埋頭于電子取證分析,期望挖掘出攻擊者身份并起訴之的人,往往會發現花在攻擊歸因溯源上的時間毫無收獲。但是,如果他們的目的,換成利用攻擊溯源所得,指導從預防到響應的整個安全規程,那么歸因溯源的努力就會產出豐厚回報。
業內很多專家都被問過:歸因溯源真的有什么價值嗎?SafeBreach共同創始人兼CEO伊特茲克·科特勒曾經說過:“歸因溯源本身唯一有趣的地方,就是將信息分類存放,然后一次又一次地利用。”
科特勒舉了個例子,假設CNN被某國黑了,有沒有人能證明是某國人干的并不重要,但能不能公開說我們認為攻擊來自中國才是關鍵。
為創建強大的防御,安全團隊需要學習更多攻擊策略。攻擊知識可轉換成防御優勢,團隊可以在攻擊發生前嘗試新工具新技術,確定這些工具是不是真的有效。網絡防御者需要知道對手是誰,才能不局限在已知漏洞中而放過其他的問題。如果能夠做到積極主動且有預見性,就能更好地控制后果。
鑒于攻擊歸因溯源太過困難,有些人,比如Dragos創始人兼CEO羅伯特·M·李,則持反對意見,他認為“技術性威脅情報層面上真正的歸因溯源,只會對良好的安全實踐造成傷害。”
其博客文章《追尋和避免網絡攻擊真正歸因溯源的幾個問題》中寫道:“該歸因溯源,可致分析師因認知偏差而做出誤導性假設。”
該分析極端依賴人類思考過程,會把我們引向不恰當的結論。如今,我們的分析師不是保持開放性思維并在網絡上搜索威脅,而是淪為了確認偏差的犧牲品,根據自己最初的假設來看待數據。
與之相反,火眼威脅情報經理約翰·米勒稱:“只要能采取行動,就是有價值的。歸因溯源可使安全團隊了解攻擊者的意圖,也就能采取合適的對策。”
對于當前發生的事情,無論安全團隊掌握的線索是相對集中還是漫無目的,知道誰該為攻擊負責,依然有助于更好地挖掘表面之下的攻擊。
就拿 Cobalt Strike 做例子吧。這是個滲透測試員使用的工具,但也可以在市面上買到,誰都知道有很多攻擊者也使用該工具。“網絡防御者發現 Cobalt Strike,僅僅說明網絡中有惡意活動正在進行,除此之外什么都說明不了。”
但是,如果該工具與 Fin7 聯系起來,他們就可以進一步搜索銷售終端惡意軟件和其他 Fin7 特定工具——盡管尚未檢測到。知道攻擊者身份,可以指示還應該查看什么,以及應該采取的其他措施。
提供不了任何行動機會,那歸因溯源就沒用,不能以有意義的方式賦予防御者跟進的能力。
因為很多公司都忘卻了是什么讓歸因溯源有價值,也不知道自己能用歸因干什么,他們就變得十分懷疑。“人們傾向于喜歡自己熟悉的東西,尤其是那些技術上不太懂的人。“
他們把攻擊歸因看做了解攻擊者的一種方式,要不就在對歸因信息通途毫無概念的情況下通過內部能力來歸因。
任何一家公司,每天處理的大量事件,并非都是那么重要,根本不值得花費那么多時間。
難點在于分辨出真正重要的東西,找出能利用歸因線索所做的事。
白帽安全威脅研究中心副總裁瑞恩·奧利阿里也贊同此觀點。他認為,只有在能對漏洞進行優先級劃分的情況下,歸因才有效果。
“一家企業,如果想要修復漏洞,要是知道是誰在攻擊,那么漏洞優先級確定會稍微容易一點。”
大面上來說,歸因溯源真沒什么用,因為只要企業有漏洞,攻擊者就有入口點。
但是,如果企業知道有人想對自己來次DDoS,那就可能會加固一下服務器。這里,歸因確實起到了作用,幫助企業確定了該優先做什么。
鑒于有些網絡罪犯挺懶,他們很可能就用簡單易用的已知漏洞了。歸因可為安全團隊提供識別漏洞所需的信息,方便他們修復。
“他們可以將錢花在修復漏洞上,而不是去做趨勢分析和查找誰要攻擊他們。這就是個減小攻擊界面的活兒。”
當歸因被用于防御和優先化,其價值可以很大。“如果目標是用于攻擊,用于追捕攻擊者,那還真起不到多大作用。這些人往往身處起訴不了的地方。人們總想以各種方式使用數據,但某些情況下,并沒有什么意義。”
盡管圍繞攻擊歸因有著許多爭論與挑戰,Guidance首席執行官帕特里克·丹尼斯,認為其中蘊含有極大價值,尤其是在整個安全產業領域。
“我們可以從攻擊源頭處了解到很多東西,無論是1級攻擊者,還是使用改造版老零日漏洞的2級攻擊者,對整個安全行業來說,在攻擊趨勢發現上都有極大好處。”
好吧,分析師們可以誤解,也不用達成什么共識,統一思想這事兒在有些人看來就是浪費時間,但歸因確實不是什么普適解決方案。
不用歸因每個攻擊,但還是有那么一類攻擊值得識別。就像不追查殺人犯是不可接受的一樣,但如果我們不找出大規模攻擊的出處,同樣不可接受。
歸因為攻擊者分類,“有助于確定是誰在執行攻擊,他們的能力有多大,他們有什么資源,這樣我們也就對下一步應采取什么行動有了底。這還有助于決定要不要牽涉進司法部門或者FBI。”
理想情況下,業內會共享歸因信息,以便形成合力,更好地對抗攻擊;就像司法機構聯合辦案偵破現實犯罪一樣。
京公網安備 11010502049343號