Рассмотрим кейс, когда, благодаря платформе Palantir, было проведено специальное расследование по вычислению неблагонадежного сотрудника посольства, который сливал информацию сторонней организации.
В расследовании анализировались сетевой трафик, информация роутеров, данные контактных карт и бэйджей сотрудников, события, данные соцсетей, данные видеонаблюдения. Благодаря статическому, временному анализу, анализу геоданных и визуальному анализу «крот» был раскрыт.
Тридцатого уничтожить.
(За помощь в подготовке статьи отдельное спасибо Алексею Ворсину, российскому эксперту по системе Palantir)
Часть 1
0:00 В этом видео использованы данные логов использования карточек доступа, IP логов и список идентификационных номеров персонала.
0:07 На платформе Palantir мы можем объединить, и объединим все эти данные в одно расследование, чтобы выявить подозрительный обмен информацией и связать его с возможным подозреваемым.
0:20 Для начала мы импортируем данные. 0:25 Мастер импорта Palantir (Palantir Import Wizard) позволяет пользователю разметить данные, выстраивая структуру динамически, в зависимости от источника.
0:30 Мастер импорта автоматически импортирует данные, создает объекты и присваивает им свойства, связывает объекты по заданным условиям и удаляет получившиеся дубликаты, выявленные на основе настраиваемых ограничений. 0:43 Мы начнем наше расследование со всех событий, связанных с карточками доступа к секретной области (classified space – до конца не ясно территория или информация имеется в виду) и выведенных на граф.
0:49 Каждое из этих событий содержит время получения доступа и время прекращения доступа, но мы также видим несколько незавершенных событий, когда некто проскакивал за коллегой (piggybacking, одно из значений — выезжать на чьей-то спине) во время использования тем своей карточки. 0:57 Мы видим интересный паттерн: три раза в неделю работник Тридцать получает доступ к секретной области. 1:03 Используя соседей по офису работника 30, как отправную точку, мы отследим возможные эпизоды несанкционированного использования компьютеров через исследование событий передачи данных, связанных с доступом к секретным данным. 1:13 Частично совпадающие события указывают на неавторизованный доступ к данным, из-за компьютеров, не относящихся к секретной области 1:21 Наш поиск выявил неавторизованную передачу данных на IP адрес 100.59.151.133. 1:30 «Search around» (инструмент Palantir), примененное на подозрительный IP, показало 18 случаев передачи данных на 12 разных компьютеров посольства.
1:37 Мы автоупорядочили (autoarrange, видимо тоже инструмент) граф, и раскрасили объекты по типам, для пущей ясности. 1:43 На гистограмме мы видим, что все эти 18 случаев используют порт 8080 и весь объем переданных данных шел из организации. 1:50 На помощнике «колесо времени» (timewheel), мы видим, что передача данных производилась в течение четырех недель, каждый вторник и среду, и по одной передаче в день в начале, до трех в день в конце. 2:01 Мы добавили авторизованных пользователей и их соседей по офису на граф, используя «поискать вокруг». 2:07 Теперь, выбирая этих сотрудников по отдельности, мы найдем все относящиеся к ним события, связанные с получением доступа или передачей информации, а затем, по timeline, отследим, когда передача данных на подозрительный IP была авторизована.
2:21 Мы видим неавторизованную передачу, в то время как работник 40 имел доступ к секретной области. 2:29 Повторив эту процедуру для остальных работников, мы обнаружили 14 случаев, когда соответствующий сотрудник имел доступ к секретной области, во время передачи данных, 13 случаев, когда их, вероятно, не было в офисе, и 6, когда их видели вдали от их рабочего места. 2:43 Только работник 30 присутствовал во время того, как компьютер работника 31 передавал данные, что позволяет предположить, что тридцатый видел подозреваемого или сам является им.
2:51 Чтобы подтвердить подозрения в отношении Тридцатого, мы можем провести дополнительный тест, создав несколько временных фильтров, соответствующих по времени подозрительной передаче данных. С помощью этих фильтров мы исследуем возможные пересечения со временем, когда подозреваемый имел доступ к секретной области. 3:09 Подозреваемый должен был иметь доступ к компьютеру все восемнадцать раз, когда осуществлялась передача данных. 3:11 На графе все события, связанные с доступом к секретной области. Мы можем добавить наши фильтры, чтобы увидеть все пересекающиеся события. 3:22 «Поискать вокруг» дал нам всех связанных с событиями сотрудников, которых мы можем воспринимать как подозреваемых. 3:29 Наконец, фильтр среди сотрудников посольства дает нам двух потенциальных подозреваемых, один из них, конечно же Тридцатый. 3:39 Наш рабочий процесс подтвердил подозрения: Тридцатый — злонамеренный инсайдер. Временной анализ IP логов и логов доступа, не только дал нам возможность выявить неавторизованное использование компьютеров, но и связать это с определенным индивидом. Часть 2 0:00 Анализ социальных сетей и пространственный анализ – написано на экране.
Мы получили данные разведки, предполагающие, что сотрудник посольства, ведомый злым умыслом, использует для контактов с криминальной организацией и передачи данных социальные сети.
0:10 Наши данные: список 6000 пользователей какой-то (Flickr? Или выдуманная сеть Flitter?) соцсети и список связей между их аккаунтами.
[0:15 Мастер импорта Palantir (Palantir Import Wizard) позволяет пользователю разметить данные, выстраивая структуру динамически, в зависимости от источника.
0:23 Мастер импорта автоматически импортирует данные, создает объекты и присваивает им свойства, связывает объекты по заданным условиям и удаляет получившиеся дубликаты, выявленные на основе настраиваемых ограничений.] Весь этот кусок повторен в первом видео.
0:41 Есть информация о том, что у нашего подозреваемого больше 40 контактов в Flickr. Мы можем провести быстрый поиск по 6000 аккаунтам, чтобы выделить все, содержащие от 42 до 48 контактов. 1:01 Еще мы знаем, что этот работник посольства связан с тремя подельниками, у каждого из которых от 30 до 40 контактов.
1:09 Использовав search around, мы найдем этих персонажей и добавим их на граф.
1:16 Этот search around выявил 5 аккаунтов, которые имеют по три контакта, соответствующих описанию.
1:28 Выделив один из этих аккаунтов, мы будем исследовать его соцсеть.
1:34 Начнем с Лафужа и вернем всех его потенциальных подельников, используя сохраненный запрос в search around.
1:44 Теперь выясним, общаются ли они с лидером через общего посредника, или свой посредник есть у каждого. Чтобы сделать это, мы отыщем всех пользователей, которые связаны с подельниками, и у которых есть не больше шести контактов, так как разведка доложила, что у посредника есть только один или два контакта, кроме подельников.
2:06 Мы видим очевидного общего посредника, прямо в центре графа. Тем не менее, чтобы удостовериться, что в этой сети только один посредник, мы поищем среди контактов подельников связи с потенциальным лидером. 2:23 У лидера сотни контактов, многие из них международные. Поиск выявил, что в нашем случае, общий посредник используется для сведения всех контактов вместе, к лидеру по имени Корнелл.
2:36 Думаю, мы обнаружили нашу сеть. Конечно, результат еще сырой, так как мы должны подтвердить, что лидер не связан напрямую с сотрудником посольства или подельниками. 2:47 Наш поиск показывает, что этот потенциальный лидер связан с подельником, эта информация позволяет нам убрать Лафужа из списка подозреваемых. 2:55 Теперь давайте применим ту же логическую схему к оставшимся четырем подозреваемым.
3:02 В итоге, мы получили 3 сети почти полностью совпадающие с описанием, данным разведкой.
3:09 Одна из этих сетей, выстроена вокруг Шафтера, подробности о его сети можно увидеть с помощью пространственного анализа. Для такого анализа мы добавили в Palantir координаты города, указанного в профиле пользователями соцсети. 3:23 Геоданные не совпадают полностью с предоставленными разведкой. 3:30 И сотрудник посольства и его подельники живут в Прунове, посредник в Кенвиче, а лидер в Кувниче. Единственное возможное объяснение этому то, что по какой-то причине подельники должны быть в зоне досягаемости сотрудника посольства. 3:45 Посредник физически может быть не связан с сетью, для пущей безопасности, а лидер может жить недалеко от границы, чтобы контролировать передачу данных за пределы Фловении.
3:57 Местонахождение лидера также может указывать на то, что криминальная организация имеет связи в соседнем государстве Триум.
Часть 3 Анализ записей наружного наблюдения.
0:00 Мы располагаем десятью часами записей с камер наружного наблюдения, запечатлевших встречу наших подозреваемых.
0:09 Даты и время записей: среда, 24 января, с 10:00 до 15:00 и суббота, 26 января, с 8:00 до 13:00. 0:18 Мы также знаем, что видеокамера расположена в шаговой доступности от посольства.
0:24 Для нашего расследования, мы импортировали метаданные к видео как дополнительные события в Palantir, и каждое связано с десятиминутным отрывком. 0:36 Основываясь на нашем подозрении в отношении Тридцатого, мы поищем отрывки, соответствующие тому времени, когда он находился за пределами посольства. 0:45 Чтобы сделать это, мы создадим временные фильтры на то время, когда Тридцатый должен был покинуть посольство.
0:55 Мы обнаружили четыре таких события в среду, и, к сожалению, ни одного в субботу, так как Тридцатого не было в посольстве в этот день. 1:10 Просматривая видео, мы можем создавать события, связанные с каждым подозрительным моментом, который обнаружим. 1:18 Ранее мы уже просматривали видео за среду, и не обнаружили ничего интересного.
1:23 Субботнее видео, тем не менее, содержит интересный момент: двое встречаются и обмениваются портфелями. 1:31 Мы создали соответствующее событие «встреча», включающее в себя описание, скриншот и прочие метаданные. 1:48 Здесь мы видим заполненное досье о событии: время, продолжительность, комментарии, связанные медиафайлы. 1:55 Создав это событие, мы интегрируем его в расследование. 2:00 Если мы подтвердим, что один из участников встречи Тридцатый, мы сможем связать его и встречу.
2:17 Наконец, мы можем опубликовать эти новые данные, сделав их доступными другим пользователям Palantir. 2:26 С продвинутыми возможностями Palantir по анализу, мы смогли связать между собой разрозненные источники данных и провели временной, статистический, социальный, пространственный анализ, а также анализ взаимозависимостей в одной унифицированной аналитической среде. 2:40 Наше расследование на платформе Palantir не только быстро выявило использование компьютеров посольства для изъятия информации, но и работника, ответственного за это, а так же позволило составить карту его социальных связей.
Еще про Palantir: