Аналитическое подразделение Microsoft по борьбе с преступлениями в сфере высоких технологий Digital Crimes Unit (DCU) было создано в ноябре прошлого года. Его руководитель Брайан Хёрд (Bryan Hurd) в интервью изданию Computer Weekly отметил, что единственный способ противостоять росту киберпреступности — развивать технологии анализа «больших данных».
«Масштабная преступная деятельность в сети приводит к тому, что обкрадывают целые страны, и часто это сходит злоумышленникам с рук, — говорит Хёрд. — Противостоять этому могут только столь же масштабные системы, созданные в рамках партнёрских инициатив».
Важным моментом здесь остаётся соблюдение прозрачности схемы получения данных через открытое государственно-частное партнёрство. У пользователей не должно оставаться сомнений относительно преследуемых целей и типов используемых сведений.
«Большие данные» выступают здесь в роли ультимативного инструмента расследования. Внедряя очередную схему, злоумышленники повсюду оставляют цифровые следы. По отдельности эти малые изменения обычно игнорируются. Однако на уровне «больших данных» преступление с использованием сетевых технологий выглядит как характерный паттерн. Полностью скрыть его не удастся, как бы тщательно ни маскировались отдельные проявления.
Сетевые атаки часто затрагивают многих участников рынка. По мнению Хёрда, противостоять преступным группам сегодня возможно, только если государственные и частные компании начнут делиться данными для расследования инцидентов друг с другом, не опасаясь риска для легального бизнеса.
Например, сегодня стало гораздо легче отследить нелегальные ключи активации программных продуктов. Раньше сами разработчики выявляли только украденные однопользовательские лицензии, когда их пыталось одновременно использовать несколько человек. Сейчас обмен данными позволяет увидеть, что корпоративный ключ одной из программ был украден или происходит проверка генератора ключей.
«С помощью визуализации больших объёмов совместных данных мы можем видеть необычные всплески активности на серверах регистрации, что может указывать на тестирование украденных или сгенерированных ключей», — пояснил Хёрд. Без средств визуализации эти аномалии, скорее всего, оставались бы незамеченными.
Хёрд отметил, что традиционными средствами веб-мониторинга противодействовать пиратству сегодня уже вряд ли возможно. «В мире существует свыше 600 млн сайтов; с использованием “больших данных” выявление незаконных загрузок контрафактного ПО заметно упростилось», — сказал он.
Однако пиратство — далеко не единственное явление, с которым борются в DCU. Сегодня на технологиях анализа «больших данных» Microsoft создаёт целую инфраструктуру для предотвращения любой нелегальной сетевой активности.
Большинство сетевых атак и рассылок спама выполняются с заражённых компьютеров, формирующих ботнеты. Определение их состава и управляющих серверов — важная задача обеспечения глобальной информационной безопасности. В этом направлении работают и отечественные компании, включая ООО «Доктор Веб» и ЗАО «Лаборатория Касперского». Каждая фирма использует свои уникальные методы, но все они в конечном счёте опираются на расширенный анализ статистики.
Применяя технологии анализа «больших данных», в Microsoft разрабатывают алгоритмы, упрощающие определение управляющих серверов и перехват контроля над ними.
«Мы также предупреждаем провайдеров о том, что компьютеры их абонентов заражены, — пояснил Хёрд. — Такое сотрудничество помогает узнать дополнительные детали о сетевой активности и вычислить дальнейшие шаги преступной группы».
Криминальные схемы постоянно меняются. Чтобы вовремя реагировать на них и отслеживать новые тенденции, сейчас важно разрабатывать универсальные аналитические инструменты, способные работать с любым набором «больших данных».
Вот как выразился Брайан Хёрд: «Оперативное извлечение актуальной информации в океане данных выходит за рамки статичной визуализации и позволяет решать проблемы гораздо быстрее».
Мошенники могут открывать новые сайты каждый день, но реализовать схему их монетизации гораздо сложнее. Поэтому сразу несколько источников нелегального дохода выводят деньги на какой-то один счёт, используя для этого промежуточные платёжные системы. Применяя новые методы, специалистам DCU удалось оперативно сопоставить сотни нелегальных сайтов двенадцати банковским счетам.