פַּרשָׁנוּת
חלק ראשון מתוך מאמר בן שני חלקים.
באבטחת סייבר, ייחוס מתייחס לזיהוי יריב (לא רק הפרסונה) שכנראה אחראי לפעילות זדונית. זה נגזר בדרך כלל מאיסוף סוגים רבים של מידע, כולל מידע מודיעיני טקטי או מוגמר, ראיות מבדיקות משפטיות ונתונים ממקורות טכניים או אנושיים. זוהי המסקנה של חקירה וניתוח אינטנסיבית, שעלולה להיות רב שנתית. על החוקרים ליישם קפדנות טכנית ואנליטית קפדנית יחד עם מדעים רכים, שכן ניתוח התנהגותי נוטה לנצח.
ייחוס ו חשיפה פומבית של ייחוס אינם אותו דבר. ייחוס הוא זיהוי של ארגון יריב פוטנציאלי, שיוך ושחקן. ההחלטה לחשוף את הייחוס הזה בפומבי - באמצעות כתבי אישום, סנקציות, אמברגו או פעולות אחרות של מדיניות חוץ - היא תוצאה רצויה ומכשיר של כוח לאומי.
דוגמה אחת היא דוח APT1 של מנדיאנט בשנת 2013, שייחסה את המתקפה לממשלת סין, ואחריה כתבי אישום של משרד המשפטים (DoJ) נגד שחקני APT1 ותמרוני מדיניות החוץ של משרד החוץ האמריקאי נגד ממשלת סין. גילויים פומביים אלו היו יעילים ביותר בסיוע לעולם להבין את הסכנות של ריגול סייבר על ידי המפלגה הקומוניסטית הסינית. ייחוס הפעילויות הללו היה בהתהוות שנים. כתבי האישום והתמרונים הפוליטיים - החשיפה לציבור - היו כלי כוח לאומי.
תקני הוכחה
כאשר מייחסים אירוע סייבר לשחקן איום, ישנם מספר סטנדרטים של מנגנוני הוכחה במשחק. מרכיב אחד של ייחוס - ובמיוחד כאשר מחליטים כיצד לפעול בהתאם לתוצאות הניתוח שלך - הוא הבנת החשיבות של רמות ביטחון והצהרות הסתברות.
תקני מודיעין
בקהילת המודיעין, הוראת קהילת המודיעין 203 (ICD 203) מספק תהליך סטנדרטי להקצאת רמות אמון ושילוב הצהרות הסתברות בשיפוטים. הצהרות ההסתברות של ICD 203 הן:
-
כמעט אין סיכוי (מרחוק)
-
מאוד לא סביר (מאוד לא סביר)
-
סיכוי שווה בערך (סיכויים שווה בערך)
-
סביר (סביר)
-
סביר מאוד (סביר מאוד)
-
כמעט בטוח (כמעט בטוח)
רמות האמון ב-ICD 203 מתבטאות כנמוכה, בינונית (בינונית) וגבוהה. כדי למנוע בלבול, אסור לשלב הצהרות הסתברות ורמות ביטחון באותו משפט. יש הרבה ויכוחים לגבי השימוש בהצהרות אלה כדי להעריך את הסבירות להתרחשות של אירוע, בניגוד להקצאת אחריות לאירוע שכבר התרחש (כלומר, ייחוס).
תקנים שיפוטיים
גורם נוסף הוא שהערכות מודיעיניות אינן משתמשות בסטנדרט הוכחה זהה לכללי הראיות בהליך שיפוטי. לפיכך, זרמי העבודה המובילים להגשת כתב אישום שונים. במונחים שיפוטיים, ישנם שלושה אמות מידה:
-
ריבוי ראיות
-
הוכחה ברורה ומשכנעת
-
מעבר לכל ספק
סוג מערכת בתי המשפט (אזרחית או פלילית) קובעת את רמת ההוכחה הדרושה לך לתמיכה בתיק שלך. ה-FBI, בהיותו גם סוכנות מודיעין וגם סוכנות אכיפת חוק, עשוי להצטרך להשתמש בתקני מודיעין, במערכת המשפט או בשניהם. אם תיק ביטחון לאומי מוביל להגשת כתב אישום, על משרד המשפטים להמיר פסקי דין מודיעיניים לסטנדרטים שיפוטיים של הוכחה (משימה לא פשוטה).
תקנים טכניים
ישנם גם אינדיקטורים טכניים הקשורים לייחוס. יש להעריך את האינדיקטורים ולהעריך כל הזמן לגבי רלוונטיות (אוצר) שכן יש להם זמן מחצית חיים; אחרת, אתה תבלה את רוב זמנך בחיפוש אחר תוצאות חיוביות שגויות. גרוע מכך, אם הם לא מיושמים כראוי, אינדיקטורים יכולים לייצר חשיבה שלילית שגויה ("לא נמצאו אינדיקטורים, אנחנו חייבים להיות בסדר"). כתוצאה מכך, אינדיקטור ללא הקשר הוא לעתים קרובות חסר תועלת, שכן אינדיקטור בסביבה אחת לא יכול להימצא בסביבה אחרת.
נוסחה טובה היא: 1) חקירה מייצרת חפצים, 2) חפצים מייצרים אינדיקטורים, 3) ההקשר הוא אינדיקטורים המלווים בדיווח, 4) מכלול האינדיקטורים יכולים להדגיש טקטיקות, טכניקות ונהלים (TTPs), ו-5) מספר רב של אינדיקטורים. TTPs מציגים דפוסי איומים לאורך זמן (מסעות פרסום). במידת האפשר, יש לשתף מידע תקיפה במהירות.
מדוע ייחוס חשוב
לאחרונה, חבר שאל אותי למה חשוב לייחוס. ובכן, אם הבית שלך נפרץ באופן אקראי, זה דבר אחד, אבל אם זה היה השכן שלך, זה שונה לגמרי! האופן שבו אני מגן על הבית או הרשת שלי ישתנה בהתאם למי שפרץ.
ארגונים שלא אכפת להם מי אחראי לתקרית סייבר ורק רוצים לחזור לאינטרנט נוטים יותר להפוך לקורבנות תכופים. כל ארגון בוגר עם תהליכים מתוחכמים, אינסטינקט הישרדות ושדואג לעובדים שלו יעשה את הצעד הנוסף כדי ליצור מודעות מצבית משותפת, במיוחד אם היריב חוזר שוב ושוב. חברה יכולה להגן על עצמה טוב יותר מפני תוקפנות עתידית אם היא יודעת 1) מדוע הותקפו, 2) הסבירות שהתוקף יחזור, 3) מטרות התוקף ו-4) ה-TTPs של התוקף. לדעת מי ביצע פיגוע יכול גם לעזור להסיר אי ודאות ולעזור לך להשלים עם הסיבה שזה קרה.
בחלק השני של מאמר זה, שיגיע בהמשך השבוע, אדון בשיטות המפתח הכרוכות בייחוס אירוע לשחקן איום.
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://www.darkreading.com/cyberattacks-data-breaches/how-to-identify-cyber-adversary-standards-of-proof
- :יש ל
- :הוא
- :לֹא
- 1
- 2013
- 203
- 7
- a
- אודות
- נלווה
- לפעול
- פעולות
- פעילויות
- פעילות
- שחקנים
- נגד
- סוכנות
- לאורך
- כְּבָר
- גם
- an
- אנליזה
- אנליטית
- ו
- אחר
- כל
- החל
- ARE
- מאמר
- AS
- מוֹעֳרָך
- הערכות
- At
- לתקוף
- תוקף
- לְהִמָנַע
- מודעות
- בחזרה
- BE
- להיות
- התנהגותי
- להיות
- מוטב
- שניהם
- חסר פרוטה
- שבור
- אבל
- by
- קמפיינים
- CAN
- אשר
- מקרה
- מסוים
- בהחלט
- סיכוי
- שינוי
- סינית
- המפלגה הקומוניסטית הסינית
- מעגל
- אזרחי
- משולב
- איך
- מגיע
- קהילה
- חברה
- לחלוטין
- מסקנה
- אמון
- בלבול
- כתוצאה מכך
- תמיד
- הקשר
- להמיר
- בית דין
- לִיצוֹר
- פלילי
- אוצר
- סייבר
- אבטחת סייבר
- סכנות
- נתונים
- יְוֹם
- דיון
- מחליטים
- החלטה
- מַחלָקָה
- משרד המשפטים
- משרד המשפטים (DoJ)
- תלוי
- נגזר
- רצוי
- קובע
- אחר
- לחשוף
- חשיפה
- לדון
- do
- משרד המשפטים
- דון
- מטה
- e
- קל
- אפקטיבי
- אלמנט
- עובדים
- אַכִיפָה
- סביבה
- במיוחד
- ריגול
- לְהַעֲרִיך
- העריך
- אֲפִילוּ
- אירוע
- עדות
- דוגמה
- ביטא
- נוסף
- גורם
- שקר
- FBI
- בעקבות
- בעד
- זר
- מדיניות החוץ
- משפטי
- נוסחה
- מצא
- תכוף
- חבר
- החל מ-
- עתיד
- לקבל
- Go
- שערים
- טוב
- ממשלה
- קרה
- מתרחש
- יש
- לעזור
- עזרה
- גָבוֹהַ
- להבליט
- מאוד
- עמוד הבית
- בית
- איך
- איך
- HTTPS
- בן אנוש
- ציד
- i
- ICON
- הזדהות
- לזהות
- זיהוי
- if
- יושם
- חשיבות
- חשוב
- בלתי אפשרי
- in
- תקרית
- כולל
- שילוב
- אינדיקטור
- אינדיקטורים
- כתב האישום
- מידע
- מכשיר
- מכשירים
- מוֹדִיעִין
- אל תוך
- חקירה
- חוקרים
- מעורב
- IT
- עצמו
- jpg
- פסקי דין
- משפט
- רק
- שופט
- מפתח
- לדעת
- יודע
- מאוחר יותר
- חוק
- אכיפת החוק
- מוביל
- רמה
- רמות
- סְבִירוּת
- סביר
- מגרש
- נמוך
- עשייה
- זדוני
- רב
- עניינים
- בוגר
- מאי..
- me
- מנגנוני
- בינוני
- שיטות
- בינוני
- יותר
- רוב
- מספר
- רב שנים
- צריך
- my
- לאומי
- ביטחון לאומי
- כמעט
- צורך
- רשת
- לא
- התרחשה
- קטטה
- of
- לעתים קרובות
- on
- ONE
- באינטרנט
- מִתנַגֵד
- or
- ארגון
- אחר
- אַחֶרֶת
- תוֹצָאָה
- יותר
- חלק
- במיוחד
- צד
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- לְשַׂחֵק
- מדיניות
- פוליטי
- אפשרי
- פוטנציאל
- פוטנציאל
- כּוֹחַ
- מסתבר
- נהלים
- תהליך
- תהליכים
- לייצר
- ייצור
- הוכחה
- כמו שצריך
- להגן
- מספק
- ציבורי
- בפומבי
- מהירות
- להבין
- סביר
- מתייחס
- קָשׁוּר
- מרחוק
- להסיר
- שוב ושוב
- דווח
- אחריות
- אחראי
- תוצאות
- חוזר
- החזרות
- בערך
- כללי
- s
- אותו
- סנקציות
- מדעים
- שְׁנִיָה
- אבטחה
- משפט
- כמה
- משותף
- צריך
- לְהַצִיג
- רך
- מתוחכם
- מקורות
- לבלות
- תֶקֶן
- תקנים
- מדינה
- מחלקת המדינה
- הצהרות
- שלב
- זרמים
- מחמירות
- תמיכה
- הישרדות
- מערכת
- טקטיקה
- המשימות
- טכני
- טכניקות
- נוטה
- מונחים
- זֶה
- השמיים
- המפלגה הקומוניסטית הסינית
- העולם
- שֶׁלָהֶם
- שם.
- לכן
- אלה
- הֵם
- דבר
- זֶה
- השבוע
- אלה
- איום
- שְׁלוֹשָׁה
- דרך
- זמן
- ל
- מִכלוֹל
- סוג
- סוגים
- בדרך כלל
- אי ודאות
- הבנה
- לא סביר
- על
- us
- להשתמש
- חסר תועלת
- באמצעות
- קורבנות
- רוצה
- היה
- we
- שבוע
- טוֹב
- היו
- מתי
- אשר
- מי
- למה
- יצטרך
- לנצח
- עם
- לְלֹא
- תיק עבודות
- עוֹלָם
- גרוע יותר
- שנים
- אתה
- זפירנט