Threat Intelligence

1.      Interní výzkum

1. Analýza síťového provozu
2. Automatizovaná analýza phishingu
3. Neuronové sítě
4. Dark Web Scouting Team

2.      Globální partnerství

1. Důvěryhodní partneři
2. Společný výzkum
3. OSINT

3.      Regionální partnerství

1. CERT
2. Evropská komise (DNS4EU)
3. Týmy pro prevenci podvodů telekomunikačních společností
4. Crowdsourcing
5. Místní OSINT

Threat Intelligence

Skutečný rozdíl v reálném čase

Pokud lze současnou situaci v oblasti globálních kybernetických hrozeb definovat jedním slovem, pak je to slovo „rychlý“. Neustále se objevují nové hrozby, nové techniky a nové zranitelnosti. Abychom byli vždy o krok napřed před kyberzločinci, čelíme těmto výzvám novými řešeními, novými algoritmy a novými přístupy.

Provádíme vlastní výzkum a kombinujeme jej s pečlivým a průběžným vyhodnocováním mnoha zdrojů, abychom získali nejlepší výsledky ve své třídě.     

Díky největšímu počtu nasazení kybernetické bezpečnosti pro spotřebitele z oblasti telekomunikací na trhu a stovkám zákazníků z řad poskytovatelů internetových služeb po celém světě máme možnost analyzovat a interpretovat obrovský globální internetový provoz.

Spolupracujeme s výzkumnými institucemi a akademickou sférou, abychom posunuli schopnosti detekce hrozeb pomocí strojového učení na vyšší úroveň.     

Všechny naše algoritmy neustále dolaďujeme na základě sledovaného provozu, abychom zajistili absolutní aktuálnost s co nejmenší chybovostí, což vede k nejnižší míře falešně pozitivních výsledků na trhu.

Všechny vstupy spotřebováváme v reálném čase a výsledky našeho úsilí v oblasti Threat Intelligence okamžitě šíříme do Whalebone DNS Resolverů namísto pravidelných hromadných aktualizací, abychom neztráceli žádný čas. 

Vždy přibližujeme a spolupracujeme s místními odborníky na Threat Intelligence, jako jsou CERTS a interní bezpečnostní týmy telekomunikačních společností, abychom zajistili nejlepší regionální Threat Intelligence na trhu.

Interní výzkum

Náš tým Threat Intelligence neustále testuje a hodnotí všechny naše zdroje, včetně našich vlastních. Neustále je přehodnocujeme, abychom zajistili co nejaktuálnější informace, a aktualizujeme naše skórovací algoritmy na základě nových hrozeb.

Analyzujeme historická data, statistiky a využíváme naši jedinečnou technologii, abychom vytvořili co nejlepší hodnocení škodlivosti domény. Při určování, zda má být doména zablokována, či nikoli, se zohledňuje více faktorů a algoritmů.

Náš interní výzkum lze rozdělit do čtyř hlavních kategorií:

1. Analýza síťového provozu
2. Automatická analýza phishingu
3. Neuronové sítě
4. Tým pro průzkum temného webu (Dark Web)

1. Analýza provozu v síti

Důležitým pilířem našeho interního výzkumu je analýza síťového provozu. Zkoumáme počet uživatelů komunikujících s doménami v čase, v různých časových intervalech a z různých regionů. Kontrolujeme nedávné změny a pomocí statistické analýzy odhalujeme nesrovnalosti nebo podezřelé aktivity, které je třeba dále zkoumat.

Zároveň využíváme strojové učení historických kontaktů pro každou jednotlivou doménu na základě rozsáhlého provozu, který získáme k analýze. Vždy bereme v úvahu standardní chování uživatelů a všechny možné metainformace, ke kterým máme přístup ze záznamů komunikace DNS.

2. Automatizovaná analýza phishingu

Zkoumáme nově registrované domény a vydané certifikáty a porovnáváme je s platnými službami a jejich doménami, abychom odhalili domény vytvořené nebo vygenerované za účelem phishingu. Naše algoritmy analyzují regulární fráze i neviditelná metadata, včetně metadat z certifikátů.

Analyzujeme trendy a vzory, které kyberzločinci používají pro vytváření těžko rozpoznatelných falešných domén. Tímto způsobem se dostáváme k blokování domén, které klamou běžné uživatele tím, že jsou podobné službám, které denně používají.

3. Neuronové sítě Whalebone

Abychom mohli neustále zachycovat činnost kyberzločinců, vyvíjíme nové technologie, které umožňují předvídat jejich další kroky a reagovat rychleji, než je v lidských silách.

Whalebone DGA Sonar

Zločinci často používají takzvané algoritmy generování domén (DGA), aby zabránili orgánům činným v trestním řízení odstavit místa setkání infikovaných počítačů a řídicích a kontrolních serverů. Pravidelně generují velké množství domén na základě předem definovaných pravidel, kterých se infikovaná zařízení snaží dosáhnout.

Ve spolupráci s ČVUT v Praze jsme vyvinuli unikátní neuronovou síť, která dokáže určit domény generované DGA a předpovědět domény, které budou generovány v budoucnu. Tímto způsobem jsme vždy o krok napřed.

Virtuální analytik Whalebone

Přestože naši odborníci na analýzu hrozeb pečlivě analyzují podezřelé domény, vzhledem k objemu globálního provozu, který společnost Whalebone zpracovává, není možné spoléhat se pouze na manuální práci. Proto jsme vyvinuli výkonný nástroj Virtual Analyst, který nám pomáhá.

Tato neuronová síť napodobuje chování skutečného analytika. Využívá vyhledávače k získání dalších informací o doméně, hledá články, které by o doméně pojednávaly, zkoumá odkazy na pískoviště a na základě výsledků vyhledávání vytváří kvalifikované předpoklady.

Tunelový blok

Jednou z velmi důležitých škodlivých technik, které využívají protokol DNS, je tzv. tunelování DNS. Hackeři používají tunelování DNS k pašování zakódovaných dat v různých formátech prostřednictvím běžné komunikace DNS.

Aplikace Whalebone Tunnel Block je vyškolena tak, aby blokovala exfiltraci dat, aniž by narušila běžné, neškodné požadavky na překlad DNS.

4. Tým pro průzkum temného webu (Dark Web)

Pro naši bezpečnostní vrstvu ochrany identity máme specializovaný tým odborníků, kteří denně prozkoumávají veřejně dostupná i skrytá fóra a aktualizují naši databázi uniklých přihlašovacích údajů. Současně pátráme po datech, která byla ukradena malwarem a hromadnými výpisy z malwaru, spywaru, keyloggerů atd.

Při ukládání všech těchto informací dáváme přednost ochraně soukromí. Uchováváme například pouze údaje označující nalezená uniklá hesla, nikoli hesla samotná. Příležitostně můžeme části ukradených přihlašovacích údajů sdílet s koncovými zákazníky, čímž zajistíme, že při ukládání nepředstavují žádnou škodu.

Globální partnerství

Věříme, že ConnectedMeansProtected – jde o propojení výzkumných a vývojových týmů a využití poznatků výzkumníků z celého světa.

Proto pečlivě vybíráme, vyhodnocujeme a průběžně testujeme různé partnery a zdroje, abychom zajistili co nejlepší výsledky.

• Důvěryhodní partneři

Spolupracujeme s dodavateli specializujícími se na různé oblasti a průběžně analyzujeme prostředí potenciálních partnerů. tento proces zahrnuje průběžné bodování a přehodnocování různých zdrojů, jejichž kvalita se v průběhu času mění u různých typů malwaru, regionů atd. Aby byla zajištěna co nejvyšší kvalita souboru zdrojů, je třeba je důkladně testovat.

Kromě dodavatelů spolupracujeme také se službami pro odebírání zdrojů, které nás informují o doménách, jež se ukázaly jako škodlivé.

• Společný výzkum

Spolupracujeme s univerzitami a výzkumnými ústavy, abychom posunuli bezpečnost DNS i ochranu identity kupředu. Podílíme se na výzkumných projektech při řešení konkrétních problémů a průběžně spolupracujeme s univerzitami, jako je ČVUT v Praze, a výzkumnými ústavy, jako je polský Národní výzkumný institut (NASK).

• OSINT – úvod – zdroje pro tento experimentální vývoj

Dalším zdrojem informací pro naše Threat Intelligence Engines jsou standardní Open Source Threat Intelligence Feeds. Pečlivě vyhodnocujeme jejich kvalitu, konkrétní silné a slabé stránky, abychom je mohli plně využít. Kromě toho využíváme i další veřejně dostupné zdroje, abychom mohli provádět automatické analýzy online diskusí o škodlivém softwaru – například automaticky analyzujeme diskuse na sociálních sítích, abychom odhalili domény, o kterých se diskutuje jako o škodlivých

Regionální partnerství

Ačkoli v oblasti kybernetické bezpečnosti existuje mnoho globálních trendů a kampaní, schopnost přiblížit a zaměřit se na lokalizované zpravodajské informace o hrozbách je to, co dělá rozdíl, pokud jde o regionální nebo specializované hrozby.

Proto se výrazně zaměřujeme na regionální partnerství a také na systémy a procesy, které umožňují sdílení lokálních informací Threat Intelligence. Nejviditelněji to ovlivňuje náš produkt pro vlády, Immunity DNS4GOV, a aktivity spojené s DNS4EU, ale toto úsilí má silný pozitivní dopad na všechny naše produkty a služby.

• CERT

Aktivně navazujeme vztahy s místními skupinami CERT a dalšími vládními agenturami, abychom zlepšili naše regionální zpravodajství o hrozbách. Vzhledem k tomu, že díky partnerství s telekomunikačními operátory provozujeme řešení DNS pro značnou část populace mnoha zemí, jedná se o oboustranně výhodný vztah. Poskytujeme nástroj pro CERT, který umožňuje blokovat škodlivé domény pro mnoho občanů, a zároveň se zlepšuje naše regionální zpravodajství o hrozbách.

Kromě toho spolupracujeme se skupinami CERT při zavádění systému DNS4EU.

• Evropská komise (DNS4EU)

DNS4EU je oficiální bezpečné a soukromé řešení DNS Evropské unie pro občany, instituce a vlády. Evropská komise nás pověřila vedením konsorcia odpovědného za vývoj a implementaci bezpečného a soukromí respektujícího řešení DNS pro evropské občany a země. Abychom dosáhli cílů projektu DNS4EU, spolupracujeme s agenturou ENISA, Evropskou komisí a vedeme konsorcium 11 klíčových institucí z 9 evropských zemí.

Tento projekt (start 12/2024) nám umožňuje výrazně zlepšit naše zpravodajství o hrozbách a spolupracovat s řídicími orgány na zlepšení celkové bezpečnostní situace celých zemí.

• Týmy pro prevenci podvodů v telekomunikačních společnostech (týká se Telco operátorů, uvádíme pro celkový přehled)

Díky největšímu počtu nasazení kybernetické bezpečnosti u spotřebitelů v telekomunikačních společnostech nelze přeceňovat naši spolupráci s desítkami bezpečnostních expertů z telekomunikačních společností. Spolupráce s interními týmy Telco výrazně zlepšuje naše zpravodajství o hrozbách.

Pro úspěšnou integraci máme standardizovanou metodiku a mnoho možností propojení týmů telco. Zároveň jsme připraveni přizpůsobit naši technologii možnostem telco pro sdílení Threat Intelligence a upravit procesy i systém.

• CrowdSourcing (výzva široké veřejnosti, aby četla a přispěla k výsledkům pomocí tzv. otevřených zdrojů)

Mnoha našim větším zákazníkům pomáháme vytvořit možnosti, jak mohou koncoví uživatelé nahlásit podezřelou aktivitu. K dispozici je mnoho osvědčených možností, se kterými můžeme našim zákazníkům pomoci.

Tímto způsobem se i běžní spotřebitelé podílejí na zvyšování našeho Threat Intelligence a ochraně svých spoluobčanů.

• Místní OSINT (touto jednoduchou metodou získáváme min. 70 % informací pro další směrování exp. vývoje nového produktu)

Všude, kde jsou k dispozici regionální zdroje OSINT, vyčleňujeme zdroje a úsilí na jejich analýzu, vyhodnocujeme jejich přínos a případně je vhodně začleňujeme do našich stávajících algoritmů, https://cs.wikipedia.org/wiki/Zpravodajstv%C3%AD_z_otev%C5%99en%C3%BDch_zdroj%C5%AF .