如何通过五步法瓦解未来的网络攻击

现在，网络罪犯利用技术的扩散,扩大他们与更复杂的网络结构模型,达到有效的全球化业务在网络空间,最终让网络罪犯破坏公司和消费者。

在过去，传统的等级结构和现场活动这种有组织的犯罪集团。现在逐渐被小型、灵活、结构更松散的犯罪团伙所取代，这些团伙利用先进技术扩大自己的能力，而不必踏足受影响的国家。

打击犯罪的现代方法必须反映出我们的网络犯罪对手在技术和组织上的复杂性，因此，安全分析人士开始改变他们对身份归属的看法。

早在2007年，笔者（Amyn Gilani）在揭露敌军领导层、武器走私者和金融家的身份时，使用了大量复杂的资源，包括信号情报(SIGINT)、人类情报(HUMINT)和最先进的无人机。

很大程度上要归功于准确的情报和对敌人的积极识别(PID)。在规则中，PID意味着一个敌对方已经被合理地确定为目标群体的一员，或者确定的迫在眉睫的威胁。

无人机、天空摄像机和地面上的许多眼睛和耳朵一起工作，寻找并完成敌人识别。同样的思路也适用于揭露网络罪犯。

虽然商业组织的情报单位可能无法获得与特别工作组所支配的相同的复杂资源，但越来越多的私营情报团队正在慢慢地向一种更战术的方法转变，使情报更加以身份为导向。

尽管威胁行动者越来越善于混淆自己的身份和攻击载体，但身份情报和归因分析专家在制定有效的对策和主动防御方面处于前沿。

在归属上的不确定性和似是而非的推诿历来都对网络罪犯有利，但坏人也是人，他们的个人经历为情报专家提供了机会。

许多网络罪犯留下他们自己的历史痕迹，通过数据泄露或泄露，跨越表面、社会、深层和黑暗的网络，最终导致安全部队找到他们的身份。

虽然这些数据在地下社区是暂时的，但一些组织已经从公开来源收集了被破坏和泄露的信息，以推动网络犯罪调查。

新的功能和工具利用被破坏的数据、开源情报(OSINT)、专有信息和其他数据源，使身份归属不仅成为可能，而且是可靠的，能够及时、高效和有效地进行验证。

阻止妥协的指示、标记可疑信标、从员工的收件箱中删除钓鱼邮件等艰巨的任务是必要的，但严格来说，它们是被动的、耗时的。

减轻一次安全事故可能需要数小时，甚至数天;识别可能表明安全风险的活动并确保它们得到正确处理(分析、辩护、调查和报告)，最终结果不太可能有效地确定攻击者的身份。

7月下旬披露的Capital One黑客入侵事件之所以引人注目，不仅因为美国和加拿大的客户账户被侵入了1亿多个，更有趣的是，在事件发生后，佩吉·汤普森直接在自己的社交媒体上展示了自己的犯罪过程。

汤普森并没有试图掩盖自己的身份，随后她在FBI的帮助下被确认并逮捕。然而，现实生活中大多数网络罪犯并没有像汤普森那样把自己直接暴露——所有，了解敌人和他们的工具是至关重要的。

通过揭露攻击你的组织的网络罪犯的身份，你可以采取以下五步法确定的各种行动来瓦解对手，防止未来的攻击:

1. 废弃数据

重新设置员工和客户账户的密码，以防止被破解，这是变相降低黑市上被窃取的数据的价值，使数据的买家和交易员对卖家失去信心。黑暗网络经济惊人地依赖于信任。

2. 迅速采取行动

对发现的受损数据采取行动越快越好。这将为您的组织带来更少的中断和财务损失。当您的组织的数据被公开时，每一分钟都很重要。获取可操作情报的时间是关键。

3.报告

迅速归档可疑活动报告并通知执法部门，如果你对你的归因调查有高度的信心，执法部门可以帮助起诉这个人并扰乱他们的活动，可能还会揭露和起诉他们的整个欺诈团伙。

4. 识别威胁载体

分析何时何地。数据是在什么时候泄露的?是因为一个有风险的商人吗?它是云中管理/配置很差的数据库吗?这是你们供应链中的薄弱环节吗?修补薄弱的漏洞，并确保审查您的合作伙伴和供应商的安全姿势，因为它们也可能代表可能的攻击途径。

5. 协作

鉴于我们的网络具有相互联系的性质，协作已成为守法组织武器库中的一个重要工具。如果您遇到来自另一家公司的泄漏或暴露的数据，要积极主动地通知他们，以便他们能够快速通知客户、重置密码并执行必要的补救。

合作将使组织更多地了解敌对网络以及这个团体或个人如何运作。至于反网络钓鱼，请加入反网络钓鱼工作小组(APWG)。对于身份归因支持，投资一个可靠的身份情报监控服务。

通过坚持执行这五个要素，一个组织可以有效地破坏网络犯罪活动，以至于当被窃取的数据出现在邪恶的论坛上时，犯罪分子已经知道他们无法利用这些数据。你偷来的信息不会卖出去，因为你的数据一旦进入黑市就会贬值。

只要在世界各地的联网设备上敲击几下键盘，网络罪犯就能侵入数据库，窃取大量敏感信息。安全行动的领导者需要明白，攻击背后总有一个真实的人，因此，转移目标，抓住罪犯和他们的同伙，而不是重复玩防御打地鼠的游戏，将是向前推进的关键。

编辑：hfy