新手段:身份識別揭露網絡犯罪
隨著世界逐步數字化,有組織犯罪也日益復雜,犯罪分子利用更先進的技術和更復雜的網絡結構模型在全球范圍內活動,嚴重影響了世界范圍的公司企業和消費者。
因此,防范未來網絡攻擊,先機很重要,越早行動,越能夠減少個人財產損失,加強個人信息保護。然而,知己知彼才能百戰百勝,首先要知道對手是誰,知道網絡攻擊者的身份至關重要。
過去,有組織犯罪團體利用“Boots on the Ground”(“地面部隊”)方法進行攻擊,這就更需要組織內部和現場的協調。如今,這種方法不利于更小、更靈活、結構更松散的犯罪團伙,這些犯罪團伙采用先進技術來提升犯罪能力,而不必踏入受害者國家。
網絡罪犯可以侵入公司數據庫,無論在何地都可以竊取大量敏感信息。因此,網絡犯罪技術和組織的復雜性催生了一種現代打擊犯罪方法,即將身份識別技術應用于網絡防御和犯罪打擊。
早在2007年,筆者就以美國空軍情報分析員的身份被派往伊拉克,并被分配到聯合特種作戰司令部(JSOC)工作組,目的是通過瞄準和占領基地組織高級領導人(AQSL)來破壞恐怖活動。筆者試圖揭露敵軍領導層、武器走私販和投資人的身份。為此,筆者采取了許多復雜的手段,包括信號情報(SIGINT)、人文情報(HUMINT)和最新的無人機。
工作組成功地削弱了敵軍的力量,這在很大程度上歸功于對手的準確情報和積極識別(PID)。在交戰規則中,PID表示合理地識別敵軍陣營成員或緊急威脅,無人機、航拍器以及地面上的情報網絡都在共同努力尋找并完成PID。
筆者認為以上經歷和揭露網絡犯罪分子有異曲同工之妙。盡管商業組織的情報部門可能無法像司令部工作組那樣擁有先進的偵查工具,但越來越多的私人情報小組正在逐步采用更具戰術性的方法,即以身份為導向搜集情報。盡管攻擊者已越來越善于混淆其身份和攻擊媒介,但身份情報和識別分析專家始終站在制定有效對策和主動防御的最前沿。
在過去,身份識別的不確定性使得對網絡犯罪分子的打擊力度大打折扣。然而,犯罪分子也是人,分析專家可以從他們的個人經歷入手。許多網絡犯罪分子個人數據泄露會在社交網絡、暗網等留下痕跡,從而暴露自己的身份。
盡管犯罪分子個人數據在地下社區是轉瞬即逝的,但一些組織已從開放源收集了泄露的信息,用以推動網絡犯罪調查。新功能和工具利用泄露了的數據、開源情報(OSINT)、專有信息和其他數據源,不僅使身份識別成為可能,而且使身份識別可靠,可以及時、高效和有效地進行驗證。
根據筆者在安全運營中心(SOC)工作的個人經驗,一方面,許多(也許不是大多數)安全運營商和傳統威脅情報分析師只會按照預定的步驟,即檢測、響應、補救和重復周期,來修復漏洞。另一方面,SOC之所以有用,是因為它們將眾多工具的安全警報整合并關聯到一個系統中。但是,每天新工具和威脅源的不斷涌入往往會導致異常安全警報泛濫。
諸如防范泄露跡象、標記可疑錨節點、從收件箱中刪除網絡釣魚電子郵件之類等舉措雖然耗時卻是十分必要的。解決一項安全事件可能要花費數小時甚至數天的時間。識別可能帶有安全風險的活動并確保以正確的方法處理它們——分析、防御、調查和報告,但這些依然不能確定攻擊者的身份。
然而當今漏洞新聞一出,大家會想到的第一個問題即:“誰做的?”利用泄露數據,提取有效信息,采取積極防御措施,識別攻擊者的身份,了解他們的作案手法、背后的網絡犯罪情報團隊,完成了這些之后就可以很快地破壞其進攻性網絡運營(OCO)和基礎設施了。
7月下旬披露的Capital One泄露事件之所以引人注目,不僅因為其規模巨大(已訪問了超過1億個美國和加拿大客戶帳戶),而且還在于攻擊者Paige Thompson犯罪之后的身份偽裝。
如前所述,網絡罪犯經常會試圖掩蓋身份,但是Thompson選擇在社交媒體上吹噓自己的犯罪行徑來吸引注意力,想必他不是一個“優秀的犯罪分子”。但是,大多數網絡罪犯并不會像Thompson那樣表現自己,因此了解敵人及其工具至關重要。
從身份識別網絡罪犯的角度,本文建議可以采取以下五步方法來確定打擊網絡犯罪對策,防范網絡攻擊:
- 及時更新數據:重置員工和客戶帳戶密碼,防止數據收購,這有利于降低黑市上被竊取數據的價值,并使數據買方對賣方失去信心。暗網經濟在很大程度上取決于信任。
- 快速行動:當發現數據泄露時,越早采取應急措施,越能減少混亂和財產損失。掌控泄露數據的公開時間至關重要。
- 報告公開出來:迅速提交可疑活動報告(SAR)并通知執法部門。致電DHS的國家網絡安全和通信集成中心(NCCIC),或致電當地FBI網絡部門。如果可以精確地進行身份識別,那么執法部門可以幫助起訴罪犯并破壞他們的犯罪活動,甚至揭露他們整個的作案活動。
- 識別威脅源:分析在何時何地遭受攻擊。修補漏洞,并確保審核一下合作伙伴和供應商的安全態勢,因為它們也可能是攻擊途徑。
- 協作:鑒于網絡互連,協作已成為一項防御的重要工具。如果發現其他公司的數據泄露,請主動通知他們,以便他們可以迅速通知客戶,重置密碼并執行必要的補救措施。通過協作,企業之間可以獲取更多的信息。
堅持執行以上五個步驟,組織可以有效打擊網絡犯罪,從惡意論壇上竊取的數據也無法再被利用。身份識別不僅可以用于軍事,還可以服務金融行業、零售業、加密貨幣市場、社交媒體平臺、以及情報執法部門。對于執法機構,身份識別對于起訴和立案至關重要。對于企業組織,身份識別有利于評估風險以便制定有效對策。
網絡犯罪分子利用連接世界各地的設備按鍵就可以入侵數據庫并竊取大量敏感信息。安全負責人需要了解的是每次攻擊背后總會有一個主要人物,因此利用身份識別進行有效打擊而非反復地開展防御性“貓鼠游戲”。
