想象一下:您公司的网络正面临DDoS攻击,但您不知道谁应该对此负责,也不知道他们的动机是什么。如果不了解这些信息,你就无法判断他们是想用钱来阻止攻击,还是攻击只是为了分散你的安全团队的注意力,而你的网络正在被渗透,商业机密被窃取。
在网络泄露的后果中,它也可以非常有用,可以了解有关可能的攻击者的一些信息。这是因为知道他们是谁 - 或者只是他们来自的地方 - 可以帮助你进行更准确的伤害评估练习。此知识可以指导您寻找数据妥协的迹象的位置,以及哪些其他细节(例如可能已留下的漏洞套件或特洛伊木马)来搜索。
[有关的:威胁地理:为什么特定类型的网络攻击来自特定的地方]
了解你被谁受到攻击的人也可以揭示他们为什么他们可能已经攻击你,他们以后的是什么以及您的企业可能的可能后果。例如,常见的网络犯罪分子可能是在任何数据之后他们认为他们可以转售(例如客户信用卡详细信息),而国外竞争对手或所谓的“国家赞助”黑客可能是特定的技术信息。
“如果您可以将攻击归因于特定的对手,您可以了解他们的动机,能力和基础设施,”基于弗吉尼亚州的安全公司威胁Connect的威胁情报分析师Kyle Ehmke说。“如果你能理解'如何'和'为什么'那么那么这可能是非常有价值的信息。”
也许最重要的是,知道谁攻击了你可以帮助您制定未来的安全计划,并决定如何最好地分配安全预算。例如,如果你认为你是目标攻击的受害者,而黑客没有成功地消除他们以后的一切,那么你可能会决定培养你的安全,专门用于保护这些资产,以保护您最有可能的资产回来。
在主要安全漏洞造成对特定群体的攻击的能力变得更加重要。像这样的攻击2014 SONY BREACH.- FBI归因于黑客与朝鲜政府有关- 可能是国家安全问题的原因,也可以产生重大的政治影响。
那么安全专家如何识别黑客以及他们来自哪里?
在论坛上觅食
首先要了解的是归属非常艰难。你不能只是看看攻击的明显来源,因为它几乎肯定会在攻击者的另一方面的一个受损的服务器上肯定会传递一个代理。或者,在DDOS攻击的情况下,流量将来自数千台可能是全球僵尸网络的一部分的受损机器。
也很难根据被攻击服务器上留下的信息或利用代码中发现的特定语言字符串将攻击归咎于某个组织或国家。这在一定程度上是因为黑客倾向于分享、购买、复制或窃取其他黑客的工具,所以带有一串俄罗斯文本的代码很可能被秘鲁黑客或朝鲜学生使用。对于每一个无意中留下一些活动痕迹的黑客(比如俄语的一串文本),可能会有另一个黑客故意留下这些信息,作为一种误导的形式。
另一件重要的是,黑客很少见面面对面。相反,他们经常在黑客论坛上交换信息,工具和黑客数据 - 无论是在网络上,还是更模糊的Darknet。
[也在cio.com上:在Darknet上发现最令人不安的事情]
据Christopher Ahlberg,Real-Time威胁情报提供者的创始人录制了未来,这些论坛是执法机构和安全专家的重要信息。说到这一点黑色帽子欧洲2016年伦敦的安全会议,Ahlberg表示,在许多情况下,在黑客论坛上归因于对特定群体或个人的攻击归因于“邋andermance”。
“我们将看到有人注册域名,并在社交网络上使用相同的Hacker论坛上的Hacker论坛句柄,”他说。当句柄(可能是电子邮件地址的一部分)以这种方式重复使用,它变得相对容易解决论坛成员是谁以及论坛帖子通常提供指向特定个人(或组)的信息,以此负责一个特定的黑客。
安全专家喜欢阿尔伯格的问题是,聪明的黑客知道操作安全(OPSEC),因此知道最好重用他们的手柄在不同的环境。“他们会做”跳跃,“在论坛之间改变他们的手柄,或者确实在一个论坛内,”他说。
识别模式
可以做些什么来克服手柄跳跃的做法?可能的解决方案是应用一定数量的数学,并进行生活模式,维基百科定义为“专门用于记录或理解受试者(或许多科目)习惯的监视方法。然后可以是潜在的用于预测被观察到的主题的未来行动。“
事实上,人生分析模式可以在各种数据集上进行,从犯罪统计到优步骑行,以发现某些行为模式,Ahlberg说。例如,在情人节那天有很多超级优步骑行,从上午1点开始,并在5时返回,但在税天前夕这类骑行行为非常罕见。同样有趣:在芝加哥袭击的最受欢迎的时期是上午9点,而麻醉品经销商在午餐时间和晚上最活跃。
类似地,可以找到可预测的行为模式incyber犯罪。Ahlberg的公司运行了一个自动化系统,将数据收集到750个刑事或黑客论坛上的数据以及使用七种不同语言的DarkWeb,包括中文,俄语和阿拉伯语。处理和索引有关140万个手柄的数据,结果有一些有趣的结果。
他们发现,超过96%的论坛句柄只使用一次,这表明频繁这些论坛的广阔黑客敏锐地意识到需要采取措施隐藏其身份。
但情况并非总是如此,但例外情况为Ahlberg提供了有机会了解更多关于这些黑客及其活动的信息。“如果我可以看到两个(手柄)模式同步移动,那么它可能是使用两个不同的手柄的同一个人,或者它可能是两个正在一起工作的人,”他说。“诀窍是找到显示类似用法行为的句柄。通过识别”围绕“,我们可以开始识别船员。”
通过查看不同论坛中使用的语言,可以从捕获的数据中提取其他信息。事实证明,在白天或夜晚的众多时期,不同的黑客群体工作。例如,伊朗黑客往往会在白天工作(也许表明他们中的许多是学生),而俄罗斯黑客往往会在晚上运作(这表明许多人有日间工作并将网络犯罪作为第二个工作,以补充他们的第二个工作收入)。
在不同时间经常使用这些网站的黑客组,这表明他们可能在不同的时区,也许是弗拉迪沃斯托克的一组,另一组在莫斯科。
其他模式提供了甚至更强的黑客可能来自哪里的专家。例如,俄罗斯黑客活动在新年前夜(由于原因是明显的),而阿拉伯黑客活动在斋月期间升高(当也许还有别的时候)。
从所有这些都有清楚的是,虽然有可能的归属水平是可能的,但它是一个不精确的科学:索尼黑客两年后,这并不完全明显,美国政府如何确保朝鲜黑客负责。
但是使用生活模式等技术,安全社区越来越能够在“谁?”上揭示一些光线和“为什么?”网络攻击是企业可以利用进入入侵所发生的损坏的信息,并有助于将来保持更安全。
相关视频
这个故事,“知道你的(网络)敌人”最初是出版的CIO. 。