現在，網絡罪犯利用技術的擴散,擴大他們與更復雜的網絡結構模型,達到有效的全球化業務在網絡空間,最終讓網絡罪犯破壞公司和消費者。

在過去，傳統的等級結構和現場活動這種有組織的犯罪集團。現在逐漸被小型、靈活、結構更松散的犯罪團伙所取代，這些團伙利用先進技術擴大自己的能力，而不必踏足受影響的國家。

打擊犯罪的現代方法必須反映出我們的網絡犯罪對手在技術和組織上的復雜性，因此，安全分析人士開始改變他們對身份歸屬的看法。

早在2007年，筆者（Amyn Gilani）在揭露敵軍領導層、武器走私者和金融家的身份時，使用了大量復雜的資源，包括信號情報(SIGINT)、人類情報(HUMINT)和最先進的無人機。

很大程度上要歸功于準確的情報和對敵人的積極識別(PID)。在規則中，PID意味著一個敵對方已經被合理地確定為目標群體的一員，或者確定的迫在眉睫的威脅。

無人機、天空攝像機和地面上的許多眼睛和耳朵一起工作，尋找并完成敵人識別。同樣的思路也適用于揭露網絡罪犯。

雖然商業組織的情報單位可能無法獲得與特別工作組所支配的相同的復雜資源，但越來越多的私營情報團隊正在慢慢地向一種更戰術的方法轉變，使情報更加以身份為導向。

盡管威脅行動者越來越善于混淆自己的身份和攻擊載體，但身份情報和歸因分析專家在制定有效的對策和主動防御方面處于前沿。

在歸屬上的不確定性和似是而非的推諉歷來都對網絡罪犯有利，但壞人也是人，他們的個人經歷為情報專家提供了機會。

許多網絡罪犯留下他們自己的歷史痕跡，通過數據泄露或泄露，跨越表面、社會、深層和黑暗的網絡，最終導致安全部隊找到他們的身份。

雖然這些數據在地下社區是暫時的，但一些組織已經從公開來源收集了被破壞和泄露的信息，以推動網絡犯罪調查。

新的功能和工具利用被破壞的數據、開源情報(OSINT)、專有信息和其他數據源，使身份歸屬不僅成為可能，而且是可靠的，能夠及時、高效和有效地進行驗證。

阻止妥協的指示、標記可疑信標、從員工的收件箱中刪除釣魚郵件等艱巨的任務是必要的，但嚴格來說，它們是被動的、耗時的。

減輕一次安全事故可能需要數小時，甚至數天;識別可能表明安全風險的活動并確保它們得到正確處理(分析、辯護、調查和報告)，最終結果不太可能有效地確定攻擊者的身份。

7月下旬披露的Capital One黑客入侵事件之所以引人注目，不僅因為美國和加拿大的客戶賬戶被侵入了1億多個，更有趣的是，在事件發生后，佩吉·湯普森直接在自己的社交媒體上展示了自己的犯罪過程。

湯普森并沒有試圖掩蓋自己的身份，隨后她在FBI的幫助下被確認并逮捕。然而，現實生活中大多數網絡罪犯并沒有像湯普森那樣把自己直接暴露——所有，了解敵人和他們的工具是至關重要的。

通過揭露攻擊你的組織的網絡罪犯的身份，你可以采取以下五步法確定的各種行動來瓦解對手，防止未來的攻擊:

1. 廢棄數據

重新設置員工和客戶賬戶的密碼，以防止被破解，這是變相降低黑市上被竊取的數據的價值，使數據的買家和交易員對賣家失去信心。黑暗網絡經濟驚人地依賴于信任。

2. 迅速采取行動

對發現的受損數據采取行動越快越好。這將為您的組織帶來更少的中斷和財務損失。當您的組織的數據被公開時，每一分鐘都很重要。獲取可操作情報的時間是關鍵。

3.報告

迅速歸檔可疑活動報告并通知執法部門，如果你對你的歸因調查有高度的信心，執法部門可以幫助起訴這個人并擾亂他們的活動，可能還會揭露和起訴他們的整個欺詐團伙。

4. 識別威脅載體

分析何時何地。數據是在什么時候泄露的?是因為一個有風險的商人嗎?它是云中管理/配置很差的數據庫嗎?這是你們供應鏈中的薄弱環節嗎?修補薄弱的漏洞，并確保審查您的合作伙伴和供應商的安全姿勢，因為它們也可能代表可能的攻擊途徑。

5. 協作

鑒于我們的網絡具有相互聯系的性質，協作已成為守法組織武器庫中的一個重要工具。如果您遇到來自另一家公司的泄漏或暴露的數據，要積極主動地通知他們，以便他們能夠快速通知客戶、重置密碼并執行必要的補救。

合作將使組織更多地了解敵對網絡以及這個團體或個人如何運作。至于反網絡釣魚，請加入反網絡釣魚工作小組(APWG)。對于身份歸因支持，投資一個可靠的身份情報監控服務。

通過堅持執行這五個要素，一個組織可以有效地破壞網絡犯罪活動，以至于當被竊取的數據出現在邪惡的論壇上時，犯罪分子已經知道他們無法利用這些數據。你偷來的信息不會賣出去，因為你的數據一旦進入黑市就會貶值。

只要在世界各地的聯網設備上敲擊幾下鍵盤，網絡罪犯就能侵入數據庫，竊取大量敏感信息。安全行動的領導者需要明白，攻擊背后總有一個真實的人，因此，轉移目標，抓住罪犯和他們的同伙，而不是重復玩防御打地鼠的游戲，將是向前推進的關鍵。

編輯：hfy