對很多公司而言,「Threat Intelligence」只是特定的indicators of compromise數據和資料工具,但事實上,threat intelligence包含參與者更深入的瞭解,包括追蹤他們在網絡上的活動,有時候這些資訊讓你知道犯罪的方法和策略,也能預防網絡罪行,以下就是拉丁美洲一家中央銀行的故事。
銀行網絡遭入侵
當卡巴斯基的專家正在研究網絡犯罪份子的活動時,發現其中一個組織能夠存取銀行的網絡,調查員立即通知受害者、聯絡國際刑警並展開聯合調查工作,結果他們成功消除公司基建內的安全漏洞,預防實際的金錢損失,很不幸,專家們不能分享事件的詳細資訊和描述攻擊者如何滲透銀行的網絡。
專家如何偵測入侵者活動
並非所有網絡犯罪份子都涉及整個攻擊周期,有些組織專門取得存取公司基建,一旦成功滲透網絡,他們便會把存取出售矛暗網或黑客討論區上能夠組織攻擊的買家,也有一些稱為Access Brokers的人購買存取然後向其他網絡犯罪份子轉售。
當研究其他完全不同的犯罪份子活動時,卡巴斯基的研究人員發現有人正尋求合作伙伴去攻擊銀行,目標是進行某種網上詐騙,他們分享了資料去證明能夠存取銀行的基建,這有助專家門辨別事件中的受害者,預防真正的罪行。
Threat intelligence如何協助該公司?
在這個案中,卡巴斯基的專家並非尋找攻擊特定銀行的跡象,該銀行也並非公司的客戶,然而卡巴斯基的Threat Intelligence中包括了Digital Footprint Intelligence服務,能為公司製作一個「digital portrait」,然後通過dark web和deep web的開源追蹤危險徵狀,有時候這讓你能預防一些嚴重的網絡事故。
此外,為了保護精密的攻擊,我們建議使用類似Managed Detection and Response的服務,它容許你的網絡保安團隊獲得外部專家的協助,及早偵測和阻止複雜的攻擊。
資料來源:Kaspersky Blog