新手段：身份识别揭露网络犯罪

随着世界的逐渐数字化，有组织犯罪变得越来越复杂。犯罪分子使用更先进的技术和更复杂的网络结构模型在世界各地移动，严重影响世界各地的公司、企业和消费者。

因此，为了防止未来的网络攻击，拥有第一次机会非常重要。越早采取行动，就越能减少个人财产损失，加强个人信息保护。然而，了解自己和敌人是赢得每场战斗的唯一方法。首先，必须知道谁是对手，以及网络攻击者的身份。

在过去，有组织犯罪集团使用“脚踏实地”的方法进行攻击，这需要在组织内部和现场进行更多的协调。今天，这种方法不利于规模更小、更灵活和结构松散的犯罪集团，这些集团利用先进技术增强其犯罪能力，而不进入受害者的国家。

网络犯罪分子可以侵入公司数据库，窃取大量敏感信息，无论他们身在何处。因此，网络犯罪技术和组织的复杂性催生了一种打击犯罪的现代方法，即将身份识别技术应用于网络防御和打击犯罪。

早在2007年，提交人作为美国空军情报分析员被派往伊拉克，并被分配到联合特别行动指挥部(JSOC)工作组，通过袭击和占领基地组织高级领导人来破坏恐怖活动。作者试图揭露敌人领导人、武器走私者和投资者的身份。为此，作者采用了许多复杂的方法，包括SIGINT、HUMINT和最新的无人机。

该队成功削弱了敌人的实力，这在很大程度上归功于对手的准确情报和积极识别。在交战规则中，常规防御是指合理识别敌方阵营成员或紧急威胁。无人驾驶飞行器、空中摄像机和地面情报网络都在一起寻找并完成PID。

作者认为上述经历类似于揭露网络罪犯。虽然商业组织的情报部门可能没有像总部工作组那样先进的调查工具，但越来越多的私人情报小组正在逐步采用一种更具战术性的方法，即以身份为导向的情报收集。虽然攻击者越来越擅长混淆他们的身份和攻击媒体，但身份情报和身份分析专家一直站在制定有效对策和主动防御的最前沿。

过去，身份的不确定性大大减少了对网络罪犯的打击。然而，罪犯也是人，分析师可以从他们的个人经历开始。许多网络罪犯的个人数据泄露会在社交网络、隐藏网络等上留下痕迹，从而暴露他们的身份。

尽管犯罪分子的个人数据在地下社区转瞬即逝，但一些组织已经从公开来源收集了泄露的信息，以促进网络犯罪调查。新的功能和工具利用泄露的数据、开源智能(OSINT)、专有信息和其他数据源，这不仅使识别成为可能，而且使识别可靠，可以及时、高效、有效地进行验证。

根据作者在安全操作中心(SOC)工作的个人经验，一方面，许多(也许不是大多数)安全操作人员和传统的威胁情报分析师只会根据预先确定的步骤修复漏洞，即检测、响应、补救和重复周期。另一方面，SOC很有用，因为它将许多工具的安全警报集成并关联到一个系统中。然而，每天不断涌入的新工具和威胁源往往会导致异常安全警报的激增。

防范泄漏迹象、标记可疑锚节点以及从收件箱中删除钓鱼电子邮件等措施虽然耗时，但却是必要的。解决安全事故可能需要几个小时甚至几天的时间。识别可能带来安全风险的活动，并确保以正确的方式对其进行分析、防御、调查和报告——，但这些仍然无法确定攻击者的身份。

然而，当泄露的消息今天公布时，每个人都会想到的第一个问题是:“是谁干的？”利用泄露的数据，提取有效的信息，采取积极的防御措施，识别

如前所述，网络罪犯经常试图掩盖自己的身份，但汤普森选择在社交媒体上吹嘘自己的犯罪行为来吸引注意力，想必他不是一个“好罪犯”。然而，大多数网络罪犯的行为不像汤普森，所以了解敌人和他的工具是非常重要的。

从识别网络犯罪分子的角度出发，本文建议可以采取以下五个步骤来确定打击网络犯罪和防止网络攻击的对策:

及时更新数据:重置员工和客户账户的密码，防止数据获取，这有利于降低黑市上被盗数据的价值，使数据买家对卖家失去信心。黑暗的网络经济在很大程度上依赖于信任。快速行动:当发现数据泄露时，越早采取紧急措施，混乱和财产损失就越少。关键是要控制泄露的数据何时被披露。该报告已公布:可疑活动报告及时提交，执法部门得到通知。致电DHS国家网络安全和通信集成中心(NCCIC)或当地联邦调查局网络部门。如果身份能被准确识别，执法部门就能帮助起诉罪犯，瓦解他们的犯罪活动，甚至揭露他们的全部犯罪活动。确定威胁的来源:分析攻击发生的时间和地点。修复漏洞，确保审查合作伙伴和供应商的安全状况，因为它们也可能是攻击的途径。协作:鉴于网络的互连，协作已经成为一种重要的防御工具。如果您发现其他公司的数据泄露，请主动通知他们，以便他们能够迅速通知客户，重置密码并实施必要的补救措施。通过合作，企业可以获得更多的信息。

坚持执行上述五个步骤，组织可以有效打击网络犯罪，从恶意论坛窃取的数据不能再使用。身份识别不仅可以用于军事，还可以用于金融业、零售业、加密货币市场、社交媒体平台和情报执法部门。对于执法机构来说，身份识别对于起诉和备案至关重要。对于企业组织来说，识别有助于评估风险，从而制定有效的对策。

网络罪犯可以通过使用连接到世界不同地方的设备按钮入侵数据库并窃取大量敏感信息。负责安全的人需要知道每次攻击背后总会有一个关键人物。因此，身份识别被用来进行有效的攻击，而不是反复进行防御性的“如果可以的话抓住我”。