随着世界逐渐数字化,有组织的犯罪变得越来越复杂。犯罪分子利用更先进的技术和更复杂的网络结构模型在全球范围内运作,严重影响了全球的企业和消费者。因此,要预防未来的网络攻击,主动出击非常重要。越早行动,越能减少个人财产损失,加强个人信息保护。然而,知己知彼才是百战百胜的关键。首先,你必须知道你的对手是谁。了解网络攻击者的身份非常重要。过去,有组织的犯罪集团采用“脚踏实地”的方式进行攻击,这需要组织内部和实地进行更多的协调。今天,这种方法适用于规模较小、更灵活、结构松散的犯罪团伙,这些犯罪团伙采用先进技术来增强其犯罪能力,而无需涉足受害国。网络罪犯可以侵入公司数据库并从任何地方窃取大量敏感信息。因此,网络犯罪的技术和组织复杂性催生了一种现代打击犯罪的方法,涉及将识别技术应用于网络防御和打击犯罪。早在2007年,作者作为美国空军情报分析员被部署到伊拉克,并被分配到联合特种作战司令部(JSOC)特遣部队,目标是瞄准并占领基地组织高级领导人(AQSL),以破坏恐怖活动。作者试图揭露敌方领导人、军火走私者和投资者的身份。为此,作者采用了很多复杂的手段,包括信号情报(SIGINT)、人类情报(HUMINT)和最新的无人机。特遣部队在削弱敌军方面的成功在很大程度上归功于对手的准确情报和积极识别(PID)。在交战规则中,PID是指合理识别敌营成员或迫在眉睫的威胁。地面上的无人机、航拍相机和情报网络都在协同工作,寻找并完成PID。笔者认为,上述经历类似于揭发网络罪犯。虽然商业组织的情报部门可能没有指挥特遣队的先进调查工具,但越来越多的私人情报团体正在采用更具战术性的方法来收集身份驱动的情报。虽然攻击者越来越善于混淆他们的身份和攻击媒介,但身份情报和身份分析专家仍然处于开发有效对策和主动防御的前沿。过去,身份识别的不确定性使得打击网络犯罪分子变得困难重重。不过,罪犯也是人,分析师可以从他们的亲身经历入手。许多网络罪犯都有个人数据泄露,在社交网络、暗网等地方留下痕迹,从而暴露他们的身份。虽然犯罪分子的个人数据在地下转瞬即逝,但一些组织已从公开来源收集泄露的信息,以推动网络犯罪调查。新功能和工具利用受损数据、开源情报(OSINT)、专有信息和其他数据源,使识别不仅成为可能,而且足够可靠,可以及时、高效和有效地进行验证。根据作者在安全运营中心(SOC)工作的个人经验,一方面,许多(也许不是大多数)安全运营商和传统威胁情报分析师只会遵循预先确定的步骤,即检测、响应、修复和重复循环,修复错误。另一方面,SOC很有用,因为它们将来自众多工具的安全警报整合并关联到一个系统中。然而,每天涌入的新工具和威胁源通常会导致大量异常安全警报。防范妥协迹象、标记可疑锚节点以及从收件箱中删除网络钓鱼电子邮件等措施非常耗时,但却是必要的。解决安全事件可能需要数小时甚至数天。识别可能构成安全风险的活动并确保以正确的方式处理它们——分析、防御、调查和报告——仍然无法识别攻击者。然而,今天漏洞消息一出,大家第一个想到的问题就是:“是谁干的?”利用泄露的数据提取有效信息,采取积极的防御措施,识别攻击者,了解他们的作案手法,幕后的网络犯罪情报团队在这样做之后,可以迅速破坏他们的进攻性网络行动(OCO)和基础设施。7月下旬披露的CapitalOne漏洞之所以引人注目,不仅在于其规模(超过1亿美国和加拿大客户账户被访问),还在于攻击者PaigeThompson犯罪背后的身份伪装。如前所述,网络犯罪分子经常试图隐藏自己的身份,但汤普森选择在社交媒体上吹嘘自己的罪行以吸引眼球,想必他并不是一个“好罪犯”。然而,大多数网络犯罪分子并不像Thompson那样展现自己,因此了解敌人及其工具至关重要。本文从识别网络罪犯的角度,推荐以下五步法来确定打击网络犯罪和防止网络攻击的对策:及时更新数据:重置员工和客户账户密码并防止数据收集,这将有助于减少黑市欺诈窃取数据价值,让数据买家对卖家失去信心。暗网经济在很大程度上依赖于信任。快速行动:发现数据泄露时,越早采取应急措施,就越能避免混乱和财产损失。控制泄露数据何时公开至关重要。公开报告:快速提交可疑活动报告(SAR)并通知执法??部门。致电DHS的国家网络安全和通信集成中心(NCCIC),或致电您当地的FBI网络部门。如果能够准确识别,执法部门可以帮助起诉犯罪分子并瓦解他们的犯罪活动,甚至可以揭露他们的全部犯罪活动。确定威胁的来源:分析攻击发生的时间和地点。修补漏洞,并确保检查您的合作伙伴和供应商的安全状况,因为它们也可能成为攻击媒介。协作:鉴于网络的互连性,协作已成为重要的防御工具。如果您在其他公司发现数据泄露,请主动通知他们,以便他们可以快速通知客户、重置密码并执行必要的补救措施。通过协作,企业可以获得更多的信息。通过始终如一地遵循上述五个步骤,组织可以有效地打击网络犯罪,并且从恶意论坛窃取的数据将无法再被利用。身份识别不仅可以被军队使用,还可以被金融业、零售业、加密货币市场、社交媒体平台以及情报和执法部门使用。对于执法机构而言,身份识别对于起诉和立案至关重要。对于商业组织,识别有助于风险评估,以便制定有效的对策。网络罪犯只需轻触世界各地连接的设备上的一个按钮,就可以侵入数据库并窃取大量敏感信息。安全领导者需要明白,每次攻击背后总有一个策划者,因此使用识别来有效打击,而不是反复玩防御性的猫捉老鼠游戏。
