如何通過五步法瓦解未來的網(wǎng)絡(luò)攻擊

現(xiàn)在，網(wǎng)絡(luò)罪犯利用技術(shù)的擴(kuò)散,擴(kuò)大他們與更復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)模型,達(dá)到有效的全球化業(yè)務(wù)在網(wǎng)絡(luò)空間,最終讓網(wǎng)絡(luò)罪犯破壞公司和消費(fèi)者。

在過去，傳統(tǒng)的等級(jí)結(jié)構(gòu)和現(xiàn)場(chǎng)活動(dòng)這種有組織的犯罪集團(tuán)?，F(xiàn)在逐漸被小型、靈活、結(jié)構(gòu)更松散的犯罪團(tuán)伙所取代，這些團(tuán)伙利用先進(jìn)技術(shù)擴(kuò)大自己的能力，而不必踏足受影響的國(guó)家。

打擊犯罪的現(xiàn)代方法必須反映出我們的網(wǎng)絡(luò)犯罪對(duì)手在技術(shù)和組織上的復(fù)雜性，因此，安全分析人士開始改變他們對(duì)身份歸屬的看法。

早在2007年，筆者（Amyn Gilani）在揭露敵軍領(lǐng)導(dǎo)層、武器走私者和金融家的身份時(shí)，使用了大量復(fù)雜的資源，包括信號(hào)情報(bào)(SIGINT)、人類情報(bào)(HUMINT)和最先進(jìn)的無人機(jī)。

很大程度上要?dú)w功于準(zhǔn)確的情報(bào)和對(duì)敵人的積極識(shí)別(PID)。在規(guī)則中，PID意味著一個(gè)敵對(duì)方已經(jīng)被合理地確定為目標(biāo)群體的一員，或者確定的迫在眉睫的威脅。

無人機(jī)、天空攝像機(jī)和地面上的許多眼睛和耳朵一起工作，尋找并完成敵人識(shí)別。同樣的思路也適用于揭露網(wǎng)絡(luò)罪犯。

雖然商業(yè)組織的情報(bào)單位可能無法獲得與特別工作組所支配的相同的復(fù)雜資源，但越來越多的私營(yíng)情報(bào)團(tuán)隊(duì)正在慢慢地向一種更戰(zhàn)術(shù)的方法轉(zhuǎn)變，使情報(bào)更加以身份為導(dǎo)向。

盡管威脅行動(dòng)者越來越善于混淆自己的身份和攻擊載體，但身份情報(bào)和歸因分析專家在制定有效的對(duì)策和主動(dòng)防御方面處于前沿。

在歸屬上的不確定性和似是而非的推諉歷來都對(duì)網(wǎng)絡(luò)罪犯有利，但壞人也是人，他們的個(gè)人經(jīng)歷為情報(bào)專家提供了機(jī)會(huì)。

許多網(wǎng)絡(luò)罪犯留下他們自己的歷史痕跡，通過數(shù)據(jù)泄露或泄露，跨越表面、社會(huì)、深層和黑暗的網(wǎng)絡(luò)，最終導(dǎo)致安全部隊(duì)找到他們的身份。

雖然這些數(shù)據(jù)在地下社區(qū)是暫時(shí)的，但一些組織已經(jīng)從公開來源收集了被破壞和泄露的信息，以推動(dòng)網(wǎng)絡(luò)犯罪調(diào)查。

新的功能和工具利用被破壞的數(shù)據(jù)、開源情報(bào)(OSINT)、專有信息和其他數(shù)據(jù)源，使身份歸屬不僅成為可能，而且是可靠的，能夠及時(shí)、高效和有效地進(jìn)行驗(yàn)證。

阻止妥協(xié)的指示、標(biāo)記可疑信標(biāo)、從員工的收件箱中刪除釣魚郵件等艱巨的任務(wù)是必要的，但嚴(yán)格來說，它們是被動(dòng)的、耗時(shí)的。

減輕一次安全事故可能需要數(shù)小時(shí)，甚至數(shù)天;識(shí)別可能表明安全風(fēng)險(xiǎn)的活動(dòng)并確保它們得到正確處理(分析、辯護(hù)、調(diào)查和報(bào)告)，最終結(jié)果不太可能有效地確定攻擊者的身份。

7月下旬披露的Capital One黑客入侵事件之所以引人注目，不僅因?yàn)槊绹?guó)和加拿大的客戶賬戶被侵入了1億多個(gè)，更有趣的是，在事件發(fā)生后，佩吉·湯普森直接在自己的社交媒體上展示了自己的犯罪過程。

湯普森并沒有試圖掩蓋自己的身份，隨后她在FBI的幫助下被確認(rèn)并逮捕。然而，現(xiàn)實(shí)生活中大多數(shù)網(wǎng)絡(luò)罪犯并沒有像湯普森那樣把自己直接暴露——所有，了解敵人和他們的工具是至關(guān)重要的。

通過揭露攻擊你的組織的網(wǎng)絡(luò)罪犯的身份，你可以采取以下五步法確定的各種行動(dòng)來瓦解對(duì)手，防止未來的攻擊:

1. 廢棄數(shù)據(jù)

重新設(shè)置員工和客戶賬戶的密碼，以防止被破解，這是變相降低黑市上被竊取的數(shù)據(jù)的價(jià)值，使數(shù)據(jù)的買家和交易員對(duì)賣家失去信心。黑暗網(wǎng)絡(luò)經(jīng)濟(jì)驚人地依賴于信任。

2. 迅速采取行動(dòng)

對(duì)發(fā)現(xiàn)的受損數(shù)據(jù)采取行動(dòng)越快越好。這將為您的組織帶來更少的中斷和財(cái)務(wù)損失。當(dāng)您的組織的數(shù)據(jù)被公開時(shí)，每一分鐘都很重要。獲取可操作情報(bào)的時(shí)間是關(guān)鍵。

3.報(bào)告

迅速歸檔可疑活動(dòng)報(bào)告并通知執(zhí)法部門，如果你對(duì)你的歸因調(diào)查有高度的信心，執(zhí)法部門可以幫助起訴這個(gè)人并擾亂他們的活動(dòng)，可能還會(huì)揭露和起訴他們的整個(gè)欺詐團(tuán)伙。

4. 識(shí)別威脅載體

分析何時(shí)何地。數(shù)據(jù)是在什么時(shí)候泄露的?是因?yàn)橐粋€(gè)有風(fēng)險(xiǎn)的商人嗎?它是云中管理/配置很差的數(shù)據(jù)庫(kù)嗎?這是你們供應(yīng)鏈中的薄弱環(huán)節(jié)嗎?修補(bǔ)薄弱的漏洞，并確保審查您的合作伙伴和供應(yīng)商的安全姿勢(shì)，因?yàn)樗鼈円部赡艽砜赡艿墓敉緩健?/p>

5. 協(xié)作

鑒于我們的網(wǎng)絡(luò)具有相互聯(lián)系的性質(zhì)，協(xié)作已成為守法組織武器庫(kù)中的一個(gè)重要工具。如果您遇到來自另一家公司的泄漏或暴露的數(shù)據(jù)，要積極主動(dòng)地通知他們，以便他們能夠快速通知客戶、重置密碼并執(zhí)行必要的補(bǔ)救。

合作將使組織更多地了解敵對(duì)網(wǎng)絡(luò)以及這個(gè)團(tuán)體或個(gè)人如何運(yùn)作。至于反網(wǎng)絡(luò)釣魚，請(qǐng)加入反網(wǎng)絡(luò)釣魚工作小組(APWG)。對(duì)于身份歸因支持，投資一個(gè)可靠的身份情報(bào)監(jiān)控服務(wù)。

通過堅(jiān)持執(zhí)行這五個(gè)要素，一個(gè)組織可以有效地破壞網(wǎng)絡(luò)犯罪活動(dòng)，以至于當(dāng)被竊取的數(shù)據(jù)出現(xiàn)在邪惡的論壇上時(shí)，犯罪分子已經(jīng)知道他們無法利用這些數(shù)據(jù)。你偷來的信息不會(huì)賣出去，因?yàn)槟愕臄?shù)據(jù)一旦進(jìn)入黑市就會(huì)貶值。

只要在世界各地的聯(lián)網(wǎng)設(shè)備上敲擊幾下鍵盤，網(wǎng)絡(luò)罪犯就能侵入數(shù)據(jù)庫(kù)，竊取大量敏感信息。安全行動(dòng)的領(lǐng)導(dǎo)者需要明白，攻擊背后總有一個(gè)真實(shí)的人，因此，轉(zhuǎn)移目標(biāo)，抓住罪犯和他們的同伙，而不是重復(fù)玩防御打地鼠的游戲，將是向前推進(jìn)的關(guān)鍵。

編輯：hfy