Аналітичний підрозділ Microsoft по боротьбі зі злочинами в сфері високих технологій Digital Crimes Unit (DCU) було створено в листопаді минулого року. Його керівник Брайан Херд (Bryan Hurd) в інтерв'ю виданню Computer Weekly зазначив , Що єдиний спосіб протистояти зростанню кіберзлочинності - розвивати технології аналізу «великих даних».
«Масштабна злочинна діяльність в мережі призводить до того, що обкрадають цілі країни, і часто це сходить зловмисникам з рук, - каже Херд. - Протистояти цьому можуть тільки настільки ж масштабні системи, створені в рамках партнерських ініціатив ».
Microsoft DCU - відділ по боротьбі зі злочинами в сфері високих технологій (фото: Microsoft).
Важливим моментом тут залишається дотримання прозорості схеми отримання даних через відкрите державно-приватне партнерство. У користувачів не повинно залишатися сумнівів щодо переслідуваних цілей і типів використовуваних відомостей.
«Великі дані» виступають тут в ролі ультимативного інструменту розслідування. Впроваджуючи чергову схему, зловмисники всюди залишають цифрові сліди. Окремо ці малі зміни зазвичай ігноруються. Однак на рівні «великих даних» злочин з використанням мережевих технологій виглядає як характерний патерн. Повністю приховати його не вдасться, як би ретельно маскувалися окремі прояви.
Вимога прозорості часом розуміють буквально (фото: microsoft.com).
Мережеві атаки часто зачіпають багатьох учасників ринку. На думку Херда, протистояти злочинним групам сьогодні можливо, тільки якщо державні і приватні компанії почнуть ділитися даними для розслідування інцидентів один з одним, не побоюючись ризику для легального бізнесу.
Наприклад, сьогодні стало набагато легше відстежити нелегальні ключі активації програмних продуктів. Раніше самі розробники виявляли тільки вкрадені однопользовательские ліцензії, коли їх намагалося одночасно використовувати кілька людей. Зараз обмін даними дозволяє побачити, що корпоративний ключ однієї з програм був вкрадений або відбувається перевірка генератора ключів.
«За допомогою візуалізації великих обсягів спільних даних ми можемо бачити незвичайні сплески активності на серверах реєстрації, що може вказувати на тестування вкрадених або згенерованих ключів», - пояснив Херд. Без засобів візуалізації ці аномалії, швидше за все, залишалися б непоміченими.
Візуалізація даних допомагає побачити неявні ознаки аномальної мережевої активності (фото: inspiritoo.com).
Херд зазначив, що традиційними засобами веб-моніторингу протидіяти піратству сьогодні вже навряд чи можливо. «У світі існує понад 600 млн сайтів; з використанням "великих даних" виявлення незаконних завантажень контрафактного ПЗ помітно спростилося », - сказав він.
Однак піратство - далеко не єдине явище, з яким борються в DCU. Сьогодні на технологіях аналізу «великих даних» Microsoft створює цілу інфраструктуру для запобігання будь-нелегальної мережевої активності.
Більшість мережевих атак і розсилок спаму виконуються з заражених комп'ютерів, які формують ботнети. Визначення їх складу і керуючих серверів - важливе завдання забезпечення глобальної інформаційної безпеки. В цьому напрямку працюють і вітчизняні компанії, включаючи ТОВ «Доктор Веб» і ЗАТ «Лабораторія Касперського». Кожна фірма використовує свої унікальні методи, але всі вони в кінцевому рахунку спираються на розширений аналіз статистики.
Карта активності ботнетів (фото: cioturk.com).
Застосовуючи технології аналізу «великих даних», в Microsoft розробляють алгоритми, що спрощують визначення керуючих серверів і перехоплення контролю над ними.
«Ми також застерігаємо провайдерів про те, що комп'ютери їхніх абонентів заражені, - пояснив Херд. - Така співпраця допомагає дізнатися додаткові деталі про мережеву активність і обчислити подальші кроки злочинної групи ».
Кримінальні схеми постійно змінюються. Щоб вчасно реагувати на них і відстежувати нові тенденції, зараз важливо розробляти універсальні аналітичні інструменти, здатні працювати з будь-яким набором «великих даних».
Ось як висловився Брайан Херд: «Оперативне витяг актуальної інформації в океані даних виходить за рамки статичної візуалізації і дозволяє вирішувати проблеми набагато швидше».
Шахраї можуть відкривати нові сайти кожен день, але реалізувати схему їх монетизації набагато складніше. Тому відразу кілька джерел нелегального доходу виводять гроші на якийсь один рахунок, використовуючи для цього проміжні платіжні системи. Застосовуючи нові методи, фахівцям DCU вдалося оперативно співставити сотні нелегальних сайтів дванадцяти банківських рахунків.