最后一次,我们来看看一些常见的错误,当试图归罪于网络攻击时很容易犯。回顾一下:

  • 对一个指标的恐慌
  • 追逐不切实际的威胁模型(你是一个合法的国防承包商还是一家提供服务的律师事务所?没有?那么apt可能不适合你。)
  • 在实施缓解措施之前,要求明确的数据。你不会得到它,你会惹恼你的SOC。

所以让我们看看我们是否能做得更好。这是一个同事7月份收到的一个以银行为主题的网络钓鱼。

bankphish

就银行网络钓鱼而言,这是相当不错的。没有任何明显的英语错误将内容与特定的地理区域*,语言没有夸张,底部的签名是真实的人。此外,还没有WHOIS数据,所以第一个倾向是放弃我们的手,并结束它的一天。但当我们打开登陆页面时,servicesbay俄文/ server.one。(目前是关闭的),它提供了一个表格来输入个人财务信息,反映了MBNA网站资源,但没有验证用户的输入。此外,根域有一个导致其他网络钓鱼的打开目录。从属性的角度来看,我们现在知道了一些事情:

  1. 网络钓鱼不是目标。球场上没有出现受害者的个人信息,其中的一些语言可以追溯到至少2012年。
  2. 威胁行为者的复杂性很低。

第二点是最难的,因为我们怎么知道呢?比如MBNA没有"客户安全"部门,"卡尔·费奥伦蒂诺"是Tiger Direct的高管曾因欺诈罪在联邦监狱服刑80个月,表明我们的威胁演员不愿做他的家庭作业。但更能说明问题的是登陆页面。登陆页面是威胁行动者有机会将用户信任和注意力转化为有利可图的信息窃取的地方。因此,缺乏输入验证(例如,这是有效的电子邮件和信用卡吗?)表明,威胁行动者不够敏锐,无法有效窃取。

Stahp

如果愿意,我们可以停在这里。看看网络钓鱼本身的机制,人们可以形成一个合理的信念,它不是专门针对我们的组织,行动者是低复杂性。这些都是实现威胁缓解所需的基本内容。但让我们再深入一点。

登陆页面上的被动DNS已产生以下(现在大部分向下):

  • Servicechk。俄罗斯
  • Serviceacc。俄罗斯
  • Cs-def。俄罗斯

这里我们有两个网站非常类似于最初的登陆页,也缺乏重要的WHOIS,但我们现在可以合理地说,钓鱼是由威胁actor托管,而不是在一个受损的良性网站。最后一个网站很有趣,因为它似乎是一个俄罗斯反恐精英的粉丝页面。鉴于网络钓鱼IP的主机数量非常少,而在线多人游戏的粉丝往往喜欢在网上谈论它们,我们很有可能发现我们的威胁角色在谈论游戏。在谷歌上搜索这个网站,会有相当多的搜索结果:

结果

其中一个是vk.com简介:

配置文件

这样我们就有了一个名字来匹配我们的网络钓鱼。一些说明:

我们绝对没有100%证明上述名称是背后的钓鱼。被动DNS不能证明多个网站的所有权之间存在直接的一对一联系,即使主机的总数非常低。此外,我们不知道cs-def网站所有者给了谁管理员凭据;最后,我们不能低估恶意第三方接管他的基础设施的可能性。然而……

我们有一个合理的,有证据支持的怀疑是一个俄罗斯演员煽动了一波普通的,不复杂的网络钓鱼浪潮发送给目标。

鉴于上述声明足以使我们对安全缓解做出明智的决定,我们可以认为属性是完整的。注意,上面的信息都不是决定性的。替代竞争假说仍然可以应用。重要的是,内部归因不一定是决定性的。它必须是合理的.如果新的信息改变了之前的判断,归因就会回到不完整的状态,我们就会重新开始这个过程。

所以我们可以通过上面的例子看到,归因并不一定是痛苦的、戏剧性的或荒谬的电影情节。在其核心,实际的网络威胁归因是针对通常可靠的数据集做出合理的判断,以推动缓解决策。不需要熊猫、熊或三维矩阵。请下次收听第三部分:我将何去何从?

人们在这里经常出错。业余语言分析往往严重依赖于语气和错误的数量。这是错误的。粗略的地理语言打字是由错误的质量来决定的,因为第二语言交际者倾向于犯与母语语法一致的英语错误。

Arunachal Pradesh,所有的归因都应该是内部的。