网络犯罪分析

新型颠覆网络犯罪的方式 适应网络犯罪新现实的挑战 尽管增加了网络安全和欺诈预防的预算，并且广泛使用了威胁情报平台、安全监控工具、端点检测和响应（EDR）、钓鱼检测和反欺诈信号，但去年仍有90%的组织受到了勒索软件的影响。犯罪分子像野火一样传播恶意软件，身份欺诈持续上升，数据泄露水平接近历史最高记录——而且这只是我们能追踪到的。许多安全和欺诈专业人员认为，网络犯罪的规模远大于我们当前模型所考虑的，并且有可能破坏市场，甚至整个社会的稳定性。 面对网络犯罪的全新现实，弥合网络犯罪与网络安全之间差距的最好方法是通过访问犯罪者所拥有的相同信息——将这些信息提炼为仅供贵公司具体操作的最有用数据。 在网络犯罪极端增长情况下，需要采取一种新的方法。仅收集情报来了解广泛的威胁环境已不再足够。没有关于犯罪分子目前正在使用哪些数据来针对企业和其客户的相关、可操作的答案，安全和反欺诈团队将处于盲目境地。 企业必须选择一个能够从犯罪地下动态且持续地揭示这些洞察的合作伙伴，同时将速度和可操作性放在首位。唯一的答案是提供网络犯罪分析的合作伙伴。 本文定义了网络犯罪分析，并详细阐述了为什么这种方法正在取代传统的威胁情报，它如何与反欺诈技术相辅相成，以及其在具体案例和益处的应用。 迅速采取行动应对罪犯对你业务和客户的了解，现在是击败罪犯他们自己游戏唯一的途径。 什么是网络犯罪分析？ 网络犯罪分析 自动分析 驱动从网络犯罪数据采取行动 这是破坏网络犯罪周期最有利的方法，因为它基于对犯罪地下中用户暴露的深入了解，使行动更加迅速、更加自信。这需要不断聚合和关联数十亿个影响数百万在线身份的数据点，从而得出可以轻松应用于常见安全和反欺诈工具的浓缩见解，以推动补救措施。 网络犯罪分析只能通过一个可扩展的引擎来完成，该引擎收集、处理、丰富和分析网络犯罪的数据输出。这些“输出”包括第三方数据泄露中被盗的资产、恶意软件受害者日志以及其他在暗网上交易和销售的数据——这些数据从用户名、密码和会话cookie到敏感的个人身份信息（PII），如IP地址、物理地址、财务信息、护照数据、驾驶执照以及社会保障或国家身份证号码等。包含超过200种数据类型，涵盖了个人数字身份在数据泄露中泄露或从受感染的信息窃贼设备中提取的所有内容。规模巨大，因此需要链接来理解它，使其对需要它的团队有用。 但是，数据并非以对任何人（甚至罪犯）都立即有用的方式打包——一个数据泄露可能涉及100,000份文件。它分散在原始、非结构化的格式中，需要处理和时间才能变得有用，因此速度是等式中一个不可或缺的组成部分。这是一场比拼谁能够首先对数据进行操作的竞赛：企业或攻击者。 SpyCloud 在从暗网的深层（尽可能接近原始犯罪发生地）重新捕获这些网络犯罪元素时非常注重速度，同时在每个阶段增加价值。产生的洞察力是相关、关联且机器可读的——将不同的安全漏洞、恶意软件感染、受影响的应用程序和身份数据联系起来，为个人在整个在线身份中整合。 什么请提供需网络犯罪分析学揭示 并且结果可以制造出什么？ 在8次违规和1次恶意软件感染中，我们已将乔恩泄露的数据链接以确定： 采取措施应对网络犯罪数据分析 武装对约翰暴露的同识，安全运营和欺诈预防团队可以通过以下方式提高他们的决策： 将乔视为一个无意识的内部威胁，可能会使企业面临账户接管或其他更糟的情况——勒索软件。 乔恩雇主公司的SECOPS团队 伸出援手进行协调感染后修复关于Jon的恶意软件感染的个人设备，推荐使用防病毒解决方案，然后重置他的密码，并使恶意软件已泄露其凭证和cookie的活跃会话失效。 要求他重置所有工作账户中暴露的密码。 将他账户锁定直至其重置密码，因为他在用的详细认证信息落入罪犯之手。 可选地，联系Jon解释所需的额外步骤，并提供建议在线上更好地保护自己的教育资源。 乔恩在线银行的网络安全预防团队 清除Jon最近登录的所有设备上的活跃网络会话。 将他的信用申请通过人工审核进行额外验证。 在地址变更、备份电子邮件更改或订购支票等修改进行时，将账户标记为需额外审查。 清除Jon最近登录的所有设备上的活跃网络会话，并要求Jon重新登录。 需要在他登录现有账户时要求使用多因素认证。 删除存储的付款信息；如果罪犯使用被盗凭证登录其账户，他们将面临进行欺诈购买的障碍。 欺诈预防团队在电子商务商家Jon处采购 手动审核大型采购以进行额外验证。 将他账户锁定直至其重置密码，因为他在用的详细认证信息落入罪犯之手。 玛丽遇见 跨过4个缺口，我们已经将玛丽泄露的数据联系起来确定： 她有两个独特的电子邮件地址。她只有一个明文密码被暴露（不包括在任何组合列表中，这可能会使她的账户面临凭证填充的风险）。她有一些敏感的个人信息被暴露，包括物理地址和电话号码。我们最后一次摄入关于她的数据是在366天前。 采取措施应对网络犯罪数据分析 凭借对玛丽暴露情况的相同洞察，安全运营和欺诈预防团队可以通过以下方式提升其决策能力： 将玛丽视为一个低风险员工，她需要接受标准的安全检查和密码策略——只有在未来出现泄露的情况下才需要干预。 玛丽雇主公司的SECOPS团队 花费他们的时间来修复其他员工引入的风险。 确保Marie符合标准的在线安全要求，包括强密码和多因素认证。 玛丽在线银行的网络犯罪预防团队 确保Marie符合在线安全标准，包括强密码和多因素认证。在出现可疑或异常行为时进行干预。花费他们的时间修复其他消费者引入的风险。 玛丽电商商家的欺诈预防团队正在采购自 网络犯罪分析提供可操作见解比之前更进一步保护企业和其用户的措施永恒的之前从未可能实现。 使用恶意软件感染的设备的人。将他们的网站互动分段全球计算机零售商已使用的SPYCLOUD的网络犯罪分析低风险用户（82%），中高风险用户（14%），及高风险用户（4%）， 这一深度增强的环境使得网络欺诈预防和调查团队能够将有限的资源集中在风险最高的用户上，并将交易后调查时间减少了30%。 超出威胁情报：从原始数据到有意义的行动 随着远程工作的转向，在线交易数量的增加，以及在后疫情世界中每个人管理着更多账户，犯罪活动急剧增加。网络犯罪的爆炸性增长导致黑暗网络如此庞大——并且其中包含着世界上大量信息——以至于它以某种方式影响着每个企业。 许多网络安全团队转向传统解决方案，如威胁情报，以解决这个问题。然而： 依赖于传统解决方案使得无法快速反应以阻止网络攻击。安全团队需要的不仅仅是有关暗网活动的广泛背景的新闻资讯。简单来说，他们需要与组织相关的被盗数据的确凿证据，以便他们可以使其无效——从而使这些数据变得毫无价值。 提高具有更多背景信息的欺诈预防有效性 关于欺诈预防解决方案，大多数方案完全忽略了关于用户风险的重要背景信息。消费者数字旅程的每一步——从新账户设置到登录、修改和支付——都需要关于用户风险的信号，包括身份验证、账户历史、设备和位置数据以及行为模式。但是，通过来自犯罪地下世界的信号，欺诈决策可以大大提高。如今这类数据中很大一部分都是嘈杂的，因此关键在于整合预先计算且易于决策引擎处理的简单分析工具，并围绕其构建规则。 随着欺诈预防团队开始采纳一种安全思维模式，他们可以迈出的最大一步之一就是利用关于消费者在数据泄露和恶意软件感染中的暴露知识，做出明智的决定，判断交互是安全的还是有嫌疑的——从而在用户与应用程序交互时，有更高的信心认为他们是合法的，而不是使用被盗数据犯罪的罪犯。 利用网络犯罪分析，这些团队可以在不泄露密码或敏感的个人信息（PII）的情况下，根据消费者账户接管、合成身份和与恶意软件相关的欺诈风险做出决策。相反，分析可以揭示关键风险指标，包括在数据泄露或恶意软件感染中暴露的近期性、密码重用普遍性，以及个人信息和财务信息的暴露，包括信用卡号码，这些信息可以立即被用于未经授权的信用卡购买。仅此元数据（本质上是不包含敏感细节的答案）就足够了。而且，它是无缝的，不会给低风险消费者带来额外的摩擦。 如何SpyCloud独特地启用网络犯罪分析？ SpyCloud能够使用我们专有的网络安全分析引擎进行高级分析。该引擎旨在在巨大规模上使原始数据真正具有可操作性。它从深层网络的所有层级中重新捕获数据，对其进行整理、丰富和分析，以驱动我们自动化保护企业产品的开发。每月增加12B+资产到我们的数据库中，并识别和淘汰可能导致警报疲劳的错误数据。其重点是只向客户提供最相关和可操作的信息。 该过程从暗网的深层开始数据收集，由一个富有成果的安全研究团队在直接从恶意行为者处进行社会工程化后进行。这些数据以杂乱无序、非结构化的数据格式获得，这些数据来自各种损坏的数据库和数据结构，通常是二进制或混合格式——每次涉及成千上万的文件。下一步是确定这些原始数据是什么，以及对其进行解析和整理，以便将其纳入我们的数据集。 在过去6年以上的时间里，我们在密码破解和分析上进行了大量投资，导致我们产品中提供了90%的明文密码。对于明文密码及其他数百种因素的访问能力使我们能够对个体身份执行分析和构建关系链，产出可供使用的洞察以帮助企业防御网络攻击。 关注恶意软件分析：识别风险最高的员工和消费者 犯罪分子开始强调具有信息窃取组件的恶意软件，作为窃取有效、正在使用的认证数据和个人信息（PII）的手段，以实现最具破坏性的攻击。对于犯罪分子来说，信息窃取工具相对便宜，价格低至200-300美元，并且易于部署。许多信息窃取工具不仅被设计为避免反恶意软件解决方案的检测，而且不会留下任何感染痕迹。这种“可溶解的恶意软件”意味着安全团队可能对感染发生一无所知，无法采取适当的修复措施。 信息窃取者对网络犯罪分子特别有吸引力，并提高了他们的投资回报率，这主要是由于它们的成功率和有效性。由于新鲜，窃取的凭证是准确且有效的，而窃取的会话cookie和令牌则允许威胁行为者绕过多因素身份验证（MFA），从而无需任何摩擦地假定用户身份——有时甚至在初始感染发生很久之后——这使得窃取的数据危害更大，因为它可能导致其他攻击，如勒索软件。 信息窃取工具的流行（以及它们窃取的数据可能造成的损害）需要网络安全防范方案融入相同的数据。 以下，您将见到Chris。他是Sparefactor的承包商，Sparefactor是一家全球金融机构。他在开始合作时获得了一台公司设备，但在最近一次回家探亲的旅行中，他使用了阿姨家的电脑登录他的工作场所的SSO，然后从那里访问了公司维基、聊天程序和工作邮箱。 什么使得网络犯罪分析方法如此有价值的是它能够将用户在企业和个人设备上遭受恶意软件感染的风险暴露关联起来。SpyCloud唯一提供的链接可靠地将用户在个人生活中的身份与他们在工作中的身份联系起来，使企业能够根据个体完整的身份做出决策，无论是否访问他们的私人详细信息。 1 8 2最近一次暴露前几天克里斯会面 如何SpyCloud帮助 SpyCloud的研究人员通过社会工程学手段，在感染后2-3天内从一名恶意行为者那里获取了包含Chris身份验证详情的恶意软件受害者日志——目标URL、凭据和会话Cookie（以及其他数据）。SpyCloud的网络安全分析引擎处理、解析和分析这些数据，识别出Chris从他单点登录实例中的凭据和会话Cookie，以及另外三个暴露的工作力应用，以及他的第三方数据泄露和组合名单中的其他暴露，以全面了解他的风险。 虽然克里斯已成为寻求进入Sparefactor的初始访问经纪人目标，SpyCloud已经为作为SpyCloud客户的Sparefactor配备了克里斯的数据，以便他们能够进行适当的补救。感染后修复步骤包括： 211优先处理他单点登录账户的修复，这将可能开启大门到应用平均而言，对于大型组织。重置其账户的受损害凭据。无效化他在所有设备上的活跃会话。检查应用程序日志以确认活动来自预期的IP地址范围和地理区域。 结果是针对攻击（包括勒索软件）的即时风险降低。 能够绘制包括感染的非企业发