新手段:身份识别揭露网络犯罪
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》
随着世界逐步数字化,有组织犯罪也日益复杂,犯罪分子利用更先进的技术和更复杂的网络结构模型在全球范围内活动,严重影响了世界范围的公司企业和消费者。
因此,防范未来网络攻击,先机很重要,越早行动,越能够减少个人财产损失,加强个人信息保护。然而,知己知彼才能百战百胜,首先要知道对手是谁,知道网络攻击者的身份至关重要。
过去,有组织犯罪团体利用“Boots on the Ground”(“地面部队”)方法进行攻击,这就更需要组织内部和现场的协调。如今,这种方法不利于更小、更灵活、结构更松散的犯罪团伙,这些犯罪团伙采用先进技术来提升犯罪能力,而不必踏入受害者国家。
网络罪犯可以侵入公司数据库,无论在何地都可以窃取大量敏感信息。因此,网络犯罪技术和组织的复杂性催生了一种现代打击犯罪方法,即将身份识别技术应用于网络防御和犯罪打击。
早在2007年,笔者就以美国空军情报分析员的身份被派往伊拉克,并被分配到联合特种作战司令部(JSOC)工作组,目的是通过瞄准和占领基地组织高级领导人(AQSL)来破坏恐怖活动。笔者试图揭露敌军领导层、武器走私贩和投资人的身份。为此,笔者采取了许多复杂的手段,包括信号情报(SIGINT)、人文情报(HUMINT)和最新的无人机。
工作组成功地削弱了敌军的力量,这在很大程度上归功于对手的准确情报和积极识别(PID)。在交战规则中,PID表示合理地识别敌军阵营成员或紧急威胁,无人机、航拍器以及地面上的情报网络都在共同努力寻找并完成PID。
笔者认为以上经历和揭露网络犯罪分子有异曲同工之妙。尽管商业组织的情报部门可能无法像司令部工作组那样拥有先进的侦查工具,但越来越多的私人情报小组正在逐步采用更具战术性的方法,即以身份为导向搜集情报。尽管攻击者已越来越善于混淆其身份和攻击媒介,但身份情报和识别分析专家始终站在制定有效对策和主动防御的最前沿。
在过去,身份识别的不确定性使得对网络犯罪分子的打击力度大打折扣。然而,犯罪分子也是人,分析专家可以从他们的个人经历入手。许多网络犯罪分子个人数据泄露会在社交网络、暗网等留下痕迹,从而暴露自己的身份。
尽管犯罪分子个人数据在地下社区是转瞬即逝的,但一些组织已从开放源收集了泄露的信息,用以推动网络犯罪调查。新功能和工具利用泄露了的数据、开源情报(OSINT)、专有信息和其他数据源,不仅使身份识别成为可能,而且使身份识别可靠,可以及时、高效和有效地进行验证。
根据笔者在安全运营中心(SOC)工作的个人经验,一方面,许多(也许不是大多数)安全运营商和传统威胁情报分析师只会按照预定的步骤,即检测、响应、补救和重复周期,来修复漏洞。另一方面,SOC之所以有用,是因为它们将众多工具的安全警报整合并关联到一个系统中。但是,每天新工具和威胁源的不断涌入往往会导致异常安全警报泛滥。
诸如防范泄露迹象、标记可疑锚节点、从收件箱中删除网络钓鱼电子邮件之类等举措虽然耗时却是十分必要的。解决一项安全事件可能要花费数小时甚至数天的时间。识别可能带有安全风险的活动并确保以正确的方法处理它们——分析、防御、调查和报告,但这些依然不能确定攻击者的身份。
然而当今漏洞新闻一出,大家会想到的第一个问题即:“谁做的?”利用泄露数据,提取有效信息,采取积极防御措施,识别攻击者的身份,了解他们的作案手法、背后的网络犯罪情报团队,完成了这些之后就可以很快地破坏其进攻性网络运营(OCO)和基础设施了。
7月下旬披露的Capital One泄露事件之所以引人注目,不仅因为其规模巨大(已访问了超过1亿个美国和加拿大客户帐户),而且还在于攻击者Paige Thompson犯罪之后的身份伪装。
如前所述,网络罪犯经常会试图掩盖身份,但是Thompson选择在社交媒体上吹嘘自己的犯罪行径来吸引注意力,想必他不是一个“优秀的犯罪分子”。但是,大多数网络罪犯并不会像Thompson那样表现自己,因此了解敌人及其工具至关重要。
从身份识别网络罪犯的角度,本文建议可以采取以下五步方法来确定打击网络犯罪对策,防范网络攻击:
- 及时更新数据:重置员工和客户帐户密码,防止数据收购,这有利于降低黑市上被窃取数据的价值,并使数据买方对卖方失去信心。暗网经济在很大程度上取决于信任。
- 快速行动:当发现数据泄露时,越早采取应急措施,越能减少混乱和财产损失。掌控泄露数据的公开时间至关重要。
- 报告公开出来:迅速提交可疑活动报告(SAR)并通知执法部门。致电DHS的国家网络安全和通信集成中心(NCCIC),或致电当地FBI网络部门。如果可以精确地进行身份识别,那么执法部门可以帮助起诉罪犯并破坏他们的犯罪活动,甚至揭露他们整个的作案活动。
- 识别威胁源:分析在何时何地遭受攻击。修补漏洞,并确保审核一下合作伙伴和供应商的安全态势,因为它们也可能是攻击途径。
- 协作:鉴于网络互连,协作已成为一项防御的重要工具。如果发现其他公司的数据泄露,请主动通知他们,以便他们可以迅速通知客户,重置密码并执行必要的补救措施。通过协作,企业之间可以获取更多的信息。
坚持执行以上五个步骤,组织可以有效打击网络犯罪,从恶意论坛上窃取的数据也无法再被利用。身份识别不仅可以用于军事,还可以服务金融行业、零售业、加密货币市场、社交媒体平台、以及情报执法部门。对于执法机构,身份识别对于起诉和立案至关重要。对于企业组织,身份识别有利于评估风险以便制定有效对策。
网络犯罪分子利用连接世界各地的设备按键就可以入侵数据库并窃取大量敏感信息。安全负责人需要了解的是每次攻击背后总会有一个主要人物,因此利用身份识别进行有效打击而非反复地开展防御性“猫鼠游戏”。
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
2020年的6大医疗安全威胁
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》 由于Anthem和Allscripts等备受瞩目的违规行为,消费者现在更担心他们受保护的健康信息(PHI)会受到损害。最近的2019年RSA数据隐私与安全调查询问了欧洲和美国近6400名消费者对其数据安全的看法。调查显示,61%的受访者担心他们的医疗数据被泄露。 他们有充分的理由对此表示担心。医疗保健行业仍然是黑客的主要目标,并且内部威胁也有很大的风险。 为什么医疗保健行业是黑客的目标 医疗保健组织往往有一些特殊的属性,使其成为了攻击者的诱人目标。一个关键原因是大量的没有定期修补的不同系统。“其中一些是嵌入式系统,由于制造商创建它们的方式,这些系统无法被轻松地修补。”“如果医疗保健的IT部门选择这样做,将会给供应商支持他们的方式带来重大问题。”KnowBe4的首席布道师兼战略官Perry Carpenter说。 医疗保健机构所做事情的关键性质也使他们容易成为攻击者的目标。健康数据在网络犯罪世界中是一种有价值的商品,这自然而然的使它成为了盗窃的目标。因为事关重大--涉及到病人的福祉--医疗保健机构也更有可能支付赎金要...
- 下一篇
以人为中心的安全对企业意味着什么
【大咖・来了 第7期】10月24日晚8点观看《智能导购对话机器人实践》 人常被认为是信息安全中的 “最弱一环”。但公司企业一直以来都依赖技术安全控制的有效性,而未试图理解为什么人总容易犯错和被操纵。很明显,我们需要一种新方法,一种能帮助企业理解和管理心理漏洞,进而采用将人类行为也考虑进去的技术和控制措施。 该新方法就是以人为中心的安全。 以人为中心的安全始于理解人类及其与技术、控制和数据的互动。通过识别员工一天中 “触及” 数据的时段和方式,公司企业可发现心理相关过失的触发条件,而这些过失都是可能导致安全事件的。 多年来,攻击者一直在用心理操控方法迫使人们犯错。攻击技术在数字时代持续进化,复杂度、速度和规模均有增加。了解到底是什么触发了人为错误,可以帮助企业做出信息安全方法上的巨大转变。 识别人员漏洞 以人为中心的安全承认员工每天都通过一系列触点与技术、控制和数据交互。这些触点可能是数字的、实体的,或者口头的。员工需在此类交互中做出决策。然而,人类有很多漏洞可能导致决策错误,对公司造成负面影响,比如对外发送包含敏感数据的电子邮件、被人尾随进入公司限制区域,或者在火车上讨论公司并购问题。...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
-
Docker使用Oracle官方镜像安装(12C,18C,19C)
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- CentOS8编译安装MySQL8.0.19
- Docker快速安装Oracle11G,搭建oracle11g学习环境
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- MySQL8.0.19开启GTID主从同步CentOS8
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
推荐阅读
最新文章
- Mario游戏-低调大师作品
- CentOS7安装Docker,走上虚拟化容器引擎之路
- CentOS8安装MyCat,轻松搞定数据库的读写分离、垂直分库、水平分库
- SpringBoot2编写第一个Controller,响应你的http请求并返回结果
- CentOS7,CentOS8安装Elasticsearch6.8.6
- SpringBoot2初体验,简单认识spring boot2并且搭建基础工程
- CentOS6,CentOS7官方镜像安装Oracle11G
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- 设置Eclipse缩进为4个空格,增强代码规范