現(xiàn)在,網(wǎng)絡(luò)罪犯利用技術(shù)的擴(kuò)散,擴(kuò)大他們與更復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)模型,達(dá)到有效的全球化業(yè)務(wù)在網(wǎng)絡(luò)空間,最終讓網(wǎng)絡(luò)罪犯破壞公司和消費(fèi)者。
在過去,傳統(tǒng)的等級(jí)結(jié)構(gòu)和現(xiàn)場(chǎng)活動(dòng)這種有組織的犯罪集團(tuán)?,F(xiàn)在逐漸被小型、靈活、結(jié)構(gòu)更松散的犯罪團(tuán)伙所取代,這些團(tuán)伙利用先進(jìn)技術(shù)擴(kuò)大自己的能力,而不必踏足受影響的國(guó)家。
打擊犯罪的現(xiàn)代方法必須反映出我們的網(wǎng)絡(luò)犯罪對(duì)手在技術(shù)和組織上的復(fù)雜性,因此,安全分析人士開始改變他們對(duì)身份歸屬的看法。
早在2007年,筆者(Amyn Gilani)在揭露敵軍領(lǐng)導(dǎo)層、武器走私者和金融家的身份時(shí),使用了大量復(fù)雜的資源,包括信號(hào)情報(bào)(SIGINT)、人類情報(bào)(HUMINT)和最先進(jìn)的無人機(jī)。
很大程度上要?dú)w功于準(zhǔn)確的情報(bào)和對(duì)敵人的積極識(shí)別(PID)。在規(guī)則中,PID意味著一個(gè)敵對(duì)方已經(jīng)被合理地確定為目標(biāo)群體的一員,或者確定的迫在眉睫的威脅。
無人機(jī)、天空攝像機(jī)和地面上的許多眼睛和耳朵一起工作,尋找并完成敵人識(shí)別。同樣的思路也適用于揭露網(wǎng)絡(luò)罪犯。
雖然商業(yè)組織的情報(bào)單位可能無法獲得與特別工作組所支配的相同的復(fù)雜資源,但越來越多的私營(yíng)情報(bào)團(tuán)隊(duì)正在慢慢地向一種更戰(zhàn)術(shù)的方法轉(zhuǎn)變,使情報(bào)更加以身份為導(dǎo)向。
盡管威脅行動(dòng)者越來越善于混淆自己的身份和攻擊載體,但身份情報(bào)和歸因分析專家在制定有效的對(duì)策和主動(dòng)防御方面處于前沿。
在歸屬上的不確定性和似是而非的推諉歷來都對(duì)網(wǎng)絡(luò)罪犯有利,但壞人也是人,他們的個(gè)人經(jīng)歷為情報(bào)專家提供了機(jī)會(huì)。
許多網(wǎng)絡(luò)罪犯留下他們自己的歷史痕跡,通過數(shù)據(jù)泄露或泄露,跨越表面、社會(huì)、深層和黑暗的網(wǎng)絡(luò),最終導(dǎo)致安全部隊(duì)找到他們的身份。
雖然這些數(shù)據(jù)在地下社區(qū)是暫時(shí)的,但一些組織已經(jīng)從公開來源收集了被破壞和泄露的信息,以推動(dòng)網(wǎng)絡(luò)犯罪調(diào)查。
新的功能和工具利用被破壞的數(shù)據(jù)、開源情報(bào)(OSINT)、專有信息和其他數(shù)據(jù)源,使身份歸屬不僅成為可能,而且是可靠的,能夠及時(shí)、高效和有效地進(jìn)行驗(yàn)證。
阻止妥協(xié)的指示、標(biāo)記可疑信標(biāo)、從員工的收件箱中刪除釣魚郵件等艱巨的任務(wù)是必要的,但嚴(yán)格來說,它們是被動(dòng)的、耗時(shí)的。
減輕一次安全事故可能需要數(shù)小時(shí),甚至數(shù)天;識(shí)別可能表明安全風(fēng)險(xiǎn)的活動(dòng)并確保它們得到正確處理(分析、辯護(hù)、調(diào)查和報(bào)告),最終結(jié)果不太可能有效地確定攻擊者的身份。
7月下旬披露的Capital One黑客入侵事件之所以引人注目,不僅因?yàn)槊绹?guó)和加拿大的客戶賬戶被侵入了1億多個(gè),更有趣的是,在事件發(fā)生后,佩吉·湯普森直接在自己的社交媒體上展示了自己的犯罪過程。
湯普森并沒有試圖掩蓋自己的身份,隨后她在FBI的幫助下被確認(rèn)并逮捕。然而,現(xiàn)實(shí)生活中大多數(shù)網(wǎng)絡(luò)罪犯并沒有像湯普森那樣把自己直接暴露——所有,了解敵人和他們的工具是至關(guān)重要的。
通過揭露攻擊你的組織的網(wǎng)絡(luò)罪犯的身份,你可以采取以下五步法確定的各種行動(dòng)來瓦解對(duì)手,防止未來的攻擊:
1. 廢棄數(shù)據(jù)
重新設(shè)置員工和客戶賬戶的密碼,以防止被破解,這是變相降低黑市上被竊取的數(shù)據(jù)的價(jià)值,使數(shù)據(jù)的買家和交易員對(duì)賣家失去信心。黑暗網(wǎng)絡(luò)經(jīng)濟(jì)驚人地依賴于信任。
2. 迅速采取行動(dòng)
對(duì)發(fā)現(xiàn)的受損數(shù)據(jù)采取行動(dòng)越快越好。這將為您的組織帶來更少的中斷和財(cái)務(wù)損失。當(dāng)您的組織的數(shù)據(jù)被公開時(shí),每一分鐘都很重要。獲取可操作情報(bào)的時(shí)間是關(guān)鍵。
3.報(bào)告
迅速歸檔可疑活動(dòng)報(bào)告并通知執(zhí)法部門,如果你對(duì)你的歸因調(diào)查有高度的信心,執(zhí)法部門可以幫助起訴這個(gè)人并擾亂他們的活動(dòng),可能還會(huì)揭露和起訴他們的整個(gè)欺詐團(tuán)伙。
4. 識(shí)別威脅載體
分析何時(shí)何地。數(shù)據(jù)是在什么時(shí)候泄露的?是因?yàn)橐粋€(gè)有風(fēng)險(xiǎn)的商人嗎?它是云中管理/配置很差的數(shù)據(jù)庫(kù)嗎?這是你們供應(yīng)鏈中的薄弱環(huán)節(jié)嗎?修補(bǔ)薄弱的漏洞,并確保審查您的合作伙伴和供應(yīng)商的安全姿勢(shì),因?yàn)樗鼈円部赡艽砜赡艿墓敉緩健?/p>
5. 協(xié)作
鑒于我們的網(wǎng)絡(luò)具有相互聯(lián)系的性質(zhì),協(xié)作已成為守法組織武器庫(kù)中的一個(gè)重要工具。如果您遇到來自另一家公司的泄漏或暴露的數(shù)據(jù),要積極主動(dòng)地通知他們,以便他們能夠快速通知客戶、重置密碼并執(zhí)行必要的補(bǔ)救。
合作將使組織更多地了解敵對(duì)網(wǎng)絡(luò)以及這個(gè)團(tuán)體或個(gè)人如何運(yùn)作。至于反網(wǎng)絡(luò)釣魚,請(qǐng)加入反網(wǎng)絡(luò)釣魚工作小組(APWG)。對(duì)于身份歸因支持,投資一個(gè)可靠的身份情報(bào)監(jiān)控服務(wù)。
通過堅(jiān)持執(zhí)行這五個(gè)要素,一個(gè)組織可以有效地破壞網(wǎng)絡(luò)犯罪活動(dòng),以至于當(dāng)被竊取的數(shù)據(jù)出現(xiàn)在邪惡的論壇上時(shí),犯罪分子已經(jīng)知道他們無法利用這些數(shù)據(jù)。你偷來的信息不會(huì)賣出去,因?yàn)槟愕臄?shù)據(jù)一旦進(jìn)入黑市就會(huì)貶值。
只要在世界各地的聯(lián)網(wǎng)設(shè)備上敲擊幾下鍵盤,網(wǎng)絡(luò)罪犯就能侵入數(shù)據(jù)庫(kù),竊取大量敏感信息。安全行動(dòng)的領(lǐng)導(dǎo)者需要明白,攻擊背后總有一個(gè)真實(shí)的人,因此,轉(zhuǎn)移目標(biāo),抓住罪犯和他們的同伙,而不是重復(fù)玩防御打地鼠的游戲,將是向前推進(jìn)的關(guān)鍵。
編輯:hfy
-
PID
+關(guān)注
關(guān)注
35文章
1466瀏覽量
84852 -
網(wǎng)絡(luò)攻擊
+關(guān)注
關(guān)注
0文章
329瀏覽量
23378
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論