随着世界逐步数字化,有组织犯罪也日益复杂,犯罪分子利用更先进的技术和更复杂的网络结构模型在全球范围内活动,严重影响了世界范围的公司企业和消费者。
因此,防范未来网络攻击,先机很重要,越早行动,越能够减少个人财产损失,加强个人信息保护。然而,知己知彼才能百战百胜,首先要知道对手是谁,知道网络攻击者的身份至关重要。
过去,有组织犯罪团体利用“Boots on the Ground”(“地面部队”)方法进行攻击,这就更需要组织内部和现场的协调。如今,这种方法不利于更小、更灵活、结构更松散的犯罪团伙,这些犯罪团伙采用先进技术来提升犯罪能力,而不必踏入受害者国家。
网络罪犯可以侵入公司数据库,无论在何地都可以窃取大量敏感信息。因此,网络犯罪技术和组织的复杂性催生了一种现代打击犯罪方法,即将身份识别技术应用于网络防御和犯罪打击。
早在2007年,笔者就以美国空军情报分析员的身份被派往伊拉克,并被分配到联合特种作战司令部(JSOC)工作组,目的是通过瞄准和占领基地组织高级领导人(AQSL)来破坏恐怖活动。笔者试图揭露敌军领导层、武器走私贩和投资人的身份。为此,笔者采取了许多复杂的手段,包括信号情报(SIGINT)、人文情报(HUMINT)和最新的无人机。
工作组成功地削弱了敌军的力量,这在很大程度上归功于对手的准确情报和积极识别(PID)。在交战规则中,PID表示合理地识别敌军阵营成员或紧急威胁,无人机、航拍器以及地面上的情报网络都在共同努力寻找并完成PID。
笔者认为以上经历和揭露网络犯罪分子有异曲同工之妙。尽管商业组织的情报部门可能无法像司令部工作组那样拥有先进的侦查工具,但越来越多的私人情报小组正在逐步采用更具战术性的方法,即以身份为导向搜集情报。尽管攻击者已越来越善于混淆其身份和攻击媒介,但身份情报和识别分析专家始终站在制定有效对策和主动防御的最前沿。
在过去,身份识别的不确定性使得对网络犯罪分子的打击力度大打折扣。然而,犯罪分子也是人,分析专家可以从他们的个人经历入手。许多网络犯罪分子个人数据泄露会在社交网络、暗网等留下痕迹,从而暴露自己的身份。
尽管犯罪分子个人数据在地下社区是转瞬即逝的,但一些组织已从开放源收集了泄露的信息,用以推动网络犯罪调查。新功能和工具利用泄露了的数据、开源情报(OSINT)、专有信息和其他数据源,不仅使身份识别成为可能,而且使身份识别可靠,可以及时、高效和有效地进行验证。
根据笔者在安全运营中心(SOC)工作的个人经验,一方面,许多(也许不是大多数)安全运营商和传统威胁情报分析师只会按照预定的步骤,即检测、响应、补救和重复周期,来修复漏洞。另一方面,SOC之所以有用,是因为它们将众多工具的安全警报整合并关联到一个系统中。但是,每天新工具和威胁源的不断涌入往往会导致异常安全警报泛滥。
诸如防范泄露迹象、标记可疑锚节点、从收件箱中删除网络钓鱼电子邮件之类等举措虽然耗时却是十分必要的。解决一项安全事件可能要花费数小时甚至数天的时间。识别可能带有安全风险的活动并确保以正确的方法处理它们——分析、防御、调查和报告,但这些依然不能确定攻击者的身份。
然而当今漏洞新闻一出,大家会想到的第一个问题即:“谁做的?”利用泄露数据,提取有效信息,采取积极防御措施,识别攻击者的身份,了解他们的作案手法、背后的网络犯罪情报团队,完成了这些之后就可以很快地破坏其进攻性网络运营(OCO)和基础设施了。
7月下旬披露的Capital One泄露事件之所以引人注目,不仅因为其规模巨大(已访问了超过1亿个美国和加拿大客户帐户),而且还在于攻击者Paige Thompson犯罪之后的身份伪装。
如前所述,网络罪犯经常会试图掩盖身份,但是Thompson选择在社交媒体上吹嘘自己的犯罪行径来吸引注意力,想必他不是一个“优秀的犯罪分子”。但是,大多数网络罪犯并不会像Thompson那样表现自己,因此了解敌人及其工具至关重要。
从身份识别网络罪犯的角度,本文建议可以采取以下五步方法来确定打击网络犯罪对策,防范网络攻击:
- 及时更新数据:重置员工和客户帐户密码,防止数据收购,这有利于降低黑市上被窃取数据的价值,并使数据买方对卖方失去信心。暗网经济在很大程度上取决于信任。
- 快速行动:当发现数据泄露时,越早采取应急措施,越能减少混乱和财产损失。掌控泄露数据的公开时间至关重要。
- 报告公开出来:迅速提交可疑活动报告(SAR)并通知执法部门。致电DHS的国家网络安全和通信集成中心(NCCIC),或致电当地FBI网络部门。如果可以精确地进行身份识别,那么执法部门可以帮助起诉罪犯并破坏他们的犯罪活动,甚至揭露他们整个的作案活动。
- 识别威胁源:分析在何时何地遭受攻击。修补漏洞,并确保审核一下合作伙伴和供应商的安全态势,因为它们也可能是攻击途径。
- 协作:鉴于网络互连,协作已成为一项防御的重要工具。如果发现其他公司的数据泄露,请主动通知他们,以便他们可以迅速通知客户,重置密码并执行必要的补救措施。通过协作,企业之间可以获取更多的信息。
坚持执行以上五个步骤,组织可以有效打击网络犯罪,从恶意论坛上窃取的数据也无法再被利用。身份识别不仅可以用于军事,还可以服务金融行业、零售业、加密货币市场、社交媒体平台、以及情报执法部门。对于执法机构,身份识别对于起诉和立案至关重要。对于企业组织,身份识别有利于评估风险以便制定有效对策。
网络犯罪分子利用连接世界各地的设备按键就可以入侵数据库并窃取大量敏感信息。安全负责人需要了解的是每次攻击背后总会有一个主要人物,因此利用身份识别进行有效打击而非反复地开展防御性“猫鼠游戏”。