聊天服務:情報項目必備數據源
責編:gltian |2019-05-15 15:16:31深網和暗網論壇及市場長期以來都是非法活動的集中地,同時也是非法活動防御者寶貴的數據源。然而,非法活動者持續利用Telegram和Discord等加密聊天服務提供的即時性、安全性和保密性。此類平臺與DDW及一些開放網絡社區一起迅速崛起,作為網絡犯罪、欺詐甚至販毒等等眾多非法活動的籌劃、交易和媒體宣傳的場所。
很自然地,這些平臺也成為了威脅情報團隊的關鍵數據源。但由于加密聊天服務門類眾多,其去中心化且普遍存在的特質,及其各種不同的非法和合法利用方式,威脅情報團隊難以明確該如何獲取來自這些平臺的數據并有效融合到自身情報收集策略中。有幾個重要的因素需要考慮:
聊天服務本無惡意
此類平臺從來就沒有想要服務非法活動。絕大多數聊天平臺只是想要滿足部分人尋求隱私、安全和便利通信方式的需求。事實上,多數聊天服務用戶只將它們用于完全合法和無害的用途。
由于此類平臺近幾年的急速壯大——Telegram去年3月就有2億用戶,僅破譯和區分重大非法活動與正常良性活動就好像大海撈針一樣難了。防御者面臨的另一個復雜情況是,利用聊天服務從事非法活動的犯罪分子往往以邀請碼準入之類的私密方式行事,外人極難觸碰到這些渠道。
從聊天服務數據抽取價值始于情報需求
因此,向從這些平臺探求非法活動可見性的威脅情報團隊就很自然地轉向了能夠安全地識別和監視此類活動的第三方供應商。不過,這其中也存在一個普遍的陷阱:在設置情報需求(IR)或評估供應商是否能夠支持前就選定供應商。
需謹記,從小騙子到暴力極端分子都在利用各種聊天服務的無數聊天頻道,這些平臺容納的數據量可能大到超出想象。各家供應商的數據源覆蓋面可能迥然不同,所以,弄清情報需求就顯得務必重要了:IR可幫助更好地理解公司情報運營目標和供應商為滿足這些目標所需提供的數據類型。
舉個例子,如果公司IR主要放在信用卡欺詐上,就要準備好詢問供應商其聊天服務集覆蓋相關活動的程度。要了解的問題可以包括:
供應商可以訪問哪些聊天服務平臺的哪些頻道?
供應商在這些平臺上監視哪種信用卡相關活動,這些活動對公司IR而言是否重要?
供應商的團隊是否具備信用卡威脅態勢相關的足夠專業知識與經驗?
供應商的聊天服務數據對有著相似IR的客戶支持程度如何?
供應商的聊天服務集相對于公司IR存在哪些明顯缺陷?
考慮到供應商產品與聊天服務自身的多樣性,在決定成為聊天服務監視供應商的客戶前,必須深入全面地評估供應商的收集策略。
以其他源的數據補充聊天服務數據
雖然很多犯罪分子的行動重度依賴聊天服務,大部分行動也活躍于其他各種在線社區。比如說,某些網絡罪犯就常在深網和暗網市場上打廣告,然后再通過私密聊天頻道最終完成交易。此類行為也常見于其他組織。不僅幾乎沒有哪個犯罪分子會完全依賴某一個平臺或社區,而且很多犯罪組織常會將自身行動公平地重分配到不同平臺上,以期找到更好的私密頻道或逃避司法打擊。
因此,尋求全面的威脅態勢可見性的威脅情報團隊就需要確保收集策略覆蓋足夠的數據源寬度和深度了。聊天服務雖然能提供寶貴的洞見,也必須受到來自其他相關源的數據補充。否則,無論IR如何,威脅情報團隊都會面臨漏掉重要上下文、指標和錯過其他地方發生的相關活動的風險。
上一篇:神秘萬能間諜軟件藏身5年之久
下一篇:免費逆向工程工具Ghidra指南