跳轉到內容

競爭情報/技術精湛帶來的競爭情報新趨勢

Add links
來自華夏公益教科書,開放的書籍,開放的世界

Kristian Erik Hermansen 2011年5月28日 競爭情報


技術精湛帶來的競爭情報新趨勢


“外面有一場戰爭,老朋友。一場世界大戰。它不是關於誰擁有最多的子彈。而是關於誰控制著資訊。我們看到了什麼,聽到了什麼,如何工作,我們怎麼想……這都是關於資訊的!” -- Cosmo,來自電影 Sneakers#

今天的世界與資訊時代之前的世界截然不同。資訊無處不在,世界萬物互聯,你的競爭對手也僅僅在網際網路的幾步之遙。這意味著那些能夠控制你獲取資訊方式的人可以控制整個競爭遊戲。那麼,從我們競爭情報教育的角度來看,這意味著什麼呢?

Benjamin Gliad 在其關於商業戰爭遊戲的書籍中不斷重申,你並不需要複雜的技術優勢來進行競爭情報活動或在模擬商業戰爭遊戲中獲取有用的知識。然而,我想在這篇簡短的文章中討論的是,那些擁有這種優勢的對手(無論合法與否)可以做些什麼。這一點非常重要,因為我們必須記住,美國的法律並不適用於全球。我對這個主題也相當感興趣,主要是因為我生命的大部分時間都花在了資訊安全行業,而且去年還應邀在臺灣兩所頂尖大學發表了關於此類主題的演講。

在本週的閱讀材料“普惠航空的競爭情報政策”和“公司政策與競爭情報收集的倫理”中,討論了與制定、執行和熟練遵守公司內部制定的政策相關的各種主題。關於法律灰色地帶以及如何處理標記為機密的但實際上並非機密的檔案,有很多討論。還有一個例子是,一個競爭對手利用航拍來獲取關於新生產工廠的見解。該案被發現違反了法院或法律。但是,真正黑暗的競爭情報領域又如何呢?

去年 1 月,谷歌和許多其他《財富》500 強公司承認,它們成為了惡意駭客攻擊的目標,該攻擊在公開場合被稱為“獵戶座行動”。# 攻擊的源頭可以追溯到中國,這迫使谷歌至少暫時暫停了他們在該國的正常運營。去年 9 月,多家新聞機構報道,伊朗的新核電站被一種非常複雜的計算機蠕蟲入侵,該蠕蟲可能會導致該設施自行毀滅。# 去年 11 月,維基解密釋出了由一位濫用最高機密許可權的軍人獲取的機密外交電報。# 今年 2 月,著名的政府安全公司 HBGary 遭到攻擊,其所有內部電子郵件都被髮布到網上供任何人下載,洩露了他們的所有通訊,並迫使執行長辭職。# 3 月,RSA 安全公司(曾經被認為是堅不可摧的雙因素 SecureID 產品的製造商)# 報告稱,他們成為了複雜的網路攻擊的目標。# 4 月,索尼 PlayStation 遊戲網路因其供應商網路之一遭到入侵而下線,導致數億使用者和遊戲生產商受到干擾和身份盜竊。# 如今,美國政府最大的國防承包商之一洛克希德·馬丁公司正在與網路入侵作鬥爭,因為他們的 RSA SecurID 令牌出現問題。# 難道有人能預料到這些嗎?

因此,僅從這些新聞報道中,人們就可以看到技術能力會帶來多麼重大的後果。在競爭情報的背景下,這對我們這些在美國公司工作的人來說意味著什麼呢?與其列出一長串“該做的事”和“不該做的事”,我更想讓你以技術攻擊者的思維方式思考,這樣你就可以理解他們的思維方式。許多像上面概述的成功攻擊通常涉及先前的資訊洩露。我的意思是,特權資訊以目標不知道的方式被攻擊者獲得。我打算將這些場景構建為角色扮演練習,你可以遵循並進行演練,正如商業戰爭遊戲一書中詳細討論的那樣。是時候像個壞人一樣思考了。

[場景 #1]

你正和公司的一些同事前往參加一個商業會議。在會議上,你希望瞭解行業中的最新趨勢或突破,並可能在此過程中收集一些關於競爭對手的資訊。你聽說一家頂尖競爭對手公司的人會在會議上發表演講。你對此很感興趣,但你也意識到,他們的組織可能已經對演示材料進行了預先審查,因此從競爭的角度來看,它們對你幾乎沒有價值。儘管如此,你可能還是可以透過與該人士共飲或透過其他方式瞭解一些東西。所以你去了。

會議的第一天,你到達並安頓下來。有一些熟悉的面孔,但大多數人你都不認識。你參加了一個關於小部件的有趣主題的演講,並做了大量的筆記。當你離開時,有人告訴你,你可以將名片放入一個碗中,以便在會議結束時進行抽獎。你認為這沒有什麼害處,並認為自己可能真的會贏,因為今年的與會者比去年少。你繼續參加會議,一切都很好。你結識了新朋友,聽到了新事物。你對好東西做了大量筆記。會議的最後一天快結束了,你需要跳過最後一次演講,以便按時趕上回家的航班。

你週五晚上回到家,週末剩下的時間都和家人在一起。週日晚上睡覺前,你快速查看了電子郵件,以便為第二天做好準備。有趣的是,你的同事 Bob 發了一封電子郵件給你。他提到了你們倆都參加過的會議,還附了一個檔案。你開啟它,但它似乎不起作用。你打算在工作時詢問 Bob 有關此事。

第二天早上,你醒來並前往上班。你在飲水機旁遇到了 Bob,他問你昨晚你是否收到了他發的電子郵件。“什麼?我還沒有回覆你發給我的郵件。”,你宣稱。另一方面,Bob 進一步說明他也沒有給你發過任何電子郵件。嗯……

那麼發生了什麼事呢?還記得那個抽獎碗嗎?一個與會議無關的人設立了一個未經授權的抽獎活動,並利用它來收集有關會議參與者的情報。他們找到了你的名片和 Bob 的名片。他們注意到你們在同一家公司工作,而且在同一個部門,這一點在公眾場合並未公開,即使在 LinkedIn 上也是如此。然後,他們利用這些知識使用你們真實的電子郵件地址來偽造發給你們倆的電子郵件。從技術上講,這很容易做到,但很難檢測到。即使是 Gmail 也很難知道誰是真正的發件人。你開啟的附件在你的計算機上安裝了惡意軟體,並將所有 Word、PowerPoint、Excel、PDF、電子郵件和其他相關文件竊取到一個遠端伺服器。它經過特殊設計,可以避開你的計算機的防病毒軟體和防火牆軟體,這也很容易做到。所有這一切都可以透過讓你點選電子郵件中的超連結來完成,但附件方法更加可靠,因為大多陣列織很少升級他們的 Microsoft Office 或 Adobe Reader 程式。惡意軟體還轉儲了你儲存在瀏覽器中的所有密碼。

從你瀏覽器中竊取的密碼中,攻擊者注意到你在許多個人網站(如 netflix.com 和 nytimes.com)上使用了相同的密碼,即你妻子的名字“betsy”。在檢視你的電子郵件後,他們發現你給 Bob 傳送了關於公司 VPN 伺服器的電子郵件,當時他剛加入公司。你給了他登入說明。攻擊者試圖模擬該過程,但發現 Bob 的密碼“changeme”不起作用。他們嘗試使用你的使用者名稱和密碼“betsy”。這似乎起作用了。現在,他們可以訪問 VPN 和所有共享伺服器,包括 SharePoint。他們轉儲了他們可以訪問的所有內容。他們繼續滲透網路,直到他們認為自己獲得了足夠的資訊,或者他們感覺到自己可能被發現。然後,攻擊者將所有資訊出售到黑市,以換取一些不太謹慎的中國競爭對手。如果你的員工足夠熟練,能夠檢測到大多數駭客活動,那麼幾周後,各種新聞機構會報道這次駭客攻擊。

[場景 #2]

你的公司正在準備釋出一款新產品。幾個月來,你一直試圖將其保密,而你的技術團隊則設計了網站,並準備向大眾推出 iWidget。幾周前,技術團隊開始測試最終網站,為釋出做準備。來自組織各部門的一小群值得信賴的內部員工被邀請有機會審查新網站並提供反饋。他們被警告不要與朋友或家人討論新產品,直到產品釋出,並再次被提醒他們加入公司時簽署的保密協議。

測試團隊開始後的幾天,一個名為 TechMunch 的熱門科技部落格洩露了關於新 iWidget 產品的詳細資訊。你和管理團隊的其他人怒不可遏,並計劃查明是誰洩露了訊息。你要求技術人員找到罪魁禍首。幾天後,IT 團隊告訴你,他們沒有關於洩露事件或洩露源頭的任何資訊。你要求任何知情者站出來,但沒有人承認。你感到困惑——但更令人難以置信的是,你的主要競爭對手今天宣佈推出了一款名為 MyWidget+ 的新產品,這款產品擁有所有相同的功能,甚至更多,而且是在你的公司之前!

那麼發生了什麼事呢?即使洩露事件可能發生在過去的一週內,但實際上它發生在很久以前。在決定新產品名稱時,按照你公司防止商標侵權的正常流程,你指示你的 IT 團隊預留免費的可用網路域名 iwidget.com。正如 IT 團隊過去為其他產品所做的那樣,這一切都很正常。不正常的是,競爭對手根據你公司之前的運營歷史,提前很長時間預測到了這一舉動。他們知道該域名將在產品釋出前大約六個月被購買,因此當他們的反向 Whois# 服務提醒他們你公司購買了一個新域名時,他們立即開始制定計劃,以便調整他們目前正在開發的產品,使其具有類似的競爭優勢。

反向Whois是一項付費服務,可以追蹤域名購買記錄,但成本很高,通常只有在收益巨大時才有效。競爭對手利用了這個工具,最終設計出了MyWidget+,它擁有差異化的功能和簡潔的設計,比iWidget更具價值。新域名上的測試網站本不應該對外公開,但由於例行技術維護期間發生故障,該網站短暫地對外部世界開放。競爭對手之前編寫了一個程式來檢查這種情況,因為他們注意到這種情況很可能在每個月的第三個星期天午夜發生,這是他們員工之前觀察到的。最終,MyWidget+ 產品由於其較晚的釋出和較少的特性,銷量是iWidget的十倍。

總之,雖然這些例子看起來很牽強,但它們絕非虛構。這類攻擊確實會發生。我在資訊安全的防禦和進攻兩方面的工作中,親眼目睹並執行過許多非常戰術性的商業目標利用。一些專門的“紅隊”會接受合法報酬,進行這類測試,通常 IT 人員甚至並不知道。這些合法僱傭的攻擊者通常擁有極高的技能,很少被發現或抓獲。如果他們無法訪問最高價值的目標,比如高管的電子郵件,他們就會認為自己失敗了。

我的一位朋友曾經提到過在國際航班上發生的一件有趣的事情。他在編寫一些滲透測試工具,並決定在旅途中除錯它們。他正在編寫一個新的無線 (WiFi) 嗅探和攔截工具。在測試中,該工具會假裝成一個常見的 WiFi 熱點,比如“免費網際網路”或“星巴克”。大多數計算機都會自動連線到之前命名的熱點,所以如果航班上的任何人的 WiFi 開著,他就能讓他們連線並看到他們的資料。幸運的是,幾臺電腦連線了。其中一臺電腦比其他電腦更有趣,它不斷嘗試連線到公司郵件伺服器,傳送 Outlook 中未傳送的郵件。他的工具被設計成看起來像郵件伺服器,並接受任何郵件。在這次測試中,他收到的郵件詳細描述了一項擬議中的收購協議。這可不是你希望過早洩露的東西!

許多精通安全技術的專家利用從未公開的新攻擊方法來獲取訪問許可權並獲得報酬。現在你知道這些了,你會怎麼做?也許你已經知道了所有這些?無論如何,這可能會給你一些關於如何以不同的方式玩競爭情報遊戲的想法,尤其是當你身處灰色地帶時。至少,你可能會了解如何保護自己或在未來更加謹慎。注意安全。

資料來源:"https://wikibook.tw/w/index.php?title=Competitive_Intelligence/On_Recent_Trends_in_Competitive_Intelligence_via_Technical_Virtuosity&oldid=2121567"
華夏公益教科書