这不是中国。除非是。或者也许它是一个400磅黑客的地下室。不太可能。谁可以告诉谁在互联网上做任何事情,无论如何为什么要关心?归因是对网络攻击产生法医文物的实践,并将其与具有符合您组织匹配的个人资料的知名威胁。如果这似乎过于复杂,那就是故意的。有归因地映射到非常具体的背景和在这种情况下绘画,而在简单的阅读中,除了可怕的决策者进入不必要的支出之外,还有很少的内容。归因是我们应该关心的东西。不是因为成功的归属将导致当局倾向于敌对领域以中和我们的敌人,而是因为它是检查我们威胁模型对现实世界的假设并相应修改这些假设的方法。 (You have a threat model, right? If not,从这里开始。)如果我们要看一下网络攻击归属的归属,那么看看它可能会有所帮助。
- 归因不是一个吸烟枪,将在法庭上举起。即使在像Crowdstrike的耸人听闻的作品中酸“,他们无法在攻击时证明个人在键盘上有手,也不能提供具体的证据,即使他这样做,他也在掌握中国政府的方向。Mandiant通过使用开源智能借给他们的技术分析,缺乏缺乏将个人的动机与一个大的人联系起来的关键。除非您是NSA,否则试图确定该联系是浪费时间和资源10次的资源 - 特别是如果您正在处理共同的一次性网络钓鱼,而不是持续的州赞助渗透。
- 归属不是二进制。没有明确的状态,你是'完成的',因为再次,只有一个智能局可以明确地回答动机,意图和能力的问题,简单是或否答案。有些人认为这是指归因不是一个有意义的追求 - 这朝着相反的方向走得太远。以支持公司的资源分配,为核对假设的检查任何归因数据以具体证据为基础为基础是有价值的。*
- 一个法医伪影不是归因。我们在安全行业中的人有时会看到大量的妥协指标列表明确地归因于各个国家群体,通常由政府机构归因于各个国家群体。这里的想法是拍摄快照 - 一种法医杯射击 - 并围绕着它,所以防守者可以在同一时间范围内保持类似的TTP。(Should you be wondering when this is relevant to an organization’s defense, it really isn’t. Establishing a campaign timeframe is mostly relevant to collecting strategic intelligence, which is why it’s usually the government releasing these lists to begin with.) Some organizations have interpreted these lists to mean *any* IOC listed is a hard attribution to a particular nation state, and will commence searching their logs for “attacks.”不要这样做。它是一系列二级社会时间,金钱,并假设工具策略和程序(TTP)坦率地令人困惑的不可动作的不可动作。基准应该是证据的优势将导致合理观察员结束 - 而不是在中国注册的单一知识产权。
- 匿名不是一个团体。其不存在作为一个团体意味着它不能有兴趣,动机或能力。更典型的匿名是一系列伪政报表,作为当地黑客的自我支持和小型政治目标的涵盖。同样,匿名不是一个群体,如果你归因于他们的攻击,你根本没有归因于此。
- 国家赞助商。您可能会注意到,我参考的两家公司在详细归属中,均关注州赞助的演员。这在很大程度上是因为州赞助的演员在最长的时间内有一个授权攻击目标来提取最大智能。因此,目标具有丰富的法医数据的目标的几率来分析和相关方式。因此,我们倾向于看到州行动者的闪现,耸人听闻的数据,并更频繁地折扣机会主义的攻击通过财务激励的演员。不要忽视这一点OWASP前十名专注于可能不会发生的零日攻击。
所以这里你有什么归属。很多人都会看看上面的名单,把手放在空中,并说归因是不可能的,浪费时间,你不应该这样做。我不同意。虽然妥协的盒子,但仍可以威胁演员代理?他们可以伪造他们的WHOIS吗?当然。但即使人们撒谎,他们也不会这样做。在设定时间范围内始终应用的假数据与建立作为真实的动机,意图和能力一样有用。And given that our intent is to match structured, real world attack data against our established threat models, it doesn’t especially matter if we have the full legal name of the actor behind the keyboard, provided that actor behaves in a consistent manner across multiple attacks.
下次曲调更多关于什么好的归属,以及为什么要关心。
*不具体证据的事物:卖方索赔论坛职位,而不为来源提供任何参考,滥用或不。提供翻译威胁演员演讲的供应商而不提供源语言。对折音网站的组织提到。宣传您组织也使用的基础架构中的漏洞。一个威胁演员在一个群体中的会员资格,一次性对您的组织的理论攻击表示兴趣。任何单一的IOC,都会在您的日志中显示,无需进一步上下文。
评论