隨著世界逐步數(shù)字化，有組織犯罪也日益復(fù)雜，犯罪分子利用更先進(jìn)的技術(shù)和更復(fù)雜的網(wǎng)絡(luò)結(jié)構(gòu)模型在全球范圍內(nèi)活動(dòng)，嚴(yán)重影響了世界范圍的公司企業(yè)和消費(fèi)者。

因此，防范未來(lái)網(wǎng)絡(luò)攻擊，先機(jī)很重要，越早行動(dòng)，越能夠減少個(gè)人財(cái)產(chǎn)損失，加強(qiáng)個(gè)人信息保護(hù)。

然而，知己知彼才能百戰(zhàn)百勝，首先要知道對(duì)手是誰(shuí)，知道網(wǎng)絡(luò)攻擊者的身份至關(guān)重要。

過(guò)去，有組織犯罪團(tuán)體利用“Boots on the Ground”(“地面部隊(duì)”)方法進(jìn)行攻擊，這就更需要組織內(nèi)部和現(xiàn)場(chǎng)的協(xié)調(diào)。

如今，這種方法不利于更小、更靈活、結(jié)構(gòu)更松散的犯罪團(tuán)伙，這些犯罪團(tuán)伙采用先進(jìn)技術(shù)來(lái)提升犯罪能力，而不必踏入受害者國(guó)家。

網(wǎng)絡(luò)罪犯可以侵入公司數(shù)據(jù)庫(kù)，無(wú)論在何地都可以竊取大量敏感信息。

因此，網(wǎng)絡(luò)犯罪技術(shù)和組織的復(fù)雜性催生了一種現(xiàn)代打擊犯罪方法，即將身份識(shí)別技術(shù)應(yīng)用于網(wǎng)絡(luò)防御和犯罪打擊。

早在2007年，筆者就以美國(guó)空軍情報(bào)分析員的身份被派往伊拉克，并被分配到聯(lián)合特種作戰(zhàn)司令部(JSOC)工作組，目的是通過(guò)瞄準(zhǔn)和占領(lǐng)基地組織高級(jí)領(lǐng)導(dǎo)人(AQSL)來(lái)破壞恐怖活動(dòng)。

筆者試圖揭露敵軍領(lǐng)導(dǎo)層、武器走私販和投資人的身份。

為此，筆者采取了許多復(fù)雜的手段，包括信號(hào)情報(bào)(SIGINT)、人文情報(bào)(HUMINT)和最新的無(wú)人機(jī)。

工作組成功地削弱了敵軍的力量，這在很大程度上歸功于對(duì)手的準(zhǔn)確情報(bào)和積極識(shí)別(PID)。

在交戰(zhàn)規(guī)則中，PID表示合理地識(shí)別敵軍陣營(yíng)成員或緊急威脅，無(wú)人機(jī)、航拍器以及地面上的情報(bào)網(wǎng)絡(luò)都在共同努力尋找并完成PID。

筆者認(rèn)為以上經(jīng)歷和揭露網(wǎng)絡(luò)犯罪分子有異曲同工之妙。

盡管商業(yè)組織的情報(bào)部門(mén)可能無(wú)法像司令部工作組那樣擁有先進(jìn)的偵查工具，但越來(lái)越多的私人情報(bào)小組正在逐步采用更具戰(zhàn)術(shù)性的方法，即以身份為導(dǎo)向搜集情報(bào)。

盡管攻擊者已越來(lái)越善于混淆其身份和攻擊媒介，但身份情報(bào)和識(shí)別分析專(zhuān)家始終站在制定有效對(duì)策和主動(dòng)防御的最前沿。

在過(guò)去，身份識(shí)別的不確定性使得對(duì)網(wǎng)絡(luò)犯罪分子的打擊力度大打折扣。

然而，犯罪分子也是人，分析專(zhuān)家可以從他們的個(gè)人經(jīng)歷入手。

許多網(wǎng)絡(luò)犯罪分子個(gè)人數(shù)據(jù)泄露會(huì)在社交網(wǎng)絡(luò)、暗網(wǎng)等留下痕跡，從而暴露自己的身份。

盡管犯罪分子個(gè)人數(shù)據(jù)在地下社區(qū)是轉(zhuǎn)瞬即逝的，但一些組織已從開(kāi)放源收集了泄露的信息，用以推動(dòng)網(wǎng)絡(luò)犯罪調(diào)查。

新功能和工具利用泄露了的數(shù)據(jù)、開(kāi)源情報(bào)(OSINT)、專(zhuān)有信息和其他數(shù)據(jù)源，不僅使身份識(shí)別成為可能，而且使身份識(shí)別可靠，可以及時(shí)、高效和有效地進(jìn)行驗(yàn)證。

根據(jù)筆者在安全運(yùn)營(yíng)中心(SOC)工作的個(gè)人經(jīng)驗(yàn)，一方面，許多(也許不是大多數(shù))安全運(yùn)營(yíng)商和傳統(tǒng)威脅情報(bào)分析師只會(huì)按照預(yù)定的步驟，即檢測(cè)、響應(yīng)、補(bǔ)救和重復(fù)周期，來(lái)修復(fù)漏洞。

另一方面，SOC之所以有用，是因?yàn)樗鼈儗⒈姸喙ぞ叩陌踩瘓?bào)整合并關(guān)聯(lián)到一個(gè)系統(tǒng)中。

但是，每天新工具和威脅源的不斷涌入往往會(huì)導(dǎo)致異常安全警報(bào)泛濫。

諸如防范泄露跡象、標(biāo)記可疑錨節(jié)點(diǎn)、從收件箱中刪除網(wǎng)絡(luò)釣魚(yú)電子郵件之類(lèi)等舉措雖然耗時(shí)卻是十分必要的。

解決一項(xiàng)安全事件可能要花費(fèi)數(shù)小時(shí)甚至數(shù)天的時(shí)間。

識(shí)別可能帶有安全風(fēng)險(xiǎn)的活動(dòng)并確保以正確的方法處理它們——分析、防御、調(diào)查和報(bào)告，但這些依然不能確定攻擊者的身份。

然而當(dāng)今漏洞新聞一出，大家會(huì)想到的第一個(gè)問(wèn)題即：“誰(shuí)做的?”利用泄露數(shù)據(jù)，提取有效信息，采取積極防御措施，識(shí)別攻擊者的身份，了解他們的作案手法、背后的網(wǎng)絡(luò)犯罪情報(bào)團(tuán)隊(duì)，完成了這些之后就可以很快地破壞其進(jìn)攻性網(wǎng)絡(luò)運(yùn)營(yíng)(OCO)和基礎(chǔ)設(shè)施了。

7月下旬披露的Capital One泄露事件之所以引人注目，不僅因?yàn)槠湟?guī)模巨大(已訪問(wèn)了超過(guò)1億個(gè)美國(guó)和加拿大客戶帳戶)，而且還在于攻擊者Paige Thompson犯罪之后的身份偽裝。

如前所述，網(wǎng)絡(luò)罪犯經(jīng)常會(huì)試圖掩蓋身份，但是Thompson選擇在社交媒體上吹噓自己的犯罪行徑來(lái)吸引注意力，想必他不是一個(gè)“優(yōu)秀的犯罪分子”。

但是，大多數(shù)網(wǎng)絡(luò)罪犯并不會(huì)像Thompson那樣表現(xiàn)自己，因此了解敵人及其工具至關(guān)重要。

從身份識(shí)別網(wǎng)絡(luò)罪犯的角度，本文建議可以采取以下五步方法來(lái)確定打擊網(wǎng)絡(luò)犯罪對(duì)策，防范網(wǎng)絡(luò)攻擊：及時(shí)更新數(shù)據(jù)：重置員工和客戶帳戶密碼，防止數(shù)據(jù)收購(gòu)，這有利于降低黑市上被竊取數(shù)據(jù)的價(jià)值，并使數(shù)據(jù)買(mǎi)方對(duì)賣(mài)方失去信心。

暗網(wǎng)經(jīng)濟(jì)在很大程度上取決于信任。

快速行動(dòng)：當(dāng)發(fā)現(xiàn)數(shù)據(jù)泄露時(shí)，越早采取應(yīng)急措施，越能減少混亂和財(cái)產(chǎn)損失。

掌控泄露數(shù)據(jù)的公開(kāi)時(shí)間至關(guān)重要。

報(bào)告公開(kāi)出來(lái)：迅速提交可疑活動(dòng)報(bào)告(SAR)并通知執(zhí)法部門(mén)。

致電DHS的國(guó)家網(wǎng)絡(luò)安全和通信集成中心(NCCIC)，或致電當(dāng)?shù)谾BI網(wǎng)絡(luò)部門(mén)。

如果可以精確地進(jìn)行身份識(shí)別，那么執(zhí)法部門(mén)可以幫助起訴罪犯并破壞他們的犯罪活動(dòng)，甚至揭露他們整個(gè)的作案活動(dòng)。

識(shí)別威脅源：分析在何時(shí)何地遭受攻擊。

修補(bǔ)漏洞，并確保審核一下合作伙伴和供應(yīng)商的安全態(tài)勢(shì)，因?yàn)樗鼈円部赡苁枪敉緩健?/p>

協(xié)作：鑒于網(wǎng)絡(luò)互連，協(xié)作已成為一項(xiàng)防御的重要工具。

如果發(fā)現(xiàn)其他公司的數(shù)據(jù)泄露，請(qǐng)主動(dòng)通知他們，以便他們可以迅速通知客戶，重置密碼并執(zhí)行必要的補(bǔ)救措施。

通過(guò)協(xié)作，企業(yè)之間可以獲取更多的信息。

堅(jiān)持執(zhí)行以上五個(gè)步驟，組織可以有效打擊網(wǎng)絡(luò)犯罪，從惡意論壇上竊取的數(shù)據(jù)也無(wú)法再被利用。

身份識(shí)別不僅可以用于軍事，還可以服務(wù)金融行業(yè)、零售業(yè)、加密貨幣市場(chǎng)、社交媒體平臺(tái)、以及情報(bào)執(zhí)法部門(mén)。

對(duì)于執(zhí)法機(jī)構(gòu)，身份識(shí)別對(duì)于起訴和立案至關(guān)重要。

對(duì)于企業(yè)組織，身份識(shí)別有利于評(píng)估風(fēng)險(xiǎn)以便制定有效對(duì)策。

網(wǎng)絡(luò)犯罪分子利用連接世界各地的設(shè)備按鍵就可以入侵?jǐn)?shù)據(jù)庫(kù)并竊取大量敏感信息。

安全負(fù)責(zé)人需要了解的是每次攻擊背后總會(huì)有一個(gè)主要人物，因此利用身份識(shí)別進(jìn)行有效打擊而非反復(fù)地開(kāi)展防御性“貓鼠游戲”。