöka hur vi kunde extrahera data som inte var tillgÀnglig pÄ ett konventionellt sÀtt. Vi kan inte hÀr beskriva hur det fungerar av uppenbara skÀl, men under vissa omstÀndigheter gör hackare, nÀr de registrerar domÀner eller hyr och konfigurerar servrar, misstag som gör att de kan ta reda pÄ e-postadresser, hackeralias och backend-adresser. Ju fler anslutningar du extraherar, desto mer exakta grafer kan du bygga.
Hur vÄr graf fungerar
För att börja anvÀnda nÀtverksdiagrammet mÄste du ange domÀnen, IP-adressen, e-postadressen eller SSL-certifikatets fingeravtryck i sökfÀltet. Det finns tre förhÄllanden som analytikern kan kontrollera: tid, stegdjup och röjning.
Tid
Tid â datum eller intervall dĂ„ det sökta elementet anvĂ€ndes i skadliga syften. Om du inte anger denna parameter kommer systemet sjĂ€lvt att bestĂ€mma det senaste Ă€garintervallet för denna resurs. Till exempel den 11 juli publicerade Eset om hur Buhtrap anvĂ€nder 0-dagars exploateringen för cyberspionage. Det finns 6 indikatorer i slutet av rapporten. En av dem, secure-telemetry[.]net, omregistrerades den 16 juli. DĂ€rför, om du bygger en graf efter den 16 juli fĂ„r du irrelevanta resultat. Men om du anger att den hĂ€r domĂ€nen anvĂ€ndes före detta datum, innehĂ„ller grafen 126 nya domĂ€ner, 69 IP-adresser som inte finns med i Eset-rapporten:
- ukrfreshnews[.]com
- unian-search[.]com
- vesti-world[.]info
- runewsmeta[.]com
- foxnewsmeta[.]biz
- sobesednik-meta[.]info
- rian-ua[.]net
- etc.
Förutom nÀtverksindikatorer hittar vi omedelbart kopplingar till skadliga filer som hade kopplingar till denna infrastruktur och taggar som berÀttar att Meterpreter och AZORult anvÀndes.
Det fantastiska Àr att du fÄr detta resultat inom en sekund och du behöver inte lÀngre spendera dagar med att analysera data. Naturligtvis minskar detta tillvÀgagÄngssÀtt ibland avsevÀrt tiden för utredningar, vilket ofta Àr kritiskt.
Antalet steg eller rekursionsdjup som grafen kommer att byggas med
Som standard Àr djupet 3. Detta innebÀr att alla direkt relaterade element kommer att hittas frÄn det önskade elementet, sedan kommer nya anslutningar att byggas frÄn varje nytt element till andra element, och nya element kommer att skapas frÄn de nya elementen frÄn det senaste steg.
LÄt oss ta ett exempel som inte Àr relaterat till APT och 0-dagars exploits. Nyligen beskrevs ett intressant fall av bedrÀgeri relaterat till kryptovalutor pÄ Habré. Rapporten nÀmner domÀnen themcx[.]co, som anvÀnds av bedragare för att vara vÀrd för en webbplats som utger sig för att vara en Miner Coin Exchange och telefonsökning[.]xyz för att locka trafik.
Det framgĂ„r av beskrivningen att systemet krĂ€ver en ganska stor infrastruktur för att locka trafik till bedrĂ€gliga resurser. Vi bestĂ€mde oss för att titta pĂ„ denna infrastruktur genom att bygga en graf i 4 steg. Resultatet var en graf med 230 domĂ€ner och 39 IP-adresser. DĂ€refter delar vi in ââdomĂ€ner i tvĂ„ kategorier: de som liknar tjĂ€nster för att arbeta med kryptovalutor och de som Ă€r avsedda att driva trafik genom telefonverifieringstjĂ€nster:
Relaterat till kryptovaluta
Förknippas med telefonstansningstjÀnster
mynthÄllare[.]cc
uppringare-post[.]webbplats.
mcxwallet[.]co
telefon-register[.]utrymme
btcnoise[.]com
fone-avtÀcka[.]xyz
kryptominer[.]watch
nummer-avtÀcka[.]info
rengöring
Som standard Àr alternativet "Graph Cleanup" aktiverat och alla irrelevanta element kommer att tas bort frÄn grafen. Förresten, det anvÀndes i alla tidigare exempel. Jag förutser en naturlig frÄga: hur kan vi se till att nÄgot viktigt inte raderas? Jag ska svara: för analytiker som gillar att bygga grafer för hand kan automatiserad rengöring inaktiveras och antalet steg kan vÀljas = 1. DÀrefter kommer analytikern att kunna komplettera grafen frÄn de element han behöver och ta bort element frÄn grafen som Àr irrelevanta för uppgiften.
Redan pÄ grafen blir historiken för förÀndringar i whois, DNS, sÄvÀl som öppna portar och tjÀnster som körs pÄ dem, tillgÀnglig för analytikern.
Finansiellt nÀtfiske
Vi undersökte verksamheten i en APT-grupp, som under flera Är utförde nÀtfiskeattacker mot kunder frÄn olika banker i olika regioner. Ett karakteristiskt drag för denna grupp var registreringen av domÀner som mycket liknar namnen pÄ riktiga banker, och de flesta nÀtfiskesidorna hade samma design, de enda skillnaderna var i namnen pÄ bankerna och deras logotyper.
I det hÀr fallet hjÀlpte automatiserad grafanalys oss mycket. Genom att ta en av deras domÀner - lloydsbnk-uk[.]com, byggde vi pÄ nÄgra sekunder en graf med ett djup pÄ 3 steg, som identifierade mer Àn 250 skadliga domÀner som har anvÀnts av denna grupp sedan 2015 och som fortsÀtter att anvÀndas . Vissa av dessa domÀner har redan köpts av banker, men historiska register visar att de tidigare var registrerade för angripare.
För tydlighetens skull visar figuren en graf med ett djup pÄ 2 steg.
Det Àr anmÀrkningsvÀrt att angriparna redan 2019 Àndrade sin taktik nÄgot och började registrera inte bara bankernas domÀner för att vara vÀrd för webbnÀtfiske, utan Àven olika konsultföretags domÀner för att skicka nÀtfiske-e-post. Till exempel domÀnerna swift-department.com, saudconsultancy.com, vbgrigoryanpartners.com.
KoboltgÀng
I december 2018 skickade hackergruppen Cobalt, som specialiserat sig pÄ riktade attacker mot banker, ut en e-postkampanj pÄ uppdrag av Kazakstans centralbank.
Breven innehöll lÀnkar till hXXps://nationalbank.bz/Doc/Prikaz.doc. Det nedladdade dokumentet innehöll ett makro som startade Powershell, som skulle försöka ladda och köra filen frÄn hXXp://wateroilclub.com/file/dwm.exe i %Temp%einmrmdmy.exe. Filen %Temp%einmrmdmy.exe aka dwm.exe Àr en CobInt stager konfigurerad för att interagera med servern hXXp://admvmsopp.com/rilruietguadvtoefmuy.
FörestÀll dig att inte kunna ta emot dessa nÀtfiske-e-postmeddelanden och utföra en fullstÀndig analys av de skadliga filerna. Grafen för den skadliga domÀnen nationalbank[.]bz visar omedelbart kopplingar till andra skadliga domÀner, tillskriver den till en grupp och visar vilka filer som anvÀndes i attacken.
LÄt oss ta IP-adressen 46.173.219[.]152 frÄn den hÀr grafen och bygga en graf frÄn den i ett steg och stÀnga av rengöringen. Det finns 40 domÀner associerade med det, till exempel bl0ckchain[.]ug
paypal.co.uk.qlg6[.]pw
cryptoelips[.]com
Att döma av domÀnnamnen verkar det som om de anvÀnds i bedrÀgliga system, men rengöringsalgoritmen insÄg att de inte var relaterade till denna attack och lade dem inte pÄ grafen, vilket avsevÀrt förenklar analys- och tillskrivningsprocessen.
Om du bygger om grafen med hjÀlp av nationalbank[.]bz, men inaktiverar grafrensningsalgoritmen, kommer den att innehÄlla mer Àn 500 element, varav de flesta inte har nÄgot att göra med Cobalt-gruppen eller deras attacker. Ett exempel pÄ hur en sÄdan graf ser ut ges nedan:
Slutsats
Efter flera Är av finjustering, testning i verkliga undersökningar, hotforskning och jakt pÄ angripare, lyckades vi inte bara skapa ett unikt verktyg, utan ocksÄ förÀndra attityden hos experter inom företaget till det. Till en början vill tekniska experter ha fullstÀndig kontroll över grafkonstruktionsprocessen. Att övertyga dem om att automatisk grafkonstruktion kunde göra detta bÀttre Àn en person med mÄnga Ärs erfarenhet var extremt svÄrt. Allt bestÀmdes av tid och flera "manuella" kontroller av resultaten av vad grafen producerade. Nu litar vÄra experter inte bara pÄ systemet, utan anvÀnder ocksÄ de resultat det fÄr i sitt dagliga arbete. Denna teknik fungerar i vart och ett av vÄra system och gör att vi bÀttre kan identifiera hot av alla slag. GrÀnssnittet för manuell grafanalys Àr inbyggt i alla Group-IB-produkter och utökar avsevÀrt möjligheterna för jakt pÄ cyberbrott. Detta bekrÀftas av analytiker recensioner frÄn vÄra kunder. Och vi fortsÀtter i sin tur att berika grafen med data och arbeta med nya algoritmer med hjÀlp av artificiell intelligens för att skapa den mest exakta nÀtverksgrafen.
KĂ€lla: will.com
