拍下这一刻:贵公司的网络面临的DDoS攻击,但你不知道谁是负责或他们的动机可能是。如果没有这方面的知识,如果他们想要金钱换取停止攻击或攻击是占据着你的安全团队,而你的网络正在渗透和商业秘密被盗引水你不能告诉。
在网络违约的后果也可以是非常有用的了解可能的攻击者的一些信息。这是因为知道他们是谁 - 或者只是他们在那里 - 可以帮助您进行更准确的损失评估工作。这方面的知识可以指导你去哪里找数据妥协的迹象,并寻求其他什么细节(如漏洞利用工具包或木马可能已经被抛在后面)。
知道你已经被攻击可以谁也能够解释为什么他们可能已经攻击了你一些光,它们是什么之后,什么为您的企业可能发生的后果而定。例如,常见的网络犯罪分子可以是任何数据后,他们认为他们可以转卖(比如客户信用卡详细信息),而外国竞争对手或所谓的“国家资助”黑客可能会后的特定技术信息。
“如果你可以通过属性的攻击特定的对手,你能理解他们的动机,他们的能力和基础设施,”在弗吉尼亚州的安全公司ThreatConnect威胁情报分析师凯尔Ehmke说。“如果你能理解‘如何’和‘为什么’,那么,可以是非常有价值的信息。”
也许最重要的是,了解谁攻击了您可以帮助您制定未来的安全计划,并决定如何最好地分配您的安全预算。举个例子,如果你相信你是有针对性的攻击和黑客的受害者没有成功后漏出的任何东西,然后你可以决定加强安全专门来保护这些资产,你认为他们是最有可能回来。
当出现重大安全漏洞时,将攻击归咎于特定组的能力变得更加重要。攻击的2014索尼违约-联邦调查局认为是黑客干的连接朝鲜政府-可能引起国家安全关切,也可能产生重大的政治影响。
那么,安全专家如何识别黑客以及他们来自哪里呢?
觅食论坛
要了解的第一件事是,归属很辛苦。你不能只看攻击的明显的来源,因为它几乎肯定会路过认为至少一个代理,也许对世界的距离攻击对方一个妥协的服务器上。或者,在DDoS攻击的情况下,流量将来自成千上万受到攻击的机器,可能是一个全球性的僵尸网络的一部分。
这也是难以确定攻击基于在特定的语言留在受损的服务器或串消息的团体或国家发现了攻击代码。在那是因为黑客往往份额,购买,复制或窃取其他黑客的工具,因此与俄罗斯的文本字符串代码可能一样可能由秘鲁黑客或朝鲜学生使用的部分。而对于每一个谁无意中留下他的活动的一些微量黑客(如在俄文本的字符串)有可能是另一种谁将会留下这样的信息故意误导的一种形式。
另一件重要的事情是,黑客们很少面对面地见面。相反,他们经常在黑客论坛上交换信息、工具和被黑的数据——无论是在网络上,还是在更隐蔽的“黑暗网”上。
[同样在CIO.com:在“黑暗网”上,你会发现8件最令人不安的事情]
实时威胁情报提供商Recorded Future的首席执行官兼创始人Christopher Ahlberg表示,这些论坛是执法机构和安全专家的重要信息来源。在2016黑帽欧洲在伦敦召开的安全会议上,Ahlberg说,在许多情况下,将攻击归咎于某个特定组织或个人的能力归结于黑客论坛上“草率的处理”。
他表示:“我们将看到有人注册一个域名,并在黑客论坛、开发者论坛、社交网络等平台上使用相同的处理方式。”当句柄(可能是电子邮件地址的一部分)以这种方式被重用时,就比较容易确定论坛成员是谁,而论坛帖子通常提供的信息指向一个特定的个人(或组)对某个特定的黑客负责。
安全专家喜欢阿尔伯格的问题是,聪明的黑客知道操作安全(OPSEC),因此知道最好重用他们的手柄在不同的环境。“他们会做,或者在一个论坛确实“把手跳跃,不断变化的论坛,他们之间的把手,”他说。
识别模式
有什么可以做,以克服手柄跳跃的做法?一种可能的解决方案是应用的剂量数学的和进行寿命分析,这维基百科定义为“监视的方法,具体用于归档或理解受试者的(或许多学科)习惯的图案。然后,该信息可以是潜在地使用由所述对象(一个或多个)来预测未来的行动被观察“。
Ahlberg说,事实上,生活模式分析可以在各种数据集上进行,从犯罪统计到优步打车,到发现特定的行为模式。例如,事实证明,在情人节,有很多优步打车服务从凌晨1点开始,在凌晨5点返回。,但在报税日前这种骑车行为是非常罕见的。同样有趣的是:在芝加哥,窃贼最喜欢在上午9点行窃。,而毒贩在中午和晚上最活跃。
同样可预见的行为模式可以发现incyber犯罪。阿尔伯格的公司运行的自动化系统,收集网络上的750个刑事或黑客论坛和暗网数据使用七种不同的语言,包括中国,俄罗斯和阿拉伯语。在140万个手柄数据的处理和索引,有一些有趣的结果。
他们发现,论坛手柄超过96%的人只使用一次,这表明该光顾这些论坛广大黑客们敏锐地意识到需要采取措施来隐藏自己的身份。
但事实并非总是如此,并提供阿尔伯格的机会例外更多的了解这些黑客和他们的活动。“如果我能看到两个(句柄)的模式同步移动的话那可能是因为它是使用两种不同的手柄是同一个人,也可以是两个人谁一起工作,”他说。“关键是要找到显示类似的使用行为手柄。通过识别‘恒变通’,我们就可以开始确定一个工作人员。”
通过查看不同论坛中使用的语言,可以从捕获的数据中提取其他信息。事实证明,不同的黑客群体在白天或晚上的不同时间工作。例如,伊朗黑客倾向于在白天工作(这可能表明他们中很多人是学生),而俄罗斯黑客倾向于在晚上工作(这表明许多人在白天工作,进行网络犯罪作为他们的第二职业来补充收入)。
而这在俄语网站运行黑客团体在不同的时间光顾这些网站,这表明它们可能处于不同的时区,也许是一组在符拉迪沃斯托克和另一个莫斯科。
其他模式为专家提供了更强有力的证据,表明黑客可能来自何方。例如,俄罗斯的黑客活动在新年前夕减少(原因很明显),而阿拉伯的黑客活动在斋月期间增加(在斋月期间可能没有其他事情可做)。
从这一切可以清楚地看出,虽然可以在一定程度上归罪于朝鲜,但这在很大程度上是一门不精确的科学:在索尼遭到黑客攻击两年后,美国政府还不完全清楚如何能确定朝鲜的黑客是罪魁祸首。
但生命的使用技术,如模式分析安全社区越来越能够阐明“谁?”、“为什么?”网络攻击的信息,企业可以利用当入侵发生损害最小化,并帮助在将来使自己更安全。
相关的视频
这个故事,“认识你的(网络)敌人”最初是由CIO 。