Khi một cuộc tấn công mạng xảy ra, những tin tặc có đạo đức được gọi là thám tử kỹ thuật số. Ở một khía cạnh nào đó, họ giống như những thám tử cảnh sát thông thường trên TV. Họ phải lục soát các hệ thống máy tính để tìm cách kẻ xâm nhập có thể xâm nhập - có lẽ là một cánh cửa kỹ thuật số hoặc cửa sổ không khóa. Họ tìm kiếm bằng chứng cho thấy kẻ tấn công không thể xâm nhập, giống như một dấu chân điện tử trong bụi bẩn. Và họ cố gắng xác định những gì có thể đã được sao chép hoặc lấy đi.
Việc hiểu rõ quá trình này trở nên quan trọng hơn đối với công chúng dựa trên các sự kiện gần đây trên tin tức. Vào tháng 10/2016, Mỹ chính thức cho biết Nga đang cố gắng làm xấu mặt các nhân vật chính trị được kính trọng và can thiệp vào quá trình bầu cử Tổng thống Mỹ . Cụ thể, chính quyền Obama đã chính thức đổ lỗi cho Nga vì đã xâm nhập vào hệ thống máy tính của Ủy ban Quốc gia đảng Dân chủ. Tuyên bố dựa trên khả năng điều tra của các tin tặc có đạo đức người Mỹ làm việc cho cả các công ty tư nhân và các cơ quan chính phủ.
Nhưng làm thế nào để mọi người theo dõi tin tặc, tìm ra những gì họ đã làm và họ là ai? Có liên quan gì, và ai thực hiện loại công việc này? Câu trả lời là những hacker có đạo đức như tôi đào sâu vào các hệ thống kỹ thuật số, kiểm tra các tệp ghi nhật ký hoạt động của người dùng và giải mã phần mềm độc hại. Chúng tôi thường hợp tác với các chuyên gia tình báo, pháp lý và kinh doanh, những người mang chuyên môn bên ngoài để bổ sung bối cảnh cho những gì chúng tôi có thể tìm thấy trong hồ sơ điện tử.
Phát hiện xâm nhập
Thông thường, một cuộc điều tra bắt đầu khi ai đó, hoặc thứ gì đó, phát hiện ra sự xâm nhập trái phép. Hầu hết các quản trị viên mạng đều thiết lập hệ thống phát hiện xâm nhập để giúp họ theo dõi mọi thứ. Giống như một hệ thống báo động trong một ngôi nhà, phần mềm phát hiện xâm nhập theo dõi các khu vực cụ thể của mạng, chẳng hạn như nơi nó kết nối với các mạng khác hoặc nơi dữ liệu nhạy cảm được lưu trữ.
Tham gia cùng 160.000 người đăng ký nhận tin tức dựa trên bằng chứng miễn phí.
Khi phát hiện hoạt động bất thường, như người dùng trái phép hoặc lưu lượng dữ liệu đến một máy chủ bên ngoài trang web cụ thể cao đáng ngạc nhiên, hệ thống phát hiện xâm nhập sẽ cảnh báo cho quản trị viên mạng. Họ đóng vai trò là những người phản ứng đầu tiên về an ninh mạng - như nhân viên cứu hỏa kỹ thuật số, sĩ quan cảnh sát và nhân viên y tế. Họ phản ứng với cảnh báo và cố gắng tìm ra điều gì đã xảy ra để kích hoạt nó.
Điều này có thể bao gồm một loạt các cuộc tấn công , từ các cuộc tấn công ngẫu nhiên, không có cấu trúc của các cá nhân và nhóm nhỏ đến các cuộc tấn công được tổ chức tốt và nhắm mục tiêu chính xác từ các tin tặc được các cơ quan chính phủ hậu thuẫn. Bất kỳ ai trong số họ đều có thể đặt báo động xâm nhập theo nhiều cách khác nhau.
Phản hồi ngay lập tức
Nhiều lần, các cuộc điều tra ban đầu tập trung vào việc thu thập, tổ chức và phân tích một lượng lớn dữ liệu mạng. Thiết bị mạng máy tính và máy chủ lưu giữ hồ sơ về ai kết nối, kết nối đến từ đâu và người dùng làm gì trên hệ thống.
Tùy thuộc vào những gì mà phân tích cho thấy, quản trị viên có thể khắc phục sự cố ngay lập tức, chẳng hạn như bằng cách ngăn một người dùng cụ thể đăng nhập hoặc chặn tất cả lưu lượng mạng đến từ một nơi cụ thể . Nhưng một vấn đề phức tạp hơn có thể yêu cầu gọi một nhóm ứng phó sự cố phức tạp .
Tốt nhất, mỗi công ty hoặc tổ chức nên có nhóm nội bộ của riêng mình hoặc tiếp cận nhanh chóng với nhóm từ bên ngoài. Hầu hết các quốc gia, bao gồm cả Hoa Kỳ, có đội phản ứng quốc gia của riêng họ , thường là nhân viên chính phủ được bổ sung bởi các nhà thầu tư nhân có chuyên môn cụ thể. Các đội này là những nhóm tin tặc có đạo đức, được đào tạo để điều tra các cuộc xâm nhập sâu hơn hoặc khó khăn hơn. Ngoài bất kỳ kỹ năng tự học nào, những người này thường có thêm kinh nghiệm từ quân đội và giáo dục đại học. Chuyên môn quan trọng nhất của họ là trong lĩnh vực được gọi là “học ngay trong thời gian ” hoặc tìm ra cách áp dụng các kỹ năng của họ vào các tình huống mới một cách nhanh chóng.
Họ tiến hành các cuộc điều tra pháp y kỹ thuật số quy mô lớn hơn và phân tích phần mềm độc hại có thể đã được đưa vào trong cuộc tấn công. Thông thường, các nhóm này làm việc để ngăn chặn cuộc tấn công và ngăn chặn các cuộc tấn công kiểu đó trong tương lai. Đôi khi, các đội có thể săn lùng những kẻ tấn công.
Ghi nhận một cuộc tấn công
Việc xác định danh tính hoặc vị trí của kẻ tấn công mạng là vô cùng khó khăn vì không có bằng chứng vật lý để thu thập hoặc quan sát . Các tin tặc tinh vi có thể che giấu các dấu vết kỹ thuật số của họ. Mặc dù có nhiều kỹ thuật phân bổ khác nhau , nhưng cách tiếp cận tốt nhất là tận dụng nhiều hơn một kỹ thuật phân bổ . Các kỹ thuật này thường bao gồm việc xem xét rất kỹ bất kỳ tệp hoặc dữ liệu nào bị kẻ tấn công để lại hoặc bị đánh cắp và phát hành như một phần của cuộc xâm nhập.
Nhóm phản hồi có thể phân tích ngữ pháp được sử dụng trong các nhận xét thường được nhúng trong mã phần mềm, khi các lập trình viên để lại ghi chú cho nhau hoặc cho các nhà phát triển trong tương lai. Họ có thể kiểm tra siêu dữ liệu của tệp để xem liệu văn bản đã được dịch từ ngôn ngữ này sang ngôn ngữ khác hay chưa.
Ví dụ, trong vụ hack DNC , các chuyên gia mạng của Mỹ có thể xem xét các tệp cụ thể được công bố trên Wikileaks. Siêu dữ liệu của các tệp đó chỉ ra rằng một số tệp chứa văn bản được chuyển đổi từ các ký tự Cyrillic của bảng chữ cái tiếng Nga sang các ký tự Latinh của tiếng Anh.
Các nhà điều tra thậm chí có thể xác định các tham chiếu văn hóa xã hội cụ thể có thể cung cấp manh mối về kẻ đã tiến hành cuộc tấn công. Người hoặc nhóm đã nhận trách nhiệm về vụ hack DNC - sử dụng tên Guccifer 2.0 - tự nhận là người Romania . Nhưng anh ấy đã gặp khó khăn khi nói tiếng Romania trôi chảy, cho thấy anh ấy thực sự không phải là người bản xứ . Ngoài ra, Guccifer 2.0 đã sử dụng một biểu tượng hình mặt cười khác với người Mỹ. Thay vì gõ “:)” Guccifer 2.0 chỉ gõ “)” - bỏ dấu hai chấm, ngụ ý rằng anh ta là người Đông Âu.
Các nhà điều tra mạng có kinh nghiệm xây dựng lợi thế bằng cách theo dõi nhiều mối đe dọa đáng kể theo thời gian. Cũng giống như các “vụ án lạnh” trong công việc của cảnh sát thông thường, việc so sánh vụ tấn công mới nhất với những vụ trước đó đôi khi có thể tiết lộ các liên kết, thêm các mảnh ghép vào câu đố.
Điều này đặc biệt đúng khi đối phó với những gì được gọi là “ các mối đe dọa dai dẳng nâng cao ”. Đây là những cuộc tấn công diễn ra dần dần, với các chiến thuật rất tinh vi, diễn ra trong thời gian dài. Những kẻ tấn công thường thiết kế những cuộc xâm nhập này để khai thác những điểm yếu cụ thể trong hệ thống máy tính của mục tiêu . Tùy chỉnh đó có thể tiết lộ các manh mối, chẳng hạn như phong cách lập trình - hoặc thậm chí lựa chọn ngôn ngữ lập trình - kết hợp với thông tin khác để đề xuất ai có thể chịu trách nhiệm.
Các cộng đồng mạng vệ có lợi thế khác : Trong khi những kẻ tấn công thường làm việc một mình hoặc theo nhóm nhỏ và trong bí mật, tin tặc đạo đức làm việc cùng nhau trên toàn thế giới. Khi manh mối xuất hiện trong một cuộc điều tra, tin tặc thường chia sẻ thông tin đó - công khai trên blog hoặc trên một bài báo học thuật, hoặc chỉ trực tiếp với các nhà điều tra đã biết và đáng tin cậy khác. Bằng cách này, chúng tôi xây dựng một cơ sở bằng chứng và nhiều lớp kinh nghiệm để rút ra kết luận.
Thông thường, một báo cáo từ cuộc điều tra tấn công sẽ đưa ra manh mối hoặc gợi ý, có thể kẻ tấn công là người Nga hoặc đang sử dụng bàn phím có các ký tự tiếng Hàn . Chỉ khi kết luận rõ ràng và không thể bác bỏ, các nhà điều tra mới buộc tội trực tiếp những kẻ tấn công cụ thể . Tuy nhiên, khi họ làm vậy, họ thường chia sẻ tất cả thông tin họ có. Điều đó củng cố độ tin cậy cho các kết luận của họ, giúp những người khác xác định điểm yếu hoặc thất bại của logic - và nó chia sẻ tất cả kiến thức đó với phần còn lại của cộng đồng, làm cho cuộc điều tra tiếp theo trở nên dễ dàng hơn nhiều.
Những tin tặc lành nghề nhất có thể viết mã tự xóa, giả mạo địa chỉ web của họ, định tuyến các cuộc tấn công qua thiết bị của những nạn nhân vô tội và khiến họ có vẻ như đang ở nhiều quốc gia cùng một lúc. Điều này làm cho việc bắt giữ chúng rất khó khăn. Trong một số cuộc tấn công, chúng tôi có thể xác định được thủ phạm, như đã xảy ra với hacker email nổi tiếng Guccifer 1.0 , người đã bị bắt và bỏ tù .
Nhưng khi cuộc tấn công tiên tiến hơn, được phối hợp trên nhiều nền tảng phương tiện truyền thông và tận dụng kỹ thuật xã hội khéo léo trong nhiều năm, đó có thể là một nỗ lực do chính phủ tài trợ, khiến việc bắt giữ khó xảy ra. Đó là những gì đã xảy ra khi Nga hack cuộc bầu cử tổng thống Mỹ. Tất nhiên, các biện pháp trừng phạt ngoại giao là một lựa chọn . Nhưng đường chỉ tay giữa các siêu cường thế giới luôn là một trò chơi nguy hiểm.
02838442008
