信息來源：FreeBuf

      隨著世界逐步數(shù)字化，有組織犯罪也日益復(fù)雜，犯罪分子利用更先進(jìn)的技術(shù)和更復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)模型在全球范圍內(nèi)活動(dòng)，嚴(yán)重影響了世界范圍的公司企業(yè)和消費(fèi)者。

      因此，防范未來網(wǎng)絡(luò)攻擊，先機(jī)很重要，越早行動(dòng)，越能夠減少個(gè)人財(cái)產(chǎn)損失，加強(qiáng)個(gè)人信息保護(hù)。然而，知己知彼才能百戰(zhàn)百勝，首先要知道對(duì)手是誰，知道網(wǎng)絡(luò)攻擊者的身份至關(guān)重要。

      過去，有組織犯罪團(tuán)體利用“Boots on the Ground”(“地面部隊(duì)”)方法進(jìn)行攻擊，這就更需要組織內(nèi)部和現(xiàn)場的協(xié)調(diào)。如今，這種方法不利于更小、更靈活、結(jié)構(gòu)更松散的犯罪團(tuán)伙，這些犯罪團(tuán)伙采用先進(jìn)技術(shù)來提升犯罪能力，而不必踏入受害者國家。

網(wǎng)絡(luò)罪犯可以侵入公司數(shù)據(jù)庫，無論在何地都可以竊取大量敏感信息。因此，網(wǎng)絡(luò)犯罪技術(shù)和組織的復(fù)雜性催生了一種現(xiàn)代打擊犯罪方法，即將身份識(shí)別技術(shù)應(yīng)用于網(wǎng)絡(luò)防御和犯罪打擊。

      早在2007年，筆者就以美國空軍情報(bào)分析員的身份被派往伊拉克，并被分配到聯(lián)合特種作戰(zhàn)司令部（JSOC）工作組，目的是通過瞄準(zhǔn)和占領(lǐng)基地組織高級(jí)領(lǐng)導(dǎo)人（AQSL）來破壞恐怖活動(dòng)。筆者試圖揭露敵軍領(lǐng)導(dǎo)層、武器走私販和投資人的身份。為此，筆者采取了許多復(fù)雜的手段，包括信號(hào)情報(bào)（SIGINT）、人文情報(bào)（HUMINT）和最新的無人機(jī)。

      工作組成功地削弱了敵軍的力量，這在很大程度上歸功于對(duì)手的準(zhǔn)確情報(bào)和積極識(shí)別（PID）。在交戰(zhàn)規(guī)則中，PID表示合理地識(shí)別敵軍陣營成員或緊急威脅，無人機(jī)、航拍器以及地面上的情報(bào)網(wǎng)絡(luò)都在共同努力尋找并完成PID。

      筆者認(rèn)為以上經(jīng)歷和揭露網(wǎng)絡(luò)犯罪分子有異曲同工之妙。盡管商業(yè)組織的情報(bào)部門可能無法像司令部工作組那樣擁有先進(jìn)的偵查工具，但越來越多的私人情報(bào)小組正在逐步采用更具戰(zhàn)術(shù)性的方法，即以身份為導(dǎo)向搜集情報(bào)。盡管攻擊者已越來越善于混淆其身份和攻擊媒介，但身份情報(bào)和識(shí)別分析專家始終站在制定有效對(duì)策和主動(dòng)防御的最前沿。

      在過去，身份識(shí)別的不確定性使得對(duì)網(wǎng)絡(luò)犯罪分子的打擊力度大打折扣。然而，犯罪分子也是人，分析專家可以從他們的個(gè)人經(jīng)歷入手。許多網(wǎng)絡(luò)犯罪分子個(gè)人數(shù)據(jù)泄露會(huì)在社交網(wǎng)絡(luò)、暗網(wǎng)等留下痕跡，從而暴露自己的身份。

      盡管犯罪分子個(gè)人數(shù)據(jù)在地下社區(qū)是轉(zhuǎn)瞬即逝的，但一些組織已從開放源收集了泄露的信息，用以推動(dòng)網(wǎng)絡(luò)犯罪調(diào)查。新功能和工具利用泄露了的數(shù)據(jù)、開源情報(bào)（OSINT）、專有信息和其他數(shù)據(jù)源，不僅使身份識(shí)別成為可能，而且使身份識(shí)別可靠，可以及時(shí)、高效和有效地進(jìn)行驗(yàn)證。

      根據(jù)筆者在安全運(yùn)營中心（SOC）工作的個(gè)人經(jīng)驗(yàn)，一方面，許多（也許不是大多數(shù)）安全運(yùn)營商和傳統(tǒng)威脅情報(bào)分析師只會(huì)按照預(yù)定的步驟，即檢測、響應(yīng)、補(bǔ)救和重復(fù)周期，來修復(fù)漏洞。另一方面，SOC之所以有用，是因?yàn)樗鼈儗⒈姸喙ぞ叩陌踩瘓?bào)整合并關(guān)聯(lián)到一個(gè)系統(tǒng)中。但是，每天新工具和威脅源的不斷涌入往往會(huì)導(dǎo)致異常安全警報(bào)泛濫。

      諸如防范泄露跡象、標(biāo)記可疑錨節(jié)點(diǎn)、從收件箱中刪除網(wǎng)絡(luò)釣魚電子郵件之類等舉措雖然耗時(shí)卻是十分必要的。解決一項(xiàng)安全事件可能要花費(fèi)數(shù)小時(shí)甚至數(shù)天的時(shí)間。識(shí)別可能帶有安全風(fēng)險(xiǎn)的活動(dòng)并確保以正確的方法處理它們——分析、防御、調(diào)查和報(bào)告，但這些依然不能確定攻擊者的身份。

       然而當(dāng)今漏洞新聞一出，大家會(huì)想到的第一個(gè)問題即：“誰做的？”利用泄露數(shù)據(jù)，提取有效信息，采取積極防御措施，識(shí)別攻擊者的身份，了解他們的作案手法、背后的網(wǎng)絡(luò)犯罪情報(bào)團(tuán)隊(duì)，完成了這些之后就可以很快地破壞其進(jìn)攻性網(wǎng)絡(luò)運(yùn)營（OCO）和基礎(chǔ)設(shè)施了。

      7月下旬披露的Capital One泄露事件之所以引人注目，不僅因?yàn)槠湟?guī)模巨大（已訪問了超過1億個(gè)美國和加拿大客戶帳戶），而且還在于攻擊者Paige Thompson犯罪之后的身份偽裝。

      如前所述，網(wǎng)絡(luò)罪犯經(jīng)常會(huì)試圖掩蓋身份，但是Thompson選擇在社交媒體上吹噓自己的犯罪行徑來吸引注意力，想必他不是一個(gè)“優(yōu)秀的犯罪分子”。但是，大多數(shù)網(wǎng)絡(luò)罪犯并不會(huì)像Thompson那樣表現(xiàn)自己，因此了解敵人及其工具至關(guān)重要。

        從身份識(shí)別網(wǎng)絡(luò)罪犯的角度，本文建議可以采取以下五步方法來確定打擊網(wǎng)絡(luò)犯罪對(duì)策，防范網(wǎng)絡(luò)攻擊：

1.及時(shí)更新數(shù)據(jù)：重置員工和客戶帳戶密碼，防止數(shù)據(jù)收購，這有利于降低黑市上被竊取數(shù)據(jù)的價(jià)值，并使數(shù)據(jù)買方對(duì)賣方失去信心。暗網(wǎng)經(jīng)濟(jì)在很大程度上取決于信任。

2.快速行動(dòng)：當(dāng)發(fā)現(xiàn)數(shù)據(jù)泄露時(shí)，越早采取應(yīng)急措施，越能減少混亂和財(cái)產(chǎn)損失。掌控泄露數(shù)據(jù)的公開時(shí)間至關(guān)重要。

3.報(bào)告公開出來：迅速提交可疑活動(dòng)報(bào)告（SAR）并通知執(zhí)法部門。致電DHS的國家網(wǎng)絡(luò)安全和通信集成中心（NCCIC），或致電當(dāng)?shù)谾BI網(wǎng)絡(luò)部門。如果可以精確地進(jìn)行身份識(shí)別，那么執(zhí)法部門可以幫助起訴罪犯并破壞他們的犯罪活動(dòng)，甚至揭露他們整個(gè)的作案活動(dòng)。

4.識(shí)別威脅源：分析在何時(shí)何地遭受攻擊。修補(bǔ)漏洞，并確保審核一下合作伙伴和供應(yīng)商的安全態(tài)勢，因?yàn)樗鼈円部赡苁枪敉緩健?

5.協(xié)作：鑒于網(wǎng)絡(luò)互連，協(xié)作已成為一項(xiàng)防御的重要工具。如果發(fā)現(xiàn)其他公司的數(shù)據(jù)泄露，請主動(dòng)通知他們，以便他們可以迅速通知客戶，重置密碼并執(zhí)行必要的補(bǔ)救措施。通過協(xié)作，企業(yè)之間可以獲取更多的信息。

       堅(jiān)持執(zhí)行以上五個(gè)步驟，組織可以有效打擊網(wǎng)絡(luò)犯罪，從惡意論壇上竊取的數(shù)據(jù)也無法再被利用。身份識(shí)別不僅可以用于軍事，還可以服務(wù)金融行業(yè)、零售業(yè)、加密貨幣市場、社交媒體平臺(tái)、以及情報(bào)執(zhí)法部門。對(duì)于執(zhí)法機(jī)構(gòu)，身份識(shí)別對(duì)于起訴和立案至關(guān)重要。對(duì)于企業(yè)組織，身份識(shí)別有利于評(píng)估風(fēng)險(xiǎn)以便制定有效對(duì)策。

       網(wǎng)絡(luò)犯罪分子利用連接世界各地的設(shè)備按鍵就可以入侵?jǐn)?shù)據(jù)庫并竊取大量敏感信息。安全負(fù)責(zé)人需要了解的是每次攻擊背后總會(huì)有一個(gè)主要人物，因此利用身份識(shí)別進(jìn)行有效打擊而非反復(fù)地開展防御性“貓鼠游戲”。