深网和暗网论坛及市场长期以来都是非法活动的集中地,同时也是非法活动防御者宝贵的数据源。然而,非法活动者持续利用Telegram和Discord等加密聊天服务提供的即时性、安全性和保密性。此类平台与DDW及一些开放网络社区一起迅速崛起,作为网络犯罪、欺诈甚至贩毒等等众多非法活动的筹划、交易和媒体宣传的场所。
很自然地,这些平台也成为了威胁情报团队的关键数据源。但由于加密聊天服务门类众多,其去中心化且普遍存在的特质,及其各种不同的非法和合法利用方式,威胁情报团队难以明确该如何获取来自这些平台的数据并有效融合到自身情报收集策略中。有几个重要的因素需要考虑:
聊天服务本无恶意
此类平台从来就没有想要服务非法活动。绝大多数聊天平台只是想要满足部分人寻求隐私、安全和便利通信方式的需求。事实上,多数聊天服务用户只将它们用于完全合法和无害的用途。
由于此类平台近几年的急速壮大——Telegram去年3月就有2亿用户,仅破译和区分重大非法活动与正常良性活动就好像大海捞针一样难了。防御者面临的另一个复杂情况是,利用聊天服务从事非法活动的犯罪分子往往以邀请码准入之类的私密方式行事,外人极难触碰到这些渠道。
从聊天服务数据抽取价值始于情报需求
因此,向从这些平台探求非法活动可见性的威胁情报团队就很自然地转向了能够安全地识别和监视此类活动的第三方供应商。不过,这其中也存在一个普遍的陷阱:在设置情报需求(IR)或评估供应商是否能够支持前就选定供应商。
需谨记,从小骗子到暴力极端分子都在利用各种聊天服务的无数聊天频道,这些平台容纳的数据量可能大到超出想象。各家供应商的数据源覆盖面可能迥然不同,所以,弄清情报需求就显得务必重要了:IR可帮助更好地理解公司情报运营目标和供应商为满足这些目标所需提供的数据类型。
举个例子,如果公司IR主要放在信用卡欺诈上,就要准备好询问供应商其聊天服务集覆盖相关活动的程度。要了解的问题可以包括:
供应商可以访问哪些聊天服务平台的哪些频道?
供应商在这些平台上监视哪种信用卡相关活动,这些活动对公司IR而言是否重要?
供应商的团队是否具备信用卡威胁态势相关的足够专业知识与经验?
供应商的聊天服务数据对有着相似IR的客户支持程度如何?
供应商的聊天服务集相对于公司IR存在哪些明显缺陷?
考虑到供应商产品与聊天服务自身的多样性,在决定成为聊天服务监视供应商的客户前,必须深入全面地评估供应商的收集策略。
以其他源的数据补充聊天服务数据
虽然很多犯罪分子的行动重度依赖聊天服务,大部分行动也活跃于其他各种在线社区。比如说,某些网络罪犯就常在深网和暗网市场上打广告,然后再通过私密聊天频道最终完成交易。此类行为也常见于其他组织。不仅几乎没有哪个犯罪分子会完全依赖某一个平台或社区,而且很多犯罪组织常会将自身行动公平地重分配到不同平台上,以期找到更好的私密频道或逃避司法打击。
因此,寻求全面的威胁态势可见性的威胁情报团队就需要确保收集策略覆盖足够的数据源宽度和深度了。聊天服务虽然能提供宝贵的洞见,也必须受到来自其他相关源的数据补充。否则,无论IR如何,威胁情报团队都会面临漏掉重要上下文、指标和错过其他地方发生的相关活动的风险。
上一篇:神秘万能间谍软件藏身5年之久
下一篇:免费逆向工程工具Ghidra指南