Πώς να προσδιορίσετε έναν εχθρό στον κυβερνοχώρο: Πρότυπα απόδειξης

ΣΧΟΛΙΑΣΜΟΣ

Μέρος πρώτο ενός άρθρου δύο μερών.

Στην ασφάλεια στον κυβερνοχώρο, η απόδοση αναφέρεται στον εντοπισμό ενός αντιπάλου (όχι μόνο του προσώπου) που είναι πιθανόν υπεύθυνος για κακόβουλη δραστηριότητα. Συνήθως προκύπτει από τη συλλογή πολλών τύπων πληροφοριών, συμπεριλαμβανομένων τακτικών ή τελικών πληροφοριών, αποδεικτικών στοιχείων από ιατροδικαστικές εξετάσεις και δεδομένων από τεχνικές ή ανθρώπινες πηγές. Είναι το συμπέρασμα μιας εντατικής, δυνητικά πολυετούς έρευνας και ανάλυσης. Οι ερευνητές πρέπει να εφαρμόζουν αυστηρή τεχνική και αναλυτική αυστηρότητα μαζί με ήπιες επιστήμες, καθώς η συμπεριφορική ανάλυση τείνει να κερδίζει την ημέρα.

απόδοση και την δημόσια αποκάλυψη της απόδοσης δεν είναι το ίδιο πράγμα. Το Attribution είναι ο προσδιορισμός ενός πιθανού αντιπάλου οργανισμού, συνεργασίας και παράγοντα. Η απόφαση να αποκαλυφθεί δημόσια αυτή η απόδοση —μέσω κατηγοριών, κυρώσεων, εμπάργκο ή άλλων ενεργειών εξωτερικής πολιτικής— είναι ένα επιθυμητό αποτέλεσμα και όργανο εθνικής ισχύος.

Ένα παράδειγμα είναι Η έκθεση APT1 της Mandiant το 2013, η οποία απέδωσε την επίθεση στην κινεζική κυβέρνηση, ακολουθούμενη από κατηγορίες του Υπουργείου Δικαιοσύνης (DoJ) των παραγόντων της APT1 και ελιγμούς εξωτερικής πολιτικής του Υπουργείου Εξωτερικών των ΗΠΑ κατά της κινεζικής κυβέρνησης. Αυτές οι δημόσιες αποκαλύψεις ήταν εξαιρετικά αποτελεσματικές βοηθώντας τον κόσμο να συνειδητοποιήσει τους κινδύνους της κυβερνοκατασκοπείας από το Κινεζικό Κομμουνιστικό Κόμμα. Η απόδοση αυτών των δραστηριοτήτων ήταν χρόνια υπό κατασκευή. Τα κατηγορητήρια και οι πολιτικοί ελιγμοί - η δημόσια αποκάλυψη - ήταν όργανα εθνικής εξουσίας.

Πρότυπα απόδειξης

Όταν αποδίδεται ένα περιστατικό στον κυβερνοχώρο σε έναν παράγοντα απειλής, υπάρχουν πολλά πρότυπα μηχανισμών απόδειξης. Ένα στοιχείο απόδοσης — και ιδιαίτερα όταν αποφασίζετε πώς να ενεργήσετε με βάση τα αποτελέσματα της ανάλυσής σας — είναι η κατανόηση της σημασίας των επιπέδων εμπιστοσύνης και των δηλώσεων πιθανότητας.

Πρότυπα Νοημοσύνης

Στην κοινότητα πληροφοριών, Οδηγία για την Κοινότητα Πληροφοριών 203 (ICD 203) παρέχει μια τυπική διαδικασία για την εκχώρηση επιπέδων εμπιστοσύνης και την ενσωμάτωση δηλώσεων πιθανότητας στις κρίσεις. Οι δηλώσεις πιθανότητας του ICD 203 είναι:

Τα επίπεδα εμπιστοσύνης στο ICD 203 εκφράζονται ως Χαμηλή, Μέτρια (Μέτρια) και Υψηλή. Για να αποφευχθεί η σύγχυση, οι δηλώσεις πιθανότητας και τα επίπεδα εμπιστοσύνης δεν πρέπει να συνδυάζονται στην ίδια πρόταση. Υπάρχει πολλή συζήτηση σχετικά με τη χρήση αυτών των δηλώσεων για την εκτίμηση της πιθανότητας να συμβεί ένα συμβάν, σε αντίθεση με την ανάθεση ευθύνης για ένα γεγονός που έχει ήδη συμβεί (δηλαδή, απόδοση).

Δικαστικά Πρότυπα

Ένας άλλος παράγοντας είναι ότι οι αξιολογήσεις πληροφοριών δεν χρησιμοποιούν το ίδιο πρότυπο απόδειξης με τους κανόνες αποδεικτικών στοιχείων στη δικαστική διαδικασία. Επομένως, οι ροές εργασίας που οδηγούν στην απαγγελία κατηγοριών είναι διαφορετικές. Σε δικαστικούς όρους, υπάρχουν τρία πρότυπα:

Το είδος του δικαστικού συστήματος (αστικό ή ποινικό) καθορίζει το επίπεδο των αποδείξεων που χρειάζεστε για να υποστηρίξετε την υπόθεσή σας. Το FBI, ως υπηρεσία πληροφοριών και υπηρεσία επιβολής του νόμου, μπορεί να χρειαστεί να χρησιμοποιήσει πρότυπα πληροφοριών, το δικαστικό σύστημα ή και τα δύο. Εάν μια υπόθεση εθνικής ασφάλειας καταλήξει σε δίωξη, το Υπουργείο Δικαιοσύνης πρέπει να μετατρέψει τις κρίσεις πληροφοριών σε δικαστικά πρότυπα απόδειξης (δεν είναι εύκολη υπόθεση).

Τεχνικά πρότυπα

Υπάρχουν επίσης τεχνικοί δείκτες που σχετίζονται με την απόδοση. Οι δείκτες πρέπει να αξιολογούνται και να αξιολογούνται συνεχώς ως προς τη συνάφεια (επιμέλεια) καθώς έχουν χρόνο ημιζωής. Διαφορετικά, θα περάσετε τον περισσότερο χρόνο σας κυνηγώντας ψευδώς θετικά. Ακόμη χειρότερα, εάν δεν εφαρμοστούν σωστά, οι δείκτες μπορούν να δημιουργήσουν ψευδώς αρνητικές νοοτροπίες («δεν βρέθηκαν δείκτες, πρέπει να είμαστε εντάξει»). Κατά συνέπεια, ένας δείκτης χωρίς πλαίσιο είναι συχνά άχρηστος, καθώς ένας δείκτης σε ένα περιβάλλον μπορεί να μην βρεθεί σε άλλο.

Ένας καλός τύπος είναι: 1) μια έρευνα παράγει τεχνουργήματα, 2) τα τεχνουργήματα παράγουν δείκτες, 3) το πλαίσιο είναι δείκτες που συνοδεύονται από αναφορές, 4) το σύνολο των δεικτών μπορεί να επισημάνει τακτικές, τεχνικές και διαδικασίες (TTP) και 5) πολλαπλές Τα TTP εμφανίζουν μοτίβο απειλών με την πάροδο του χρόνου (καμπάνιες). Όταν είναι δυνατόν, οι πληροφορίες επίθεσης θα πρέπει να κοινοποιούνται γρήγορα.

Γιατί είναι σημαντική η απόδοση

Πρόσφατα, ένας φίλος με ρώτησε γιατί έχει σημασία η απόδοση. Λοιπόν, αν το σπίτι σας έσπασαν τυχαία, αυτό είναι ένα πράγμα, αλλά αν ήταν ο γείτονάς σας, αυτό είναι εντελώς διαφορετικό! Ο τρόπος με τον οποίο προστατεύω το σπίτι ή το δίκτυό μου θα αλλάξει ανάλογα με το ποιος εισέβαλε.

Οι οργανισμοί που δεν ενδιαφέρονται ποιος είναι υπεύθυνος για ένα περιστατικό στον κυβερνοχώρο και θέλουν απλώς να επιστρέψουν στο διαδίκτυο είναι πιο πιθανό να γίνουν συχνά θύματα. Κάθε ώριμος οργανισμός με περίπλοκες διαδικασίες, ένστικτο επιβίωσης και που νοιάζεται για τους υπαλλήλους του θα κάνει το επιπλέον βήμα για να δημιουργήσει κοινή επίγνωση της κατάστασης, ειδικά αν ο αντίπαλος επιστρέφει επανειλημμένα. Μια εταιρεία μπορεί να αμυνθεί καλύτερα από μελλοντική επιθετικότητα εάν γνωρίζει 1) γιατί δέχτηκε επίθεση, 2) την πιθανότητα να επιστρέψει ο επιτιθέμενος, 3) τους στόχους του επιτιθέμενου και 4) τα TTP του επιτιθέμενου. Το να γνωρίζετε ποιος διέπραξε μια επίθεση μπορεί επίσης να βοηθήσει στην άρση της αβεβαιότητας και να σας βοηθήσει να συμβιβαστείτε με το γιατί συνέβη.

Στο δεύτερο μέρος αυτού του άρθρου, που θα έρθει αργότερα αυτή την εβδομάδα, θα συζητήσω τις βασικές μεθόδους που εμπλέκονται στην απόδοση ενός συμβάντος σε έναν παράγοντα απειλής.

• SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
• PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
• PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
• PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
• PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
• πηγή: https://www.darkreading.com/cyberattacks-data-breaches/how-to-identify-cyber-adversary-standards-of-proof