跳转到内容

竞争情报/技术精湛带来的竞争情报新趋势

Add links
来自维基教科书,开放的书籍,开放的世界

Kristian Erik Hermansen 2011年5月28日 竞争情报


技术精湛带来的竞争情报新趋势


“外面有一场战争,老朋友。一场世界大战。它不是关于谁拥有最多的子弹。而是关于谁控制着信息。我们看到了什么,听到了什么,如何工作,我们怎么想……这都是关于信息的!” -- Cosmo,来自电影 Sneakers#

今天的世界与信息时代之前的世界截然不同。信息无处不在,世界万物互联,你的竞争对手也仅仅在互联网的几步之遥。这意味着那些能够控制你获取信息方式的人可以控制整个竞争游戏。那么,从我们竞争情报教育的角度来看,这意味着什么呢?

Benjamin Gliad 在其关于商业战争游戏的书籍中不断重申,你并不需要复杂的技术优势来进行竞争情报活动或在模拟商业战争游戏中获取有用的知识。然而,我想在这篇简短的文章中讨论的是,那些拥有这种优势的对手(无论合法与否)可以做些什么。这一点非常重要,因为我们必须记住,美国的法律并不适用于全球。我对这个主题也相当感兴趣,主要是因为我生命的大部分时间都花在了信息安全行业,而且去年还应邀在台湾两所顶尖大学发表了关于此类主题的演讲。

在本周的阅读材料“普惠航空的竞争情报政策”和“公司政策与竞争情报收集的伦理”中,讨论了与制定、执行和熟练遵守公司内部制定的政策相关的各种主题。关于法律灰色地带以及如何处理标记为机密的但实际上并非机密的文件,有很多讨论。还有一个例子是,一个竞争对手利用航拍来获取关于新生产工厂的见解。该案被发现违反了法院或法律。但是,真正黑暗的竞争情报领域又如何呢?

去年 1 月,谷歌和许多其他《财富》500 强公司承认,它们成为了恶意黑客攻击的目标,该攻击在公开场合被称为“猎户座行动”。# 攻击的源头可以追溯到中国,这迫使谷歌至少暂时暂停了他们在该国的正常运营。去年 9 月,多家新闻机构报道,伊朗的新核电站被一种非常复杂的计算机蠕虫入侵,该蠕虫可能会导致该设施自行毁灭。# 去年 11 月,维基解密发布了由一位滥用最高机密权限的军人获取的机密外交电报。# 今年 2 月,著名的政府安全公司 HBGary 遭到攻击,其所有内部电子邮件都被发布到网上供任何人下载,泄露了他们的所有通信,并迫使首席执行官辞职。# 3 月,RSA 安全公司(曾经被认为是坚不可摧的双因素 SecureID 产品的制造商)# 报告称,他们成为了复杂的网络攻击的目标。# 4 月,索尼 PlayStation 游戏网络因其供应商网络之一遭到入侵而下线,导致数亿用户和游戏生产商受到干扰和身份盗窃。# 如今,美国政府最大的国防承包商之一洛克希德·马丁公司正在与网络入侵作斗争,因为他们的 RSA SecurID 令牌出现问题。# 难道有人能预料到这些吗?

因此,仅从这些新闻报道中,人们就可以看到技术能力会带来多么重大的后果。在竞争情报的背景下,这对我们这些在美国公司工作的人来说意味着什么呢?与其列出一长串“该做的事”和“不该做的事”,我更想让你以技术攻击者的思维方式思考,这样你就可以理解他们的思维方式。许多像上面概述的成功攻击通常涉及先前的信息泄露。我的意思是,特权信息以目标不知道的方式被攻击者获得。我打算将这些场景构建为角色扮演练习,你可以遵循并进行演练,正如商业战争游戏一书中详细讨论的那样。是时候像个坏人一样思考了。

[场景 #1]

你正和公司的一些同事前往参加一个商业会议。在会议上,你希望了解行业中的最新趋势或突破,并可能在此过程中收集一些关于竞争对手的信息。你听说一家顶尖竞争对手公司的人会在会议上发表演讲。你对此很感兴趣,但你也意识到,他们的组织可能已经对演示材料进行了预先审查,因此从竞争的角度来看,它们对你几乎没有价值。尽管如此,你可能还是可以通过与该人士共饮或通过其他方式了解一些东西。所以你去了。

会议的第一天,你到达并安顿下来。有一些熟悉的面孔,但大多数人你都不认识。你参加了一个关于小部件的有趣主题的演讲,并做了大量的笔记。当你离开时,有人告诉你,你可以将名片放入一个碗中,以便在会议结束时进行抽奖。你认为这没有什么害处,并认为自己可能真的会赢,因为今年的与会者比去年少。你继续参加会议,一切都很好。你结识了新朋友,听到了新事物。你对好东西做了大量笔记。会议的最后一天快结束了,你需要跳过最后一次演讲,以便按时赶上回家的航班。

你周五晚上回到家,周末剩下的时间都和家人在一起。周日晚上睡觉前,你快速查看了电子邮件,以便为第二天做好准备。有趣的是,你的同事 Bob 发了一封电子邮件给你。他提到了你们俩都参加过的会议,还附了一个文件。你打开它,但它似乎不起作用。你打算在工作时询问 Bob 有关此事。

第二天早上,你醒来并前往上班。你在饮水机旁遇到了 Bob,他问你昨晚你是否收到了他发的电子邮件。“什么?我还没有回复你发给我的邮件。”,你宣称。另一方面,Bob 进一步说明他也没有给你发过任何电子邮件。嗯……

那么发生了什么事呢?还记得那个抽奖碗吗?一个与会议无关的人设立了一个未经授权的抽奖活动,并利用它来收集有关会议参与者的情报。他们找到了你的名片和 Bob 的名片。他们注意到你们在同一家公司工作,而且在同一个部门,这一点在公众场合并未公开,即使在 LinkedIn 上也是如此。然后,他们利用这些知识使用你们真实的电子邮件地址来伪造发给你们俩的电子邮件。从技术上讲,这很容易做到,但很难检测到。即使是 Gmail 也很难知道谁是真正的发件人。你打开的附件在你的计算机上安装了恶意软件,并将所有 Word、PowerPoint、Excel、PDF、电子邮件和其他相关文档窃取到一个远程服务器。它经过特殊设计,可以避开你的计算机的防病毒软件和防火墙软件,这也很容易做到。所有这一切都可以通过让你点击电子邮件中的超链接来完成,但附件方法更加可靠,因为大多数组织很少升级他们的 Microsoft Office 或 Adobe Reader 程序。恶意软件还转储了你保存在浏览器中的所有密码。

从你浏览器中窃取的密码中,攻击者注意到你在许多个人网站(如 netflix.com 和 nytimes.com)上使用了相同的密码,即你妻子的名字“betsy”。在查看你的电子邮件后,他们发现你给 Bob 发送了关于公司 VPN 服务器的电子邮件,当时他刚加入公司。你给了他登录说明。攻击者试图模拟该过程,但发现 Bob 的密码“changeme”不起作用。他们尝试使用你的用户名和密码“betsy”。这似乎起作用了。现在,他们可以访问 VPN 和所有共享服务器,包括 SharePoint。他们转储了他们可以访问的所有内容。他们继续渗透网络,直到他们认为自己获得了足够的信息,或者他们感觉到自己可能被发现。然后,攻击者将所有信息出售到黑市,以换取一些不太谨慎的中国竞争对手。如果你的员工足够熟练,能够检测到大多数黑客活动,那么几周后,各种新闻机构会报道这次黑客攻击。

[场景 #2]

你的公司正在准备发布一款新产品。几个月来,你一直试图将其保密,而你的技术团队则设计了网站,并准备向大众推出 iWidget。几周前,技术团队开始测试最终网站,为发布做准备。来自组织各部门的一小群值得信赖的内部员工被邀请有机会审查新网站并提供反馈。他们被警告不要与朋友或家人讨论新产品,直到产品发布,并再次被提醒他们加入公司时签署的保密协议。

测试团队开始后的几天,一个名为 TechMunch 的热门科技博客泄露了关于新 iWidget 产品的详细信息。你和管理团队的其他人怒不可遏,并计划查明是谁泄露了消息。你要求技术人员找到罪魁祸首。几天后,IT 团队告诉你,他们没有关于泄露事件或泄露源头的任何信息。你要求任何知情者站出来,但没有人承认。你感到困惑——但更令人难以置信的是,你的主要竞争对手今天宣布推出了一款名为 MyWidget+ 的新产品,这款产品拥有所有相同的功能,甚至更多,而且是在你的公司之前!

那么发生了什么事呢?即使泄露事件可能发生在过去的一周内,但实际上它发生在很久以前。在决定新产品名称时,按照你公司防止商标侵权的正常流程,你指示你的 IT 团队预留免费的可用网络域名 iwidget.com。正如 IT 团队过去为其他产品所做的那样,这一切都很正常。不正常的是,竞争对手根据你公司之前的运营历史,提前很长时间预测到了这一举动。他们知道该域名将在产品发布前大约六个月被购买,因此当他们的反向 Whois# 服务提醒他们你公司购买了一个新域名时,他们立即开始制定计划,以便调整他们目前正在开发的产品,使其具有类似的竞争优势。

反向Whois是一项付费服务,可以追踪域名购买记录,但成本很高,通常只有在收益巨大时才有效。竞争对手利用了这个工具,最终设计出了MyWidget+,它拥有差异化的功能和简洁的设计,比iWidget更具价值。新域名上的测试网站本不应该对外公开,但由于例行技术维护期间发生故障,该网站短暂地对外部世界开放。竞争对手之前编写了一个程序来检查这种情况,因为他们注意到这种情况很可能在每个月的第三个星期天午夜发生,这是他们员工之前观察到的。最终,MyWidget+ 产品由于其较晚的发布和较少的特性,销量是iWidget的十倍。

总之,虽然这些例子看起来很牵强,但它们绝非虚构。这类攻击确实会发生。我在信息安全的防御和进攻两方面的工作中,亲眼目睹并执行过许多非常战术性的商业目标利用。一些专门的“红队”会接受合法报酬,进行这类测试,通常 IT 人员甚至并不知道。这些合法雇佣的攻击者通常拥有极高的技能,很少被发现或抓获。如果他们无法访问最高价值的目标,比如高管的电子邮件,他们就会认为自己失败了。

我的一位朋友曾经提到过在国际航班上发生的一件有趣的事情。他在编写一些渗透测试工具,并决定在旅途中调试它们。他正在编写一个新的无线 (WiFi) 嗅探和拦截工具。在测试中,该工具会假装成一个常见的 WiFi 热点,比如“免费互联网”或“星巴克”。大多数计算机都会自动连接到之前命名的热点,所以如果航班上的任何人的 WiFi 开着,他就能让他们连接并看到他们的数据。幸运的是,几台电脑连接了。其中一台电脑比其他电脑更有趣,它不断尝试连接到公司邮件服务器,发送 Outlook 中未发送的邮件。他的工具被设计成看起来像邮件服务器,并接受任何邮件。在这次测试中,他收到的邮件详细描述了一项拟议中的收购协议。这可不是你希望过早泄露的东西!

许多精通安全技术的专家利用从未公开的新攻击方法来获取访问权限并获得报酬。现在你知道这些了,你会怎么做?也许你已经知道了所有这些?无论如何,这可能会给你一些关于如何以不同的方式玩竞争情报游戏的想法,尤其是当你身处灰色地带时。至少,你可能会了解如何保护自己或在未来更加谨慎。注意安全。

资料来源:"https://wikibooks.cn/w/index.php?title=Competitive_Intelligence/On_Recent_Trends_in_Competitive_Intelligence_via_Technical_Virtuosity&oldid=2121567"
华夏公益教科书