כיצד לזהות יריב סייבר: סטנדרטים של הוכחה

פַּרשָׁנוּת

חלק ראשון מתוך מאמר בן שני חלקים.

באבטחת סייבר, ייחוס מתייחס לזיהוי יריב (לא רק הפרסונה) שכנראה אחראי לפעילות זדונית. זה נגזר בדרך כלל מאיסוף סוגים רבים של מידע, כולל מידע מודיעיני טקטי או מוגמר, ראיות מבדיקות משפטיות ונתונים ממקורות טכניים או אנושיים. זוהי המסקנה של חקירה וניתוח אינטנסיבית, שעלולה להיות רב שנתית. על החוקרים ליישם קפדנות טכנית ואנליטית קפדנית יחד עם מדעים רכים, שכן ניתוח התנהגותי נוטה לנצח.

ייחוס ו חשיפה פומבית של ייחוס אינם אותו דבר. ייחוס הוא זיהוי של ארגון יריב פוטנציאלי, שיוך ושחקן. ההחלטה לחשוף את הייחוס הזה בפומבי - באמצעות כתבי אישום, סנקציות, אמברגו או פעולות אחרות של מדיניות חוץ - היא תוצאה רצויה ומכשיר של כוח לאומי.

דוגמה אחת היא דוח APT1 של מנדיאנט בשנת 2013, שייחסה את המתקפה לממשלת סין, ואחריה כתבי אישום של משרד המשפטים (DoJ) נגד שחקני APT1 ותמרוני מדיניות החוץ של משרד החוץ האמריקאי נגד ממשלת סין. גילויים פומביים אלו היו יעילים ביותר בסיוע לעולם להבין את הסכנות של ריגול סייבר על ידי המפלגה הקומוניסטית הסינית. ייחוס הפעילויות הללו היה בהתהוות שנים. כתבי האישום והתמרונים הפוליטיים - החשיפה לציבור - היו כלי כוח לאומי.

תקני הוכחה

כאשר מייחסים אירוע סייבר לשחקן איום, ישנם מספר סטנדרטים של מנגנוני הוכחה במשחק. מרכיב אחד של ייחוס - ובמיוחד כאשר מחליטים כיצד לפעול בהתאם לתוצאות הניתוח שלך - הוא הבנת החשיבות של רמות ביטחון והצהרות הסתברות.

תקני מודיעין

בקהילת המודיעין, הוראת קהילת המודיעין 203 (ICD 203) מספק תהליך סטנדרטי להקצאת רמות אמון ושילוב הצהרות הסתברות בשיפוטים. הצהרות ההסתברות של ICD 203 הן:

רמות האמון ב-ICD 203 מתבטאות כנמוכה, בינונית (בינונית) וגבוהה. כדי למנוע בלבול, אסור לשלב הצהרות הסתברות ורמות ביטחון באותו משפט. יש הרבה ויכוחים לגבי השימוש בהצהרות אלה כדי להעריך את הסבירות להתרחשות של אירוע, בניגוד להקצאת אחריות לאירוע שכבר התרחש (כלומר, ייחוס).

תקנים שיפוטיים

גורם נוסף הוא שהערכות מודיעיניות אינן משתמשות בסטנדרט הוכחה זהה לכללי הראיות בהליך שיפוטי. לפיכך, זרמי העבודה המובילים להגשת כתב אישום שונים. במונחים שיפוטיים, ישנם שלושה אמות מידה:

סוג מערכת בתי המשפט (אזרחית או פלילית) קובעת את רמת ההוכחה הדרושה לך לתמיכה בתיק שלך. ה-FBI, בהיותו גם סוכנות מודיעין וגם סוכנות אכיפת חוק, עשוי להצטרך להשתמש בתקני מודיעין, במערכת המשפט או בשניהם. אם תיק ביטחון לאומי מוביל להגשת כתב אישום, על משרד המשפטים להמיר פסקי דין מודיעיניים לסטנדרטים שיפוטיים של הוכחה (משימה לא פשוטה).

תקנים טכניים

ישנם גם אינדיקטורים טכניים הקשורים לייחוס. יש להעריך את האינדיקטורים ולהעריך כל הזמן לגבי רלוונטיות (אוצר) שכן יש להם זמן מחצית חיים; אחרת, אתה תבלה את רוב זמנך בחיפוש אחר תוצאות חיוביות שגויות. גרוע מכך, אם הם לא מיושמים כראוי, אינדיקטורים יכולים לייצר חשיבה שלילית שגויה ("לא נמצאו אינדיקטורים, אנחנו חייבים להיות בסדר"). כתוצאה מכך, אינדיקטור ללא הקשר הוא לעתים קרובות חסר תועלת, שכן אינדיקטור בסביבה אחת לא יכול להימצא בסביבה אחרת.

נוסחה טובה היא: 1) חקירה מייצרת חפצים, 2) חפצים מייצרים אינדיקטורים, 3) ההקשר הוא אינדיקטורים המלווים בדיווח, 4) מכלול האינדיקטורים יכולים להדגיש טקטיקות, טכניקות ונהלים (TTPs), ו-5) מספר רב של אינדיקטורים. TTPs מציגים דפוסי איומים לאורך זמן (מסעות פרסום). במידת האפשר, יש לשתף מידע תקיפה במהירות.

מדוע ייחוס חשוב

לאחרונה, חבר שאל אותי למה חשוב לייחוס. ובכן, אם הבית שלך נפרץ באופן אקראי, זה דבר אחד, אבל אם זה היה השכן שלך, זה שונה לגמרי! האופן שבו אני מגן על הבית או הרשת שלי ישתנה בהתאם למי שפרץ.

ארגונים שלא אכפת להם מי אחראי לתקרית סייבר ורק רוצים לחזור לאינטרנט נוטים יותר להפוך לקורבנות תכופים. כל ארגון בוגר עם תהליכים מתוחכמים, אינסטינקט הישרדות ושדואג לעובדים שלו יעשה את הצעד הנוסף כדי ליצור מודעות מצבית משותפת, במיוחד אם היריב חוזר שוב ושוב. חברה יכולה להגן על עצמה טוב יותר מפני תוקפנות עתידית אם היא יודעת 1) מדוע הותקפו, 2) הסבירות שהתוקף יחזור, 3) מטרות התוקף ו-4) ה-TTPs של התוקף. לדעת מי ביצע פיגוע יכול גם לעזור להסיר אי ודאות ולעזור לך להשלים עם הסיבה שזה קרה.

בחלק השני של מאמר זה, שיגיע בהמשך השבוע, אדון בשיטות המפתח הכרוכות בייחוס אירוע לשחקן איום.

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
• PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
• PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
• PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
• מקור: https://www.darkreading.com/cyberattacks-data-breaches/how-to-identify-cyber-adversary-standards-of-proof