Facebook ThreatData


Facebook разработал ориентированный на безопасность фреймворк под названием ThreatData, который, по его словам, упростит управление рядом онлайн-угроз.

Платформа пытается предоставить единый источник информации об угрозах в Интернете. По словам исследователя интернет-угроз Facebook Марка Хэммелла, идея заключается в следующем:

«Учитывая сегодняшние темпы преступников, одной из самых сложных задач является отслеживание всех данных, связанных с вредоносным ПО, фишингом и другими рисками. Нам нужен был более простой способ организации нашей работы и включения новой информации об угрозах, которую мы получаем, чтобы мы могли делать больше для защиты людей ».

Созданная разработчиками структура Facebook позволяет компании импортировать информацию о «плохих качествах» в Интернете в произвольных форматах, эффективно хранить ее и делать данные доступными как для систем защиты в реальном времени, так и для долгосрочного анализа.

Инфраструктура ThreatData состоит из трех высокоуровневых частей: каналов, хранилища данных и ответа в реальном времени.

Каналы собирают данные из определенного источника и реализуются через легкий интерфейс. Данные могут быть импортированы в большинстве форматов, и канал преобразует их в простую схему, способную хранить не только основные сведения об угрозе (например, evil-malware-domain.biz), но и контекст, в котором она была Плохо. Добавленный контекст используется в других частях структуры для принятия более информированных, автоматических решений.

После преобразования данные передаются как в Hive, так и в Scuba; Затем Hive используется для ответа на вопросы, основанные на долгосрочных данных, таких как «Видели ли мы когда-нибудь эту угрозу раньше?» и «Какой тип угроз является более распространенным, с нашей точки зрения: вредоносное ПО или фишинг?», а Scuba используется для более непосредственного анализа на тему «Какие новые вредоносные программы мы видим сегодня?» и «Где находится большинство новых фишинговых сайтов?».

Facebook также разработал процессор для проверки данных во время регистрации и реагирования на каждую из этих новых угроз. Хаммелл привел примеры, реализованные до сих пор, включая тот факт, что все вредоносные URL-адреса, собранные из любого канала, отправляются в тот же черный список, который используется для защиты людей на facebook.com; и что интересные хэши вредоносных файлов автоматически загружаются из репозиториев известных вредоносных программ, сохраняются и отправляются для автоматического анализа.

Анализ выявил некоторые тенденции распространения вредоносного ПО, в том числе кампанию по рассылке спама, направленную на функциональные телефоны, которые были способны украсть адресную книгу жертвы, рассылать спам в виде SMS премиум-класса и использовать камеру телефона для съемки. Платформа также позволяет Facebook видеть, откуда исходят угрозы, с разбивкой по типу атаки, времени и частоте. Примечания включают глобальную тепловую карту, показывающую вредоносные и пострадавшие IP-адреса, с круговой диаграммой, показывающей аналогичные результаты для США, полученные от интернет-провайдера.

В своем посте Хэмелл комментирует:

«Подобные открытия и возможности обнаружения — лишь верхушка айсберга. Мы постоянно ищем новые способы улучшить и расширить структуру ThreatData, чтобы охватить новые угрозы и принимать более разумные решения на основе уже выявленных ».


Добавить комментарий