為什么網(wǎng)絡(luò)攻擊的歸因很重要
網(wǎng)絡(luò)歸因是一個敏感話題�,尤其是潛在的政治后果。即使當(dāng)網(wǎng)絡(luò)安全專家觀察到在當(dāng)前沖突期間針對烏克蘭的擦除器惡意軟件攻擊激增時��,許多人也沒有冒險直接將矛頭指向俄羅斯國家。
然而�����,對于許多威脅情報分析師來說,網(wǎng)絡(luò)攻擊的歸因是防御它們的基礎(chǔ)�����。
制定戰(zhàn)略并預(yù)測未來的攻擊
首先����,許多人認(rèn)為歸因?qū)τ谑芎φ叩募磿r事件響應(yīng)很有價值。
Recorded Future 的網(wǎng)絡(luò)威脅情報研究員Alex Leslie在Infosecurity2023年2月的播客中總結(jié)說:“歸因真的很重要�,因?yàn)樗梢宰屇闼伎既绾巫詈玫刂贫☉?zhàn)略和預(yù)測未來的攻擊。”
網(wǎng)絡(luò)安全公司Trend Micro在博客中解釋說�����,歸因可以幫助確定受害者是目標(biāo)還是附帶損害�����,更好地了解攻擊期間使用的策略�、技術(shù)和程序(TTP)以增強(qiáng)檢測和響應(yīng)���,并幫助董事會了解投資新安全工具的價值����。
根據(jù)趨勢科技高級威脅研究員Feike Hacquebord的說法,他的一些同行不愿討論歸因是因?yàn)榛煜思夹g(shù)歸因���,技術(shù)歸因包括識別威脅活動集和分析模式�����,以及法律或政治歸因��,這些有時會導(dǎo)致對個人的起訴����。
“當(dāng)我們在趨勢科技談?wù)摎w因時��,我們僅指技術(shù)歸因�����,沒有法律或政治目的����。網(wǎng)絡(luò)威脅情報(CTI)團(tuán)隊(duì)的主要作用是分析入侵集,而不是團(tuán)體或人員�����。”
另一方面,現(xiàn)在是谷歌云的一部分的Mandiant并沒有避免在其歸因過程中加入國家隸屬關(guān)系�。然而,Mandiant威脅情報團(tuán)隊(duì)的高級經(jīng)理Shanyn Ronis告訴Infosecurity��,了解對手的運(yùn)作方式并能夠預(yù)測他們的行為以及他們?nèi)绾坞S著時間的推移改變TTP比了解對方是誰更重要��。
“假設(shè)你已經(jīng)阻止了一次攻擊并對其進(jìn)行了補(bǔ)救或遏制——如果他們以不同的方式攻擊你�,你如何保證你能夠再次阻止它們?做到這一點(diǎn)的最好方法是獲得一定程度的知識�����,”羅尼斯補(bǔ)充道�����。
交叉核對數(shù)據(jù)
為獲得這些知識���,Mandiant的EMEA高級威脅情報顧問Jamie Collier解釋說:CTI分析師首先需要與事件響應(yīng)團(tuán)隊(duì)攜手合作�,以確定兩種類型的數(shù)據(jù):“犯罪現(xiàn)場”的證據(jù)(誰已經(jīng)攻擊的目標(biāo)����、第三方訪問了哪些設(shè)備、系統(tǒng)的哪個部分已被感染��、妥協(xié)指標(biāo)(IOC)是什么等)���,以及有關(guān)肇事者的情報(他們的TTP是什么����,使用什么工具他們正在使用���,他們正在使用什么基礎(chǔ)設(shè)施���,攻擊的復(fù)雜程度是什么,他們的動機(jī)是什么�,等等)。
其次���,他們開始將這些點(diǎn)與他們擁有的威脅情報數(shù)據(jù)結(jié)合起來��。
根據(jù)Group-IB的對手情報研究負(fù)責(zé)人Feixiang He的說法����,這些數(shù)據(jù)包括:
1.由數(shù)字取證和事件響應(yīng)專家或托管擴(kuò)展和響應(yīng)(XDR)解決方案收集的第一手攻擊指標(biāo)����;
2.專有遙測�����;
3.網(wǎng)絡(luò)安全社區(qū)報告和共享的攻擊技術(shù)數(shù)據(jù)���,包括威脅報告;
4.CTI 團(tuán)隊(duì)發(fā)現(xiàn)的威脅參與者的活動�����,例如地下論壇的討論���、非法交易���、招聘以及有關(guān)個人偏好的信息(政治、語言���、時區(qū)……)���;
5.開源信息;
6.執(zhí)法部門可用的閉源財務(wù)信息�。
“CTI團(tuán)隊(duì)交叉檢查來自各種攻擊和操作的數(shù)據(jù)����,以揭示相似性和模式�����。當(dāng)為一組案例獲得足夠的知識時�����,CTI團(tuán)隊(duì)將根據(jù)給定的配置文件組織這些發(fā)現(xiàn)�,并為其指定代號�,”何說。
這個代號由組合標(biāo)識元素組成����,這些元素指的是威脅行為者使用的 TTP、他們的動機(jī)��、目標(biāo)或他們所謂的來源����,具體取決于供應(yīng)商的政策和命名約定。
臨時歸因
雖然每個供應(yīng)商都有自己的歸因流程�,但有一個共同點(diǎn):可能需要數(shù)月甚至數(shù)年時間才能確定攻擊或一系列網(wǎng)絡(luò)事件背后的特定威脅組���。
這篡改了受害者歸因的好處,使得在短期事件響應(yīng)中難以對CTI洞察采取行動����。
克服這一挑戰(zhàn)的解決方法之一是使用臨時命名代碼。例如���,Mandiant首先將“未分類”(或 UNC)代號歸因于一組威脅活動�。然后�,當(dāng)他們更多地了解誰是活動的幕后黑手時,他們可以轉(zhuǎn)移到一個“臨時”代號——TEMP——然后給它一個明確的身份����,一個國家行為者的高級持續(xù)威脅(APT)號碼和如果他們有經(jīng)濟(jì)動機(jī),則提供財務(wù)編號(FIN)�。
例如,名為UNC902的威脅活動隨后被歸因于TEMP.Warlock����,他最終被代號為FIN11的Mandiant追蹤。
微軟使用類似的流程����,為尚未完全識別的威脅活動集群分配一個臨時的DEV編號����,代表“開發(fā)組”�。
貓捉老鼠的游戲
CTI 分析師面臨的另一個挑戰(zhàn)是選擇合適的時間發(fā)布他們的調(diào)查結(jié)果,以及分享多少��。
“公共威脅報告的不利之處在于�����,威脅行為者通過改變他們的策略��、工具集和基礎(chǔ)設(shè)施來學(xué)習(xí)跟蹤技術(shù)并開展反情報活動。其中一些可以非?���?焖俚卣{(diào)整和修復(fù)錯誤�����,”Group-IB 的何說�����。
對于 Mandiant 的 Collier 來說���,無論威脅報告與否��,威脅行為者越來越多地這樣做����。
ReliaQuest 的高級網(wǎng)絡(luò)威脅情報分析師 Chris Morgan 告訴 Infosecurity,“由于網(wǎng)絡(luò)犯罪分子對他們的所作所為和他們想要的東西更加無禮�,而國家團(tuán)體更加隱蔽,因此更難將國家贊助的歸因于 網(wǎng)絡(luò)攻擊比出于經(jīng)濟(jì)動機(jī)的攻擊����,”
然而,這種威脅格局現(xiàn)在已經(jīng)發(fā)生了很大變化��,Collier 認(rèn)為:“網(wǎng)絡(luò)歸因的最大轉(zhuǎn)變是勒索軟件團(tuán)體的出現(xiàn)?�,F(xiàn)在����,這是一個更加流動的犯罪生態(tài)系統(tǒng),團(tuán)伙合并和解散及產(chǎn)生的威脅反反復(fù)復(fù)��。”
他同意并補(bǔ)充說�����,勒索軟件組織多年來引入和完善的網(wǎng)絡(luò)犯罪即服務(wù)商業(yè)模式意味著“如今數(shù)字犯罪非常相互關(guān)聯(lián)。”
此外��,勒索軟件團(tuán)體設(shè)法造成的混亂似乎影響了國家的威脅行為者��,他們現(xiàn)在“傾向于模仿彼此的行為����,以使 CTI 研究人員偏離正軌,”何說�����。
“例如���,據(jù)信起源于朝鮮的 Lazarus 在旨在代理網(wǎng)絡(luò)流量的模塊中添加了特定的調(diào)試符號和包含俄語單詞的字符串。”
結(jié)果����,歸因變得更加耗時,但也“更快過期�����。這意味著威脅情報用戶也需要更快地得到服務(wù)。這就是為什么我們現(xiàn)在傾向于跳過‘臨時’步驟��,直接從 UNC 跳到最終鑒定���,”Collier 指出���。
烏克蘭戰(zhàn)爭加速了具有不同動機(jī)的威脅行為者之間重疊的增加,這可能會對改變網(wǎng)絡(luò)事件的歸因方式產(chǎn)生影響�����。
等保測評咨詢
