НЕ мониторинговая система

В какой-то момент нам стало важно быстро выявлять репутационные атаки на защищаемый объект. Долго пробовали и эксперементировали и в результате появился Альбатрос.

Альбатрос это не мониторинговая система в её общепринятом понимании. Мы не стремимся дать максимально полную картину по медиаактивности вокруг исследуемого Объекта. Для этого есть много хороших уже существующих систем, о которых вы все слышали. Все они прекрасно показывают кто, что и когда говорит. А наша задача - вовремя увидеть атаку на репутацию и предупредить. В идеале – когда атаку еще готовят, неплохо – в момент ее начала.

Альбатрос нацелен на определение атак на репутацию защищаемого Объекта. Мы выявляем признаки таких атак, а иногда и подготовки атаки. И в этом смысле концепция Альбатроса очень созвучна с концепцией, продвигаемой Андреем Масаловичем. Нам не нужно найти и собрать всё, нам нужно найти главное. То, что прямо укажет на искомое. А для этого нет смысла тратить ресурсы на сбор всего. Именно концентрация на определенных признаках в сочетании с уникальными компетенциями коллег в области расследования киберпреступлений и позволила создать алгоритмы, эффективно выявляющие атаку на репутацию.

Первое принципиальное отличие от известных мониторинговых систем это источники данных. Конечно, мы собираем и публикации в СМИ и в соцсетях, и комментарии и репосты. Но все они играют скорее вспомогательную роль. Нашими главными источниками являются площадки, где обычно зарождается атака на репутацию или где происходит ее развитие. В результате наблюдения за процессами вокруг репутации разных объектов, нами выявлено только основных типов таких площадок с десяток. Наиболее известный из них это агрегаторы компромата. Да-да те самые сайты Компромат-ру или давний Коготь. Но вот сколько вы знаете подобных ресурсов? Десять, двадцать, пятьдесят?... Вот и мониторинговые системы знают примерно столько-же, а их значительно больше. Мы в данный момент отслеживаем больше двух тысяч таких площадок. И эта цифра меняется практически каждый день. Дело в том, что подобные сайты создаются не только на «федеральном» уровне, но и на региональном и на местном. Мало того такие сайты создаются под определенную отрасль, и нередко под определенный объект. Да еще они имеют свойство «умирать» в силу прекращения финансирования атаки, выкупа сайта заинтересованной стороной или его блокировки. И это всё нужно уметь отслеживать. И желательно не вручную. А еще есть «сливные бачки» и это не совсем агрегаторы компромата, хотя зарабатывают на том-же, есть отзовики и их тоже не десяток и не два, есть сайты петиций и их тоже гораздо больше чем один change.org))) И еще раз повторю, это только «традиционные» для проявления проблемы типы площадок.

Второе важное отличие – алгоритмы, заложенные в систему. В первую очередь это алгоритмы анализа слабых сигналов, по которым можно выявить атаку еще на стадии ее зарождения. Мы нашли и проверили ряд закономерностей, которые указывают на подготовку атаки или ее начало. Их вновь не пять и не десять, а гораздо больше. Все они имеют свои тонкости, требуют своих специфических данных, своих способов интерпретации и нацелены каждый на свой узкий набор особенностей. Эти алгоритмы обогащают результаты друг друга. По отдельности каждый из них даёт много ложных срабатываний, но вместе их точность высока. Это отдельное большое направление, тесно связанное с расследованием киберпреступлений и частично в него интегрированное.

Не менее важны алгоритмы выявления сайтов, которые могут быть источником атак. Например, учитывая объемы и постоянное изменение числа сайтов-агрегаторов компромата, их выявление нужно автоматизировать, что мы и сделали. Безусловно это не исключает ручной труд аналитиков. В качестве иллюстрации есть смысл привести сбор данных на закрытых площадках в DarkNet. На тех самых, где аккаунт блокируют по первому подозрению ибо риски пользователей доходят до пожизненного заключения. А ведь на таких площадках в том числе продают краденные аккаунты соцсетей, которые часто используют в репутационных атаках или нанимают исполнителей для таких атак. Для отслеживания и обработки всего этого в компании есть еще одно специализированное подразделение threat intelligence.

Третье важное отличие от мониторинговых систем – представление данных пользователю. В нём потребовалось совместить несовместимое. С одной стороны, людям, принимающим решения некогда разглядывать красивые развесистые графики и диаграммы, им необходимо быстро понять есть проблема или нет. Вплоть до красной лампочки. Если не горит, значит всё норм и нет смысла заглядывать. Если загорелась – выявили зарождение атаки, надо действовать. И для этого рядом с лампочкой есть одна большая красная кнопка. Примерно так выглядит идеальный интерфейс с точки зрения занятого человека. Этот минимализм нам надо было совместить с объяснениями в чем выражается угроза, где и как она проявляется, чтобы на основе этих данных принять обоснованное решение о дальнейших действиях. И мы нашли способ такого совмещения.

Теперь имея одновременно в работе несколько десятков активных проектов не нужно всматриваться в графики каждого чтобы увидеть опасную корреляцию и понять надо тратить время в данный момент или можно заглянуть попозже. Всё это видно сразу и по всем проектам и видно где сейчас проблема, где она будет завтра, а где всё спокойно.

Здесь приведен уже устаревший интерфейс. В данный момент мы модернизируем его в сторону еще большего упрощения восприятия опасности и предоставления более детальной информации по выявленной опасности. Вновь совмещаем несовместимое. И по отзывам коллег, задействованных в тестировании, вполне удачно совмещаем.