ThreatData: Kako nas Facebook štiti od malvera i fišinga

Društvene mreže, 27.03.2014, 07:42 AM

Zaštita interne mreže kompanije ali i više od milijardu korisnika sajta je veliki izazov za Facebook. Korisnici društvene mreže su stalno meta svakojakih fišing napada i napada malvera, a interna mreža kompanije je takođe konstantno meta napada i glavni dobitak za hakere.

Da bi se Facebook bolje branio od malvera, fišinga i drugih pretnji, Facebookov tim zadužen za bezbednost razvio je ThreatData, interni framework za prikupljanje i obradu svih informacija do kojih je moguće doći o pretnjama na internetu, koje pomažu kompaniji da brže i efikasnije odgovori na nove pretnje.

Mnoge velike kompanije kao što je Facebook razvijaju sopstvene prilagođene bezbednosne alate i sisteme za analizu, ali većina kompanija ne voli da govori o tome kako se i čime brane od napada. Razlog za to je opšte prihvaćeno uverenje da objavljivanje informacija o odbrambenim metodama znači da se time pomaže i olakšava posao neprijatelju. Ali Facebook je u nekoliko navrata bio prilično otvoren u pogledu metoda pomoću kojih štiti svoju internu mrežu i korisnike.

I sa ThreatData je isti slučaj - kompanija je omogućila uvid u ThreatData framework koji pomaže Facebookovim inženjerima da budu u toku sa informacijama o novim malverima i fišing pretnjama koje se pojavljuju svakodnevno.

ThreatData se snabdeva informacijama sa interneta, informacijama koje dolaze od različitih proizvođača, i iz internih Facebookovih izvora. ThreatData uključuje snabdevanje informacijama, skladištenje informacija i odgovor u realnom vremenu.

Podaci koji se prikupljaju iz određenih izvora mogu biti u bilo kom formatu. Bez obzira na format oni se pretvaraju u jednostavan obrazac koja se naziva ThreatDatum. ThreatDatum može da skladišti ne samo osnovne informacije o pretnji, već i objašnjenje zbog čega je nešto loše. Dodato objašnjenje se koristi u drugim delovima frameworka da bi se automatski donosile bolje odluke.

Informacije koje se prikupljaju su informacije o malverima sa VirusTotala, maliciozni URL-ovi sa sajtova na kojima se prate malveri, informacije od različitih proizvođača koje Facebook kupuje i druge informacije koje se pretvaraju u “sirove podatke”.

Novi prikupljeni podaci se upoređuju sa već postojećim podacima koje Facebook čuva i to sa podacima o pretnjama iz prošlosti i dugoročnim pretnjama i novijim pretnjama.

Podaci se analiziraju u realnom vremenu a deluje se automatski - stavljanjem malicioznog URL-a na crnu listu da bi se zaštitili korisnici Facebooka, označavanjem malvera i prosleđivanjem malicioznog fajla na dalju analizu itd.

Iz kompanije kažu da je ThreatData do sada uočio mnoge pretnje koje konvencionalna antivirusna rešenja pa i ona koja Facebook interno koristi nisu uočila.

ThreatData omogućava Facebooku da razume odakle pretnje dolaze, da prepozna vrste napada, njihovu učestalost i kada se događaju napadi.

Primer kako funkcioniše ThreatData je neobična spam kampanja koja je identifikovana prošlog leta u okviru koje su se slali linkovi sa lažnih Facebook naloga koji su korisnike vodili do malvera za mobilne telefone (Trojan:J2ME/Boxer) koji može da krade informacije iz adresara telefona, šalje premium SMS spam poruke i koristi kameru telefona. Zahvaljujući ThreatData, Facebook je otkrio ovu spam kampanju koja je zaustavljena, a nakon analize malvera Facebook je zajedno sa partnerima uspeo da razbije infrastukturu bot mreže.

Više detalja o svemu ovom možete naći na https://www.facebook.com/notes/protect-the-graph/understanding-online-threats-with-threatdata/1438165199756960