Kuinka tunnistaa kybervastustaja: Todistusstandardit

KOMMENTIT

Ensimmäinen osa kaksiosaisesta artikkelista.

Kyberturvassa attribuutio viittaa vihollisen (ei vain henkilön) tunnistamiseen, joka on todennäköisesti vastuussa haitallisesta toiminnasta. Se saadaan tyypillisesti keräämällä monenlaisia ​​tietoja, mukaan lukien taktiset tai valmiit tiedustelutiedot, oikeuslääketieteellisten tutkimusten todisteet sekä teknisistä tai inhimillisistä lähteistä peräisin olevat tiedot. Se on intensiivisen, mahdollisesti monivuotisen tutkimuksen ja analyysin päätelmä. Tutkijoiden on noudatettava tiukkaa teknistä ja analyyttistä kurinalaisuutta pehmeiden tieteiden ohella, koska käyttäytymisanalyysillä on taipumus voittaa päivä.

Nimeä ja tekijän julkistaminen eivät ole sama asia. Attribuutio tarkoittaa mahdollisen vastustajaorganisaation, sidossuhteen ja toimijan tunnistamista. Päätös paljastaa tämä syytös julkisesti – syytteiden, sanktioiden, kauppasaartojen tai muiden ulkopoliittisten toimien kautta – on toivottu tulos ja kansallisen vallan väline.

Yksi esimerkki on Mandiantin APT1-raportti vuonna 2013, mikä katsoi hyökkäyksen Kiinan hallituksen syyksi, mitä seurasi Department of Justice (DoJ) syytteet APT1:n toimijoille ja Yhdysvaltain ulkoministeriön ulkopoliittiset liikkeet Kiinan hallitusta vastaan. Nämä julkiset tiedot auttoivat maailmaa ymmärtämään Kiinan kommunistisen puolueen kybervakoilun vaarat erittäin tehokkaasti. Näiden toimintojen kohdistaminen oli vuosia tekeillä. Syytteet ja poliittiset liikkeet – julkistaminen – olivat kansallisen vallan välineitä.

Todistuksen standardit

Kun kybervälikohtaus luetaan uhkatekijän syyksi, käytössä on useita todistusmekanismien standardeja. Yksi tekijä attribuutiossa – ja erityisesti päätettäessä, kuinka toimia analyysisi tulosten perusteella – on luottamustasojen ja todennäköisyyslausuntojen tärkeyden ymmärtäminen.

Intelligence Standards

Tiedustelupalveluissa tiedusteluyhteisödirektiivi 203 (ICD 203) tarjoaa vakioprosessin luottamustasojen määrittämiseen ja todennäköisyyslausekkeiden sisällyttämiseen tuomioihin. ICD 203:n todennäköisyyslausekkeet ovat:

ICD 203:n luottamustasot ilmaistaan ​​matalana, keskitasoisena (kohtalainen) ja korkeana. Sekaannusten välttämiseksi todennäköisyyslausekkeita ja luottamustasoja ei saa yhdistää samaan lauseeseen. On paljon keskustelua näiden lausuntojen käyttämisestä tapahtuman todennäköisyyden arvioimiseen, toisin kuin vastuun osoittamisesta jo tapahtuneesta tapahtumasta (eli attribuutio).

Oikeudelliset standardit

Toinen tekijä on se, että tiedustelutietojen arvioinnissa ei käytetä samaa todistusstandardia kuin todistelusäännöissä tuomioistuimessa. Siksi syytteeseen johtavat työvirrat ovat erilaisia. Oikeudellisella tasolla on kolme standardia:

Tuomioistuinjärjestelmän tyyppi (siviili- tai rikosoikeudellinen) määrittää, kuinka paljon todisteita sinun on tuettava tapauksesi. FBI, joka on sekä tiedustelu- että lainvalvontavirasto, saattaa joutua käyttämään tiedustelustandardeja, oikeusjärjestelmää tai molempia. Jos kansallista turvallisuutta koskeva tapaus johtaa syytteeseen, oikeusministeriön on muutettava tiedustelupäätökset oikeudellisiksi todisteiksi (ei helppo tehtävä).

Tekniset standardit

Myös attribuutioon liittyvät tekniset indikaattorit. Indikaattorien relevanssia on arvioitava ja jatkuvasti arvioitava (kuroitu), koska niillä on puoliintumisaika; muuten vietät suurimman osan ajasta väärien positiivisten tulosten metsästämiseen. Vielä pahempaa, jos indikaattoreita ei toteuteta kunnolla, ne voivat tuottaa vääriä negatiivisia ajatuksia ("indikaattoreita ei löydy, meidän on oltava kunnossa"). Näin ollen ilmaisin ilman kontekstia on usein hyödytöntä, koska indikaattoria yhdessä ympäristössä ei välttämättä löydy toisesta.

Hyvä kaava on: 1) tutkimus tuottaa artefakteja, 2) artefaktit tuottavat indikaattoreita, 3) konteksti on indikaattoreita, joihin liittyy raportointi, 4) indikaattoreiden kokonaisuus voi korostaa taktiikoita, tekniikoita ja menettelytapoja (TTP) ja 5) useita TTP:t näyttävät uhkakuvioita ajan myötä (kampanjat). Jos mahdollista, hyökkäystiedot tulee jakaa nopeasti.

Miksi nimeäminen on tärkeää

Äskettäin ystäväni kysyi minulta, miksi vaikuttamisella on merkitystä. No, jos taloosi murtauduttiin sattumanvaraisesti, se on yksi asia, mutta jos se oli naapurisi, se on täysin eri asia! Kotini tai verkkoni suojaaminen vaihtelee sen mukaan, kuka murtautui sisään.

Organisaatiot, jotka eivät välitä siitä, kuka on vastuussa kybervälikohtauksesta ja haluavat vain palata verkkoon, joutuvat todennäköisemmin uhreiksi. Jokainen kypsä organisaatio, jolla on kehittyneitä prosesseja, selviytymisvaisto ja joka välittää työntekijöistään, ottaa ylimääräisen askeleen luodakseen yhteisen tilannetietoisuuden, varsinkin jos vastustaja palaa toistuvasti. Yritys pystyy paremmin puolustautumaan tulevaa aggressiota vastaan, jos se tietää 1) miksi sen kimppuun hyökättiin, 2) hyökkääjän paluutodennäköisyys, 3) hyökkääjän maalit ja 4) hyökkääjän TTP:t. Hyökkäyksen tekijän tietäminen voi myös poistaa epävarmuuden ja auttaa sinua ymmärtämään, miksi se tapahtui.

Tämän artikkelin toisessa osassa, joka tulee myöhemmin tällä viikolla, käsittelen keskeisiä menetelmiä, jotka liittyvät tapahtuman liittämiseen uhkatoimijaan.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• Lähde: https://www.darkreading.com/cyberattacks-data-breaches/how-to-identify-cyber-adversary-standards-of-proof