信息來源:FreeBuf
隨著世界逐步數(shù)字化,有組織犯罪也日益復(fù)雜,犯罪分子利用更先進(jìn)的技術(shù)和更復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)模型在全球范圍內(nèi)活動(dòng),嚴(yán)重影響了世界范圍的公司企業(yè)和消費(fèi)者。
因此,防范未來網(wǎng)絡(luò)攻擊,先機(jī)很重要,越早行動(dòng),越能夠減少個(gè)人財(cái)產(chǎn)損失,加強(qiáng)個(gè)人信息保護(hù)。然而,知己知彼才能百戰(zhàn)百勝,首先要知道對手是誰,知道網(wǎng)絡(luò)攻擊者的身份至關(guān)重要。
過去,有組織犯罪團(tuán)體利用“Boots on the Ground”(“地面部隊(duì)”)方法進(jìn)行攻擊,這就更需要組織內(nèi)部和現(xiàn)場的協(xié)調(diào)。如今,這種方法不利于更小、更靈活、結(jié)構(gòu)更松散的犯罪團(tuán)伙,這些犯罪團(tuán)伙采用先進(jìn)技術(shù)來提升犯罪能力,而不必踏入受害者國家。
網(wǎng)絡(luò)罪犯可以侵入公司數(shù)據(jù)庫,無論在何地都可以竊取大量敏感信息。因此,網(wǎng)絡(luò)犯罪技術(shù)和組織的復(fù)雜性催生了一種現(xiàn)代打擊犯罪方法,即將身份識(shí)別技術(shù)應(yīng)用于網(wǎng)絡(luò)防御和犯罪打擊。
早在2007年,筆者就以美國空軍情報(bào)分析員的身份被派往伊拉克,并被分配到聯(lián)合特種作戰(zhàn)司令部(JSOC)工作組,目的是通過瞄準(zhǔn)和占領(lǐng)基地組織高級領(lǐng)導(dǎo)人(AQSL)來破壞恐怖活動(dòng)。筆者試圖揭露敵軍領(lǐng)導(dǎo)層、武器走私販和投資人的身份。為此,筆者采取了許多復(fù)雜的手段,包括信號(hào)情報(bào)(SIGINT)、人文情報(bào)(HUMINT)和最新的無人機(jī)。
工作組成功地削弱了敵軍的力量,這在很大程度上歸功于對手的準(zhǔn)確情報(bào)和積極識(shí)別(PID)。在交戰(zhàn)規(guī)則中,PID表示合理地識(shí)別敵軍陣營成員或緊急威脅,無人機(jī)、航拍器以及地面上的情報(bào)網(wǎng)絡(luò)都在共同努力尋找并完成PID。
筆者認(rèn)為以上經(jīng)歷和揭露網(wǎng)絡(luò)犯罪分子有異曲同工之妙。盡管商業(yè)組織的情報(bào)部門可能無法像司令部工作組那樣擁有先進(jìn)的偵查工具,但越來越多的私人情報(bào)小組正在逐步采用更具戰(zhàn)術(shù)性的方法,即以身份為導(dǎo)向搜集情報(bào)。盡管攻擊者已越來越善于混淆其身份和攻擊媒介,但身份情報(bào)和識(shí)別分析專家始終站在制定有效對策和主動(dòng)防御的最前沿。
在過去,身份識(shí)別的不確定性使得對網(wǎng)絡(luò)犯罪分子的打擊力度大打折扣。然而,犯罪分子也是人,分析專家可以從他們的個(gè)人經(jīng)歷入手。許多網(wǎng)絡(luò)犯罪分子個(gè)人數(shù)據(jù)泄露會(huì)在社交網(wǎng)絡(luò)、暗網(wǎng)等留下痕跡,從而暴露自己的身份。
盡管犯罪分子個(gè)人數(shù)據(jù)在地下社區(qū)是轉(zhuǎn)瞬即逝的,但一些組織已從開放源收集了泄露的信息,用以推動(dòng)網(wǎng)絡(luò)犯罪調(diào)查。新功能和工具利用泄露了的數(shù)據(jù)、開源情報(bào)(OSINT)、專有信息和其他數(shù)據(jù)源,不僅使身份識(shí)別成為可能,而且使身份識(shí)別可靠,可以及時(shí)、高效和有效地進(jìn)行驗(yàn)證。
根據(jù)筆者在安全運(yùn)營中心(SOC)工作的個(gè)人經(jīng)驗(yàn),一方面,許多(也許不是大多數(shù))安全運(yùn)營商和傳統(tǒng)威脅情報(bào)分析師只會(huì)按照預(yù)定的步驟,即檢測、響應(yīng)、補(bǔ)救和重復(fù)周期,來修復(fù)漏洞。另一方面,SOC之所以有用,是因?yàn)樗鼈儗⒈姸喙ぞ叩陌踩瘓?bào)整合并關(guān)聯(lián)到一個(gè)系統(tǒng)中。但是,每天新工具和威脅源的不斷涌入往往會(huì)導(dǎo)致異常安全警報(bào)泛濫。
諸如防范泄露跡象、標(biāo)記可疑錨節(jié)點(diǎn)、從收件箱中刪除網(wǎng)絡(luò)釣魚電子郵件之類等舉措雖然耗時(shí)卻是十分必要的。解決一項(xiàng)安全事件可能要花費(fèi)數(shù)小時(shí)甚至數(shù)天的時(shí)間。識(shí)別可能帶有安全風(fēng)險(xiǎn)的活動(dòng)并確保以正確的方法處理它們——分析、防御、調(diào)查和報(bào)告,但這些依然不能確定攻擊者的身份。
然而當(dāng)今漏洞新聞一出,大家會(huì)想到的第一個(gè)問題即:“誰做的?”利用泄露數(shù)據(jù),提取有效信息,采取積極防御措施,識(shí)別攻擊者的身份,了解他們的作案手法、背后的網(wǎng)絡(luò)犯罪情報(bào)團(tuán)隊(duì),完成了這些之后就可以很快地破壞其進(jìn)攻性網(wǎng)絡(luò)運(yùn)營(OCO)和基礎(chǔ)設(shè)施了。
7月下旬披露的Capital One泄露事件之所以引人注目,不僅因?yàn)槠湟?guī)模巨大(已訪問了超過1億個(gè)美國和加拿大客戶帳戶),而且還在于攻擊者Paige Thompson犯罪之后的身份偽裝。
如前所述,網(wǎng)絡(luò)罪犯經(jīng)常會(huì)試圖掩蓋身份,但是Thompson選擇在社交媒體上吹噓自己的犯罪行徑來吸引注意力,想必他不是一個(gè)“優(yōu)秀的犯罪分子”。但是,大多數(shù)網(wǎng)絡(luò)罪犯并不會(huì)像Thompson那樣表現(xiàn)自己,因此了解敵人及其工具至關(guān)重要。
從身份識(shí)別網(wǎng)絡(luò)罪犯的角度,本文建議可以采取以下五步方法來確定打擊網(wǎng)絡(luò)犯罪對策,防范網(wǎng)絡(luò)攻擊:
1.及時(shí)更新數(shù)據(jù):重置員工和客戶帳戶密碼,防止數(shù)據(jù)收購,這有利于降低黑市上被竊取數(shù)據(jù)的價(jià)值,并使數(shù)據(jù)買方對賣方失去信心。暗網(wǎng)經(jīng)濟(jì)在很大程度上取決于信任。
2.快速行動(dòng):當(dāng)發(fā)現(xiàn)數(shù)據(jù)泄露時(shí),越早采取應(yīng)急措施,越能減少混亂和財(cái)產(chǎn)損失。掌控泄露數(shù)據(jù)的公開時(shí)間至關(guān)重要。
3.報(bào)告公開出來:迅速提交可疑活動(dòng)報(bào)告(SAR)并通知執(zhí)法部門。致電DHS的國家網(wǎng)絡(luò)安全和通信集成中心(NCCIC),或致電當(dāng)?shù)谾BI網(wǎng)絡(luò)部門。如果可以精確地進(jìn)行身份識(shí)別,那么執(zhí)法部門可以幫助起訴罪犯并破壞他們的犯罪活動(dòng),甚至揭露他們整個(gè)的作案活動(dòng)。
4.識(shí)別威脅源:分析在何時(shí)何地遭受攻擊。修補(bǔ)漏洞,并確保審核一下合作伙伴和供應(yīng)商的安全態(tài)勢,因?yàn)樗鼈円部赡苁枪敉緩健?
5.協(xié)作:鑒于網(wǎng)絡(luò)互連,協(xié)作已成為一項(xiàng)防御的重要工具。如果發(fā)現(xiàn)其他公司的數(shù)據(jù)泄露,請主動(dòng)通知他們,以便他們可以迅速通知客戶,重置密碼并執(zhí)行必要的補(bǔ)救措施。通過協(xié)作,企業(yè)之間可以獲取更多的信息。
堅(jiān)持執(zhí)行以上五個(gè)步驟,組織可以有效打擊網(wǎng)絡(luò)犯罪,從惡意論壇上竊取的數(shù)據(jù)也無法再被利用。身份識(shí)別不僅可以用于軍事,還可以服務(wù)金融行業(yè)、零售業(yè)、加密貨幣市場、社交媒體平臺(tái)、以及情報(bào)執(zhí)法部門。對于執(zhí)法機(jī)構(gòu),身份識(shí)別對于起訴和立案至關(guān)重要。對于企業(yè)組織,身份識(shí)別有利于評估風(fēng)險(xiǎn)以便制定有效對策。
網(wǎng)絡(luò)犯罪分子利用連接世界各地的設(shè)備按鍵就可以入侵?jǐn)?shù)據(jù)庫并竊取大量敏感信息。安全負(fù)責(zé)人需要了解的是每次攻擊背后總會(huì)有一個(gè)主要人物,因此利用身份識(shí)別進(jìn)行有效打擊而非反復(fù)地開展防御性“貓鼠游戲”。