Zpracování big dat pro účely bezpečnosti není zcela nové. Když ovšem s něčím takovým přijde Facebook, stojí to za pozornost. Jejich systém sběru dat, analýzy a reakce dostal jméno ThreatData.
Bezpečnostní analytik FB Mark Hammel se na svém blogpostu Understanding Online Threats with ThreatData rozepsal o tom, jak největší sociální síť využívá big data k analýze hrozeb:
- feedy přinášejí data ze všech koutů datovýho vesmíru,
- úložné systémy je skladují a porovnávají s repozitáři Scuba a Hive,
- a systémy real-time odezvy využívají výsledky k akcím: jsou vytvářeny blacklisty nakažlivých URL, stahovány hashe zajímavých malwarů a informace o malwaru jsou implementovány do interních bezpečnostních systémů Facebooku.
A více rozepsáno pro SOOM.cz Daniel Beránek:
ThreatData zahrnuje tři oblasti činnosti: sběr dat, uložiště a procesy okamžité odezvy. Feedy sbírající data krmí systém informacemi ze všech možných zdrojů. Data jsou téměř z jakéhokoliv formátu transformována do schémat s názvem ThreatDatum. ThreatDatum obsahuje nejen základní informace o hrozbě, ale také info kontextuální – např. hashe malwarových souborů, URL škodlivých adres, „produktové“ informace o malwarových balíčcích. Kontextuální informace pak pomáhají vytvářet komplexní, zároveň však automatické procesy rozhodování.
Uložená data jsou komparována s dvěma repozitáři:
- Hive – skladuje informace o dávných a dlouhodobých hrozbách a
- Scuba – shromažďuje data o aktuálních hrozbách.
Vyhodnocení sebraných dat je v reálném čase podstoupeno systémům zpětné odezvy. Jsou aktualizovány blacklisty URL sloužících ochraně uživatelů. Další informace jsou zpracovány interními bezpečnostními procesy Facebooku. Systém také vyhodnocuje metadata útoků: odkud přicházejí, jejich druhy, frekvenci, časy a vzájemné spojitosti charakteristik.
Dle Marka Hammela (výzkumník datových hrozeb FB)
ThreatData úspěšně zachytil mnoho hrozeb, které standardním antivirům unikly (a zvlášť těm používaným Facebookem).Důvodem vzniku ThreatData je prevence kyber-útoků, které se pro internetové giganty stávají stále větším problémem, jak se ukázalo v případech Target a Microsoftu.Facebook by se prý chtěl se svým systémem podělit i s ostatními. I když, jak připouští Hammel:
se nejedná o přístup, který by byl ve všech aspektech nový, může jít o úspěšný produkt – vzhledem k byznysovému zázemí a marketingovému potenciálu značky Facebook.