直擊RSAC 2022:看威脅情報如何反網路詐騙
在2022年的RSA大會“如何利用威脅情報打擊網路犯罪和網路詐騙”議題中,兩位演講者介紹瞭如何利用威脅情報相關知識應對日益猖獗的網路犯罪,尤其是以獲取經濟利益為目的的網路詐騙犯罪活動。
網路犯罪發展趨勢
網路犯罪呈現手段多樣化、技術專業化、分工精細化、目的明確化等特點。其發展初期主要以色情賭博為主,web時代出現了流量劫持、釣魚網站等、移動時代出現了欺詐簡訊、偽基站、惡意軟體等。當前網路活動平臺已擴充套件電腦、移動端、手機通話、簡訊、物聯網等媒介,網路應用也是呈現爆發式增長,例如網路購物、投資理財、網路交友、生活繳費、政務民生活動,網路犯罪分子也基於網路媒介、業務場景、輿論熱點製造機會,隨之出現了殺豬盤、殺鳥盤、殺魚盤、社工冒充、跑分平臺、網路傳銷、網路刷單、投資理財等新興網路詐騙活動和違法犯罪上下游精細化分工平臺等。
據不完整統計,網路黑色產業鏈中,2020年僅網路詐騙的“黑色產業”市場規模已高達1100億元。網路犯罪行為已經從簡單單一的網路入侵活動轉變為多元化型別發展的態勢。
如何反網路詐騙犯罪
基於網路詐騙的特點,對域名相關情報(DNS intelligence)的分析可以有效與之對抗。
在RSAC上,兩位演講者分別介紹了各自透過域名相關情報的分析來應對網路詐騙犯罪的流程:
著重域名資訊和信譽、與此相關的威脅情報以及和具體域名有關的文字資訊和網路行為三方面。具體的分析可以分為三步:域名識別、豐富域名資訊、分析域名內容和網路行為,之後就可以從以上三個方面列出每個需要檢測的域名的風險,並量化打分以便預防。
第二位來自FBI的演講者介紹了域名分析的五個步驟:
· 資料採集:主要是在重要事件發生後收集和關鍵詞有關的新出現的域名資訊,從其中初步篩選出可疑域名;
· 域名匹配:主要是對可疑域名進行進一步篩選,可以透過自動和人工手段檢查相關域名指向網頁的具體內容,看是否包含網路詐騙相關資訊;
· 域名檢測:利用各類安防手段檢測域名是否和已知的病毒和惡意軟體相關聯,這是確認此事是否可移交美國境內執法部門處理的關鍵步驟之一,另一個步驟是確認域名相關託管平臺是否在美國境內;
· 資料內容豐富:已經確定可疑域名有進一步的惡意行為後,可以透過各類開源、商業情報,進一步對其惡意行為,相關資訊進行分析(查詢各大安全廠商報告、各類黑名單等),將已知情報和域名關聯;
· 移交線下執法部門處理:有了上一步的切實證據以後,就可以聯絡其他機構,線上下對網路詐騙採取行動,如將相關網站下線或更嚴厲的行動。
360威脅情報反網路詐騙的落地實踐
釣魚網址和仿冒APP識別
黑灰產型別眾多,其中常見高發的涉詐型別包括:投資、貸款、刷單、黃、假冒熟人、仿冒公檢法、殺豬盤等。360在涉詐大分類的基礎上基於場景細分出更多的場景,其中黑灰產惡意型別包括15大類、200餘小類,涉詐細分型別包括40餘類,例如:投資理財、借貸欺詐、購物退款、網遊交易、機票退改、裸聊交友、仿冒金融證券、仿冒銀行、虛假招聘、虛假中獎、仿冒公檢法等。360黑灰產資料分析範圍覆蓋域名、網址和APP程式、APP下載連結等,可以有效應對各類風險。
域名/網址檢測、APP安全檢測
360雲端安全大腦域名/網址安全檢測業務流程:
· 外部資料來源:資料輸入是整個平臺的入口,資料的輸入與輸出對應,一條網址經過爬蟲系統爬取、檢測後,輸出一條分類結果資料;
· 資料接入/預處理:不同渠道的資料格式不盡相同,為了便於爬蟲與分類系統處理方便,需要對輸入資料做預處理,比如統一格式、過濾消重;
· 內容爬取:網頁爬蟲對目標域名或站點進行定向爬取,惡意站點通常對爬蟲做針對性防護,不讓爬蟲爬取到正確的內容。因此爬蟲要偽裝成普通使用者訪問,繞過防爬機制;
· 網頁快照:對爬取的頁面內容進行快照截圖,並同步到url樣本庫、證據庫;
· AI演算法分析分類系統:對網頁爬取的內容進行分類識別判斷所屬的惡意型別並進行標記;
· 人員運營稽核:對未知或低疑似度網頁樣本資料進行分析確認。
· 網址分類資料管理系統:對黑灰產資料進行持久化儲存、提供消費服務。
360雲端安全大腦APK應用程式安全檢測業務流程:
· APK資料輸入:基於應用市場URL下載連結、網頁主動爬取、其它渠道採集的APK檔案和下載連結對APK應用程式的網址和樣本進行採集、檔案收集;
· APK檔案分析:對採集的APK樣本檔案透過資源分析、反編譯、沙箱模擬執行等手段提取靜態資訊、分析動態行為;
· APK分析檢測:基於規則識別系統對提取的APK動靜態資訊進行分類分析,識別並定義APK檔案的安全威脅等級和型別,然後同步到資料系統或被業務應用系統呼叫。
反詐威脅情報應用
· 品牌保護
金融、企業提供釣魚網址、仿冒APP、logo侵權高價值資料推送服務,及時提供品牌侵權的線索、依據配合使用者單位報警、起訴及要求停止侵權的業務應用場景
· 黑灰產預警和攔截處置
配合執行商、監管單位推送涉詐威脅情報資料,基於流量分析平臺,發現惡意網路行為提供全網預警和攔截、關停處置。
未來,360將持續利用安全情報能力助力廣大政企客戶打擊網路犯罪和網路詐騙,築牢數字安全屏障,護航數字經濟平穩健康發展。
相關文章
- 直擊RSAC 2022:如何綜合評估威脅情報指標指標
- 直擊RSAC 2022:從“轉型”看數字時代如何戰略化應用威脅情報
- 直擊RSAC 2022:人工智慧如何顛覆自動化威脅分析人工智慧
- 直擊RSAC 2022:巧用ATT & CK框架應對具體威脅框架
- 洞見RSAC | 威脅情報賦能實戰化安全運營
- 僅42%的網路安全專業人士用共享威脅情報
- 網路安全中*具威脅的攻擊方式!
- 2022年度APT高階威脅報告:從俄烏衝突看網路衝突威脅APT
- 大型網際網路企業威脅情報運營與實踐思考
- 如何有效區分網路安全威脅?
- 綠盟威脅情報中心報告:疫情期間境外黑客發起對我國網路攻擊案例黑客
- 網路安全威脅資訊格式規範正式釋出 國內威脅情報發展迎來新階段
- 直擊RSAC 2021 |三大誤解制約情報共享發展程式,看360數字安全能力體系如何破局
- 騰訊安全威脅情報釋出會解讀:數字化時代,為何威脅情報如此重要?
- 常見網路安全威脅及攻擊型別介紹!型別
- Websense網際網路威脅報告:Web威脅更具混合性Web
- 什麼是網路安全威脅?常見威脅有哪些?
- 威脅情報:網路犯罪分子利用IPFS進行網路釣魚和惡意軟體活動
- 威脅情報專欄 | 2020 上半年網路安全態勢分析
- 威脅情報專欄|2020年7月網路安全態勢分析
- 直擊RSAC 2022:淺析ISAC在加強網路安全監管環境中的關鍵作用
- DNS伺服器受攻擊,建站不可忽略的網路威脅DNS伺服器
- 企業如何打造“秒級響應”的威脅情報系統?
- 【新品上市】綠盟威脅情報平臺NTIP上市
- 2021網路安全周·瀋陽站 | 綠盟科技威脅情報中心落戶盛京
- 網路安全威脅國家安全
- 2022西湖論劍•網路安全大會 威脅情報及應急響應論壇在杭州舉行
- 2022年5大網路威脅惡意軟體
- 內網威脅感知與攻擊溯源系統內網
- 警報!無線路由器面臨網路攻擊新威脅路由器
- 網路安全威脅的新變化
- 【重磅】綠盟威脅情報中心(NTI)正式上線IPv6情報資料
- 威脅情報專欄|ADDP反射攻擊來襲?NTI已支援相關檢測反射
- 利用WS-Discovery反射攻擊?綠盟科技威脅情報中心已支援相關檢測反射
- 利用漏洞攻擊Edimax WiFi橋接器,綠盟威脅情報中心支援相關檢測WiFi橋接
- 俄方披露:全球75%網路攻擊源頭來自美國,網路威脅持續升級
- 近千萬人受勒索軟體攻擊波及,網路威脅規避究竟如何開展?
- 關於網路安全領域威脅情報共享問答Fortinet全球安全戰略官DerekManky