ThreatData zahrnuje tři oblasti činnosti: sběr dat, uložiště a procesy okamžité odezvy. Feedy sbírající data krmí systém informacemi ze všech možných zdrojů. Data jsou téměř z jakéhokoliv formátu transformována do schémat s názvem ThreatDatum. ThreatDatum obsahuje nejen základní informace o hrozbě, ale také info kontextuální – např. hashe malwarových souborů, URL škodlivých adres, „produktové“ informace o malwarových balíčcích. Kontextuální informace pak pomáhají vytvářet komplexní, zároveň však automatické procesy rozhodování.
Uložená data jsou komparována s dvěma repozitáři:
Vyhodnocení sebraných dat je v reálném čase podstoupeno systémům zpětné odezvy. Jsou aktualizovány blacklisty URL sloužících ochraně uživatelů. Další informace jsou zpracovány interními bezpečnostními procesy Facebooku. Systém také vyhodnocuje metadata útoků: odkud přicházejí, jejich druhy, frekvenci, časy a vzájemné spojitosti charakteristik.
Dle Marka Hammela (výzkumník datových hrozeb FB) ThreatData úspěšně zachytil mnoho hrozeb, které standardním antivirům unikly (a zvlášť těm používaným Facebookem).
Důvodem vzniku ThreatData je prevence kyber-útoků, které se pro internetové giganty stávají stále větším problémem, jak se ukázalo v případech Target a Microsoftu.
Facebook by se prý chtěl se svým systémem podělit i s ostatními. I když, jak připouští Hammel: se nejedná o přístup, který by byl ve všech aspektech nový
, může jít o úspěšný produkt - vzhledem k byznysovému zázemí a marketingovému potenciálu značky Facebook.
Zdroje: GigaOM, Help Net Security, blogpost Marka Hammela