ThreatData: big data Facebooku užitečně

Facebook: ikona sociální sítě, služby a společnosti

Zpracování big dat pro účely bezpečnosti není zcela nové. Když ovšem s něčím takovým přijde Facebook, stojí to za pozornost. Jejich systém sběru dat, analýzy a reakce dostal jméno ThreatData.

Bezpečnostní analytik FB Mark Hammel se na svém blogpostu Understanding Online Threats with ThreatData rozepsal o tom, jak největší sociální síť využívá big data k analýze hrozeb:

  • feedy přinášejí data ze všech koutů datovýho vesmíru,
  • úložné systémy je skladují a porovnávají s repozitáři Scuba a Hive,
  • a systémy real-time odezvy využívají výsledky k akcím: jsou vytvářeny blacklisty nakažlivých URL, stahovány hashe zajímavých malwarů a informace o malwaru jsou implementovány do interních bezpečnostních systémů Facebooku.

A více rozepsáno pro SOOM.cz Daniel Beránek:

ThreatData zahrnuje tři oblasti činnosti: sběr dat, uložiště a procesy okamžité odezvy. Feedy sbírající data krmí systém informacemi ze všech možných zdrojů. Data jsou téměř z jakéhokoliv formátu transformována do schémat s názvem ThreatDatum. ThreatDatum obsahuje nejen základní informace o hrozbě, ale také info kontextuální – např. hashe malwarových souborů, URL škodlivých adres, „produktové“ informace o malwarových balíčcích. Kontextuální informace pak pomáhají vytvářet komplexní, zároveň však automatické procesy rozhodování.

Uložená data jsou komparována s dvěma repozitáři:

  • Hive – skladuje informace o dávných a dlouhodobých hrozbách a
  • Scuba – shromažďuje data o aktuálních hrozbách.

Vyhodnocení sebraných dat je v reálném čase podstoupeno systémům zpětné odezvy. Jsou aktualizovány blacklisty URL sloužících ochraně uživatelů. Další informace jsou zpracovány interními bezpečnostními procesy Facebooku. Systém také vyhodnocuje metadata útoků: odkud přicházejí, jejich druhy, frekvenci, časy a vzájemné spojitosti charakteristik.

Dle Marka Hammela (výzkumník datových hrozeb FB) ThreatData úspěšně zachytil mnoho hrozeb, které standardním antivirům unikly (a zvlášť těm používaným Facebookem). Důvodem vzniku ThreatData je prevence kyber-útoků, které se pro internetové giganty stávají stále větším problémem, jak se ukázalo v případech Target a Microsoftu.

Facebook by se prý chtěl se svým systémem podělit i s ostatními. I když, jak připouští Hammel: se nejedná o přístup, který by byl ve všech aspektech nový, může jít o úspěšný produkt – vzhledem k byznysovému zázemí a marketingovému potenciálu značky Facebook.

Zdroje