Recorded Future säger sig förutspå morgondagens IT-attacker

12 december 2016

Noggranna förutsägelser om allvarliga terrordåd och framtida attacker mot företag bara genom att analysera flöden på öppna informationskällor? För många en utopi om man inte har enorma resurser till hands. Men det finns ett annat sätt. Genom att kombinera hantering av Big data med bland annat semantisk analys och klustring av en mängd små pusselbitar har Recorded Future lockat till sig globala företag och internationella säkerhetstjänster som kunder.

 

Egentligen började det redan på 1990-talet. Staffan Truvé och några Chalmerskollegor byggde ett verktyg för att visualisera datamängder på ett enkelt och lättillgängligt sätt. Då visualiseringsverktyget gjorde det lätt att analysera datamängderna användes det under åren för olika ändamål, såsom för att förstå kvalitetsdata från fabriker och gendata inom läkemedelsforskning. Visualiseringen gjorde det möjligt att till exempel tidigt se när en tillverkningsprocess började tappa i kvalitet. Allt byggde på att kunderna analyserade sina egna data.

 

Samtidigt grodde en tanke hos de tre innovatörerna om att det skulle gå att använda samma grundidé till att göra något mer, att förutspå större sammanhang. När de 2007 sålde den befintliga verksamheten började de fundera på att skapa något helt nytt. Utmaningen var den här gången att hitta egna, intressanta datamängder som kunde ligga till grund för att förstå vad som händer i världen!

– Det nya är att mänskligheten är vår sensor, utbrister Staffan Truvé. I form av allt som skrivs, twittras och publiceras på annat sätt på webben. Vi har därför utvecklat vårt verktyg för att strukturera dessa data, analysera och bygga prediktioner ovanpå det.

 

Försökte förutsäga aktiemarknaden

I början hade det nyinspirerade gänget fokus på bland annat aktiemarknaden. Som så många andra försökte de förutsäga beteendet på börsen.

– Vi kände inte att vi hittade någon fungerande affärsmodell så vi började vända ögonen åt annat håll. Vi provade oss fram och upptäckte att vår modell var bra på att upptäcka hot. Vi valde därför att fokusera på det och utveckla systemet. Idag är det grunden för hela vår affärsidé.

Företaget, Recorded Future, säger sig med hög säkerhet kunna förutspå morgondagens IT-attacker. Bland kunderna finns polismyndigheter och huvudsakligen större, amerikanska företag med en egen säkerhetsavdelning.

– Vår affärsidé bygger på att företagen själva har resurser för att göra analyser och hantera resultatet av våra prediktioner. Vårt verktyg kan varna för ett sannolikt intrång eller attack mot företaget, men det är deras egna experter som gör den slutliga bedömningen och vidtar eventuella åtgärder.

 

Semantisk analys för att förutsäga hot

I praktiken går det till så att verktyget skannar igenom och analyserar 20-30 miljoner dokument per dag, på sju olika språk, inklusive kinesiska och farsi. Ett dokument kan i det här fallet vara alltifrån en tung rapport, till ett enstaka tweet.

– Det som skiljer sig från andra, liknande system, är att vi gör en djup semantisk analys, säger Staffan Truvé. Man kan säga att vår främsta innovation är att kombinera vårt verktyg för att skanna, hantera och analysera stora mängder data med semantiken, något som annars främst används av de stora nyhetsbyråerna för finansiella nyheter.

Vanliga signalord kopplade till bombattacker, IT-angrepp etc sätts i sitt sammanhang för att förstå allvaret i hotet för ett företag, land eller vem som nu är kund. Arbetet görs i flera automatiska steg:

1. Skanning av internet i bred omfattning.
2. Sökning efter signalorden.
3. Semantisk analys, i vilket språkligt sammanhang finns orden och vilka händelser beskrivs.
4. Analys av källans trovärdighet samt avstämning mot kända riskprofiler och IP-adresser som sedan tidigare förekommer i liknande sammanhang.
5. Klustring av alla referenser till en och samma händelse.
6. Viktning av allvaret i hotet utifrån insamlad information, analys och klustring.
7. Presentation för kunden som gör den slutliga bedömningen av hotet och eventuella åtgärder.

 

Öppna informationskällor räcker

– Genom att vi skannar av ett så stort material kan vi få stor träffsäkerhet trots att vi enbart använder öppna informationskällor, berättar Staffan Truvé. Det finns en enorm mängd hot som bara uttalas av en enskild person, eller ett fåtal. Men när man ser att kanske 50 personer relaterar sina kommentarer till samma händelse, exempelvis en protestaktion eller en samlad attack, och om vi dessutom kan koppla det till kända kriminella eller upprorsmakare så kan vi vara ganska säkra på att något allvarligt är på gång. Genom att analysera det som skrivs, följa händelseförloppet och upptrappningen går det dessutom att förutsäga när och var händelsen ska ske.

Arga agitatorer är exempelvis en bra indikator på vad som kommer att hända. De letar anhängare på nätet och de kommer i ett skede när det behöver synkroniserar sig. Varje liten pusselbit för sig kan i bästa fall utgöra en varning, men tillsammans kan de påfallande ofta att förutsäga exakt vilket datum en attack ska ske och hur många som kommer att delta.

 

Arga opinioner en bra utgångspunkt

Framför allt går det att avgöra vad som är skarpt läge bland de stora mängder hot och försök till uppvigling som pågår. Både när det gäller kommande fysiska aktiviteter och internetbaserade attacker. 

– I grunden är det maskininlärning som ligger till grund för våra prediktiva modeller, säger Staffan Truvé. Genom att observera hur historiska skeenden har vuxit fram kan vi göra förutsägelser om vad som kommer att hända. Ett enkelt exempel är när en klusteranalys visar att något verkar bli mer omskrivet än vad det brukar vara. Det kan ha många orsaker, men tillsammans med språkanalysen och andra kända variabler kan vi exempelvis med stor tillförlitlighet förutsäga 4-5 dagar i förväg om det kommer att utbryta oroligheter på gatorna i en viss stad i arabvärlden. För ett företag kan det vara värdefull information som ger medarbetarna tid att förbereda sig eller sätta sig i säkerhet. 

 

Om Recorded Future

Recorded Future har omkring 100 anställda, varav 30 i Sverige. Trots den relativt begränsade skaran medarbetare har företaget fyra av världens fem största företag som kunder och mer än 17 000 användare. Företagets R&D utförs i sin helhet i Göteborg.

Hans Danielsson

Business Area Manager

hans.danielsson@combitech.com

+46 (0)13 18 00 17