Group-IB Сетевой граф

Продукт
Разработчики: F.A.C.C.T. (ранее Group-IB в России)
Дата премьеры системы: 2019/11/08
Отрасли: Информационные технологии
Технологии: Data Mining

2019: Представление решения для графового анализа сетевой инфраструктуры

8 ноября 2019 года компания Group-IB сделала публичной свою внутреннюю разработку для графового анализа сетевой инфраструктуры, способную за несколько секунд выстроить связи между разрозненными данными, атрибутировать атаку до конкретной хакерской группы, исследовать и прогнозировать угрозы, релевантные для конкретной организации или отрасли.

Запатентованные технологии сетевого графа Group-IB интегрированы в публичные продукты компании Threat Intelligence и Threat Detection System. Данный шаг со стороны Group-IB призван помочь аналитикам ситуационных центров и CERT (Центры реагирования на инциденты), экспертам по киберразведке и компьютерным криминалистам исследовать тактику и инфраструктуру атакующих, улучшать собственную систему безопасности и обогащать свои навыки в области хантинга.

Со слов разработчика, сетевой граф Group-IB создавался в течение нескольких лет, постоянно обогащаясь за счет индикаторов, полученных в ходе расследования киберпреступлений, реагирований на киберинциденты, анализа вредоносного ПО и других угроз, обнаруженных системами Threat Intelligence и Threat Detection System. Собранный за 16 лет работы массив исторических данных об атакующих включает миллиарды записей о доменных именах, IP-адресах, цифровых отпечатках серверов, задействованных в атаках, а также профили отдельных хакеров и групп.

Согласно заявлению разработчика, сетевой граф Group-IB дает возможность уйти от «сырых» индикаторов компрометации к исследованию атакующих и управлению угрозами, релевантными для конкретного бизнеса. Аналитик, использующий его в продуктах Group-IB, вводит в поисковую строку домен, IP-адрес, email или отпечаток SSL-сертификата, и система в автоматическом режиме строит граф, демонстрирующий взаимосвязи: информацию о доменных именах, IP-адресах, цифровых отпечатках серверов и др. Несмотря на то что большинство атакующих — особенно киберкриминальные и APT-группировки — стараются действовать максимально скрытно в сети, большинство из них в начале своего пути допускали ошибки и уделяли недостаточно внимания своей анонимности.

«
«Без знаний о том, кто представляет для вас угрозу, невозможно защититься от нападения и предотвратить ущерб. Мы изучили десятки поставщиков разных графов, прежде чем пришли к тому, что нам нужна собственная разработка. Ни один из анализируемых графов не содержал полные коллекции исторических данных: домены, Passive DNS, Passive SSL, DNS-записи, открытые порты, запущенные сервисы на портах, файлы, взаимодействующие с доменными именами и IP-адресами. Мы начали создавать такие коллекции сами, включая все обновления в них с разной глубиной, достигающей 15 лет. Нас не устраивало ручное построение графа у других поставщиков и мы полностью автоматизировали свой граф. В ответ на огромный объем «мусорных связей», которые дают другие продукты, мы обучили нашу систему выявлять нерелевантные элементы по той же логике, как это делали наши эксперты руками. Задача нашего графа – хантинг, безошибочная атрибуция и глубокие исследование атакующих. На ноябрь 2019 года этот инструмент доступен в наших продуктах»,
»

Работа сетевого графа Group-IB

Как отметили в Group-IB, граф позволяет не только находить связанные элементы, но и выявлять общие свойства — паттерны, характерные для определенной хакерской группы. Знание этих уникальных признаков позволяет распознавать инфраструктуру атакующих еще на этапе подготовки и даже без свидетельств, подтверждающих атаку, таких как фишинговые письма или вредоносные программы.

В случае с расследованием фишинговых атак, Интернет-мошенничества или пиратской деятельности, аналитики Group-IB автоматически строят графы связанных сетевых ресурсов и проверяют все найденные хосты на наличие аналогичного контента. Это позволяет выявлять как старые фишинговые сайты, которые были активны, но неизвестны, так и абсолютно новые, которые подготовлены для будущих атак, но еще не используются.

Кроме того, сетевой граф помогает при поиске бэкендов — серверной части: 99% кардшопов, хакерских форумов, множество фишинговых ресурсов и других вредоносных серверов скрываются как за собственными прокси-серверами, так и за прокси легитимных сервисов. Знание о реальном расположении вредроносного сервера поволяет установить хостинг-провайдера, а также построить связи с другими вредоносными проектами злоумышленников, подчеркнули в Group-IB.



Подрядчики-лидеры по количеству проектов

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Loginom Company (ранее BaseGroup Labs Аналитические технологии) (125)
  БизнесАвтоматика НПЦ (118)
  Инфосистемы Джет (13)
  Сбербанк (10)
  Marketing Logic (Маркетинг Лоджик) (9)
  Другие (623)

  Ростелеком (3)
  БизнесАвтоматика НПЦ (3)
  NLogic (2)
  Сапиенс солюшнс (Sapiens solutions) (2)
  Сбербанк (2)
  Другие (48)

  БизнесАвтоматика НПЦ (13)
  OneFactor (Уанфактор) ЕдиныйФактор (3)
  Мегапьютер Интелидженс (Megaputer Intelligence) (2)
  Яндекс (Yandex) (2)
  Московский центр инновационных технологий в здравоохранении (2)
  Другие (57)

  БизнесАвтоматика НПЦ (7)
  Департамент информационных технологий Москвы (ДИТ) (3)
  Полиматика (Polymatica) (2)
  Яндекс.Облако (Yandex Cloud) (2)
  Группа компаний ЦРТ (Центр речевых технологий) (2)
  Другие (62)

  БизнесАвтоматика НПЦ (3)
  SL Soft (СЛ Софт) (2)
  Сбер Бизнес Софт (2)
  Синимекс (Cinimex) (2)
  Университет Иннополис (2)
  Другие (55)

Распределение вендоров по количеству проектов внедрений (систем, проектов) с учётом партнёров

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Loginom Company (ранее BaseGroup Labs Аналитические технологии) (2, 236)
  БизнесАвтоматика НПЦ (2, 117)
  Полиматика (Polymatica) (4, 15)
  SL Soft (СЛ Софт) (4, 15)
  Oracle (12, 14)
  Другие (306, 171)

  БизнесАвтоматика НПЦ (1, 3)
  SL Soft (СЛ Софт) (1, 2)
  Dell EMC (1, 2)
  Полиматика (Polymatica) (1, 2)
  Napoleon IT (Наполеон Айти) (1, 1)
  Другие (6, 6)

  БизнесАвтоматика НПЦ (1, 13)
  Сбербанк (2, 2)
  Платформа больших данных (Platforma) (1, 2)
  HFLabs (ХФ Лабс), ранее HumanFactorLabs (1, 2)
  К-Скай (K-SkAI) (1, 2)
  Другие (14, 16)

  БизнесАвтоматика НПЦ (1, 7)
  Сбербанк (2, 2)
  Ситроникс КТ (ранее Кронштадт Технологии) (2, 2)
  SL Soft (СЛ Софт) (1, 2)
  Группа компаний ЦРТ (Центр речевых технологий) (1, 2)
  Другие (15, 18)

  SL Soft (СЛ Софт) (3, 4)
  Полиматика (Polymatica) (3, 4)
  Rubbles (Раблз) (1, 2)
  БизнесАвтоматика НПЦ (1, 2)
  Т1 (1, 1)
  Другие (8, 8)

Распределение базовых систем по количеству проектов, включая партнерские решения (проекты, партнерские проекты)

За всю историю
2021 год
2022 год
2023 год
Текущий год

  Deductor - 226 (226, 0)
  Visary BI Платформа бизнес-аналитики - 117 (117, 0)
  Искусственный интеллект (ИИ, Artificial intelligence, AI) - 32 (0, 32)
  Polymatica Analytics Аналитическая платформа - 14 (13, 1)
  IBM SPSS Decision Management - 10 (10, 0)
  Другие 102

  Visary BI Платформа бизнес-аналитики - 3 (3, 0)
  Искусственный интеллект (ИИ, Artificial intelligence, AI) - 2 (0, 2)
  EMC Greenplum Data Computing Appliance - 2 (2, 0)
  Polymatica Analytics Аналитическая платформа - 2 (2, 0)
  Loginom Аналитическая платформа - 1 (1, 0)
  Другие 1

  Visary BI Платформа бизнес-аналитики - 13 (13, 0)
  Искусственный интеллект (ИИ, Artificial intelligence, AI) - 5 (0, 5)
  Platforma и HFLabs: Технология безопасного метчинга данных - 2 (2, 0)
  Loginom Аналитическая платформа - 2 (2, 0)
  PolyAnalyst Платформа визуальной разработки сценариев анализа данных и текстов - 2 (2, 0)
  Другие 2

  Visary BI Платформа бизнес-аналитики - 7 (7, 0)
  Искусственный интеллект (ИИ, Artificial intelligence, AI) - 5 (0, 5)
  Polymatica Analytics Аналитическая платформа - 2 (2, 0)
  ЦРТ: Speech Analytics Lab - 2 (2, 0)
  PIX Process Management (PIX Процессы) - 2 (2, 0)
  Другие 6

  Искусственный интеллект (ИИ, Artificial intelligence, AI) - 6 (0, 6)
  Polymatica Analytics Аналитическая платформа - 3 (2, 1)
  Visary BI Платформа бизнес-аналитики - 2 (2, 0)
  МТС DataOps Platform - 1 (1, 0)
  Сфера. Интеллектуальный анализ процессов - 1 (1, 0)
  Другие -7