Sådan identificeres en cybermodstander: Bevisstandarder

KOMMENTAR

Første del af en artikel i to dele.

I cybersikkerhed refererer tilskrivning til at identificere en modstander (ikke kun den person), der sandsynligvis er ansvarlig for ondsindet aktivitet. Det er typisk afledt af at samle mange typer oplysninger, herunder taktiske eller færdige efterretninger, beviser fra retsmedicinske undersøgelser og data fra tekniske eller menneskelige kilder. Det er konklusionen på en intensiv, potentielt flerårig undersøgelse og analyse. Efterforskere skal anvende streng teknisk og analytisk stringens sammen med bløde videnskaber, da adfærdsanalyse har en tendens til at vinde dagen.

Attribution og offentlig offentliggørelse af tilskrivning er ikke det samme. Attribution er identifikation af en potentiel modstanderorganisation, tilknytning og aktør. Beslutningen om at afsløre denne tilskrivelse offentligt - gennem anklager, sanktioner, embargoer eller andre udenrigspolitiske handlinger - er et ønsket resultat og et redskab for national magt.

Et eksempel er Mandiants APT1-rapport i 2013, som tilskrev angrebet den kinesiske regering, efterfulgt af Justitsministeriets (DoJ) anklager mod APT1-aktørerne og det amerikanske udenrigsministeriums udenrigspolitiske manøvrer mod den kinesiske regering. Disse offentlige afsløringer var yderst effektive til at hjælpe verden med at indse farerne ved det kinesiske kommunistpartis cyberspionage. Tilskrivning af disse aktiviteter var mange år undervejs. Anklagerne og de politiske manøvrer - den offentlige afsløring - var instrumenter for national magt.

Standarder for bevis

Når man tilskriver en cyberhændelse til en trusselsaktør, er der flere standarder for bevismekanismer på spil. Et element i tilskrivning - og især når man beslutter sig for, hvordan man skal handle ud fra resultaterne af din analyse - er at forstå vigtigheden af ​​konfidensniveauer og sandsynlighedsudsagn.

Efterretningsstandarder

I efterretningssamfundet, efterretningsfællesskabsdirektiv 203 (ICD 203) giver en standardproces til at tildele konfidensniveauer og inkorporere sandsynlighedsudsagn i vurderinger. ICD 203's sandsynlighedsudsagn er:

Konfidensniveauer i ICD 203 er udtrykt som Lav, Medium (Moderat) og Høj. For at undgå forvirring må sandsynlighedsudsagn og konfidensniveauer ikke kombineres i samme sætning. Der er megen debat om at bruge disse udsagn til at estimere sandsynligheden for, at en begivenhed finder sted, i modsætning til at tildele ansvar for en begivenhed, der allerede har fundet sted (dvs. tilskrivning).

Retlige standarder

En anden faktor er, at efterretningsvurderinger ikke anvender samme bevisstandard som bevisreglerne i retsprocessen. Derfor er de arbejdsstrømme, der fører til tiltale, forskellige. I retlige termer er der tre standarder:

Typen af ​​retssystem (civilt eller kriminelt) bestemmer det bevisniveau, du skal bruge for at understøtte din sag. FBI, der både er et efterretningsagentur og et retshåndhævende organ, skal muligvis bruge efterretningsstandarder, retssystemet eller begge dele. Hvis en national sikkerhedssag resulterer i en tiltale, skal DoJ konvertere efterretningsdomme til retslige bevisstandarder (ingen let opgave).

Tekniske standarder

Der er også tekniske indikatorer relateret til tilskrivning. Indikatorer skal vurderes og konstant evalueres for relevans (kurateres), da de har en halveringstid; ellers vil du bruge det meste af din tid på at jage falske positiver. Endnu værre, hvis de ikke implementeres korrekt, kan indikatorer producere falsk-negative tankegange ("ingen indikatorer fundet, vi må være OK"). En indikator uden kontekst er derfor ofte ubrugelig, da en indikator i et miljø måske ikke findes i et andet.

En god formel er: 1) en undersøgelse producerer artefakter, 2) artefakter producerer indikatorer, 3) kontekst er indikatorer ledsaget af rapportering, 4) helheden af ​​indikatorerne kan fremhæve taktikker, teknikker og procedurer (TTP'er) og 5) flere TTP'er viser trusselsmønstre over tid (kampagner). Når det er muligt, bør angrebsoplysninger deles hurtigt.

Hvorfor tilskrivning er vigtig

For nylig spurgte en ven mig, hvorfor tilskrivning betyder noget. Tja, hvis dit hus blev brudt ind tilfældigt, er det én ting, men hvis det var din nabo, er det helt anderledes! Hvordan jeg beskytter mit hjem eller netværk vil ændre sig afhængigt af, hvem der brød ind.

Organisationer, der er ligeglade med, hvem der er ansvarlig for en cyberhændelse og blot ønsker at komme online igen, er mere tilbøjelige til at blive hyppige ofre. Enhver moden organisation med sofistikerede processer, et overlevelsesinstinkt og som bekymrer sig om deres medarbejdere, vil gå det ekstra skridt for at skabe fælles situationsbevidsthed, især hvis modstanderen vender tilbage gentagne gange. En virksomhed kan bedre forsvare sig mod fremtidig aggression, hvis de ved 1) hvorfor de blev angrebet, 2) sandsynligheden for at angriberen vender tilbage, 3) angriberens mål og 4) angriberens TTP'er. At vide, hvem der har udført et angreb, kan også hjælpe med at fjerne usikkerhed og hjælpe dig med at komme overens med, hvorfor det skete.

I anden del af denne artikel, der kommer senere på ugen, vil jeg diskutere de vigtigste metoder, der er involveret i at tilskrive en begivenhed til en trusselsaktør.

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/cyberattacks-data-breaches/how-to-identify-cyber-adversary-standards-of-proof