COMMENTAAR
Deel één van een tweedelig artikel.
Bij cyberbeveiliging verwijst attributie naar het identificeren van een tegenstander (niet alleen de persona) die waarschijnlijk verantwoordelijk is voor kwaadwillige activiteiten. Het wordt doorgaans afgeleid van het verzamelen van vele soorten informatie, waaronder tactische of voltooide inlichtingen, bewijsmateriaal uit forensische onderzoeken en gegevens uit technische of menselijke bronnen. Het is de conclusie van een intensief, mogelijk meerjarig onderzoek en analyse. Onderzoekers moeten strikte technische en analytische nauwkeurigheid toepassen, samen met zachte wetenschappen, aangezien gedragsanalyse de neiging heeft de overwinning te behalen.
Attribution en openbare bekendmaking van de toeschrijving zijn niet hetzelfde. Attributie is de identificatie van een potentiële vijandige organisatie, affiliatie en actor. Het besluit om die toeschrijving publiekelijk bekend te maken – door middel van aanklachten, sancties, embargo’s of andere acties op het gebied van het buitenlands beleid – is een gewenst resultaat en instrument van de nationale macht.
Een voorbeeld is Mandiant's APT1-rapport in 2013, waarin de aanval aan de Chinese regering werd toegeschreven, gevolgd door aanklachten van het ministerie van Justitie (DoJ) tegen de APT1-actoren en de buitenlandse beleidsmanoeuvres van het Amerikaanse ministerie van Buitenlandse Zaken tegen de Chinese regering. Deze publieke onthullingen waren zeer effectief in het helpen van de wereld om de gevaren van cyberspionage door de Chinese Communistische Partij te beseffen. De toekenning van die activiteiten was al jaren in de maak. De aanklachten en politieke manoeuvres – de publieke onthulling – waren instrumenten van nationale macht.
Bewijsnormen
Bij het toeschrijven van een cyberincident aan een dreigingsactor zijn er verschillende normen voor bewijsmechanismen in het spel. Eén element van attributie – en vooral bij het beslissen hoe te handelen op basis van de resultaten van uw analyse – is het begrijpen van het belang van betrouwbaarheidsniveaus en waarschijnlijkheidsverklaringen.
Intelligentienormen
In de inlichtingengemeenschap is Richtlijn 203 van de inlichtingengemeenschap (ICD 203) biedt een standaardproces voor het toekennen van betrouwbaarheidsniveaus en het opnemen van waarschijnlijkheidsverklaringen in oordelen. De waarschijnlijkheidsverklaringen van de ICD 203 zijn:
-
Bijna geen kans (op afstand)
-
Zeer onwaarschijnlijk (zeer onwaarschijnlijk)
-
Ongeveer even kans (ruwweg even kansen)
-
Waarschijnlijk (waarschijnlijk)
-
Zeer waarschijnlijk (zeer waarschijnlijk)
-
Vrijwel zeker (bijna zeker)
De betrouwbaarheidsniveaus in ICD 203 worden uitgedrukt als Laag, Gemiddeld (Gemiddeld) en Hoog. Om verwarring te voorkomen mogen waarschijnlijkheidsverklaringen en betrouwbaarheidsniveaus niet in dezelfde zin worden gecombineerd. Er is veel discussie over het gebruik van deze uitspraken om de waarschijnlijkheid van een gebeurtenis in te schatten, in tegenstelling tot het toewijzen van de verantwoordelijkheid voor een gebeurtenis die al heeft plaatsgevonden (dat wil zeggen attributie).
Juridische normen
Een andere factor is dat bij inlichtingenbeoordelingen niet dezelfde bewijsstandaard wordt gehanteerd als bij de bewijsregels in gerechtelijke procedures. Daarom zijn de werkstromen die tot een aanklacht leiden verschillend. In juridische termen zijn er drie normen:
-
Overwicht van bewijs
-
Duidelijk en overtuigend bewijs
-
Buiten een redelijke twijfel
Het type rechtssysteem (civiel of strafrecht) bepaalt het bewijsniveau dat u nodig heeft om uw zaak te ondersteunen. De FBI, die zowel een inlichtingendienst als een wetshandhavingsinstantie is, zal mogelijk gebruik moeten maken van inlichtingennormen, het rechtssysteem, of beide. Als een nationale veiligheidszaak tot een aanklacht leidt, moet het DoJ inlichtingenuitspraken omzetten in juridische bewijsnormen (geen gemakkelijke taak).
Technische normen
Er zijn ook technische indicatoren met betrekking tot attributie. Indicatoren moeten worden beoordeeld en voortdurend worden geëvalueerd op relevantie (samengesteld), aangezien ze een halfwaardetijd hebben; anders besteedt u het grootste deel van uw tijd aan het opsporen van valse positieven. Erger nog, als ze niet op de juiste manier worden geïmplementeerd, kunnen indicatoren vals-negatieve denkbeelden veroorzaken (“geen indicatoren gevonden, het moet wel goed komen”). Bijgevolg is een indicator zonder context vaak nutteloos, omdat een indicator in de ene omgeving misschien niet in een andere wordt gevonden.
Een goede formule is: 1) een onderzoek levert artefacten op, 2) artefacten produceren indicatoren, 3) context bestaat uit indicatoren vergezeld van rapportage, 4) het geheel van de indicatoren kan tactieken, technieken en procedures (TTP’s) benadrukken, en 5) meerdere TTP's laten dreigingspatronen in de loop van de tijd zien (campagnes). Indien mogelijk moet aanvalsinformatie snel worden gedeeld.
Waarom attributie belangrijk is
Onlangs vroeg een vriend me waarom attributie belangrijk is. Nou, als er willekeurig in uw huis werd ingebroken, is dat één ding, maar als het uw buurman was, is dat compleet anders! Hoe ik mijn huis of netwerk beveilig, hangt af van wie er heeft ingebroken.
Organisaties die er niet om geven wie verantwoordelijk is voor een cyberincident en gewoon weer online willen gaan, zullen vaker slachtoffer worden. Elke volwassen organisatie met geavanceerde processen, een overlevingsinstinct en die om hun medewerkers geeft, zal een extra stap zetten om gedeeld situationeel bewustzijn te creëren, vooral als de tegenstander herhaaldelijk terugkeert. Een bedrijf kan zichzelf beter verdedigen tegen toekomstige agressie als ze weten 1) waarom ze zijn aangevallen, 2) de waarschijnlijkheid dat de aanvaller terugkeert, 3) de doelen van de aanvaller, en 4) de TTP's van de aanvaller. Weten wie een aanval heeft gepleegd, kan ook helpen de onzekerheid weg te nemen en u te helpen begrijpen waarom de aanval heeft plaatsgevonden.
In het tweede deel van dit artikel, dat later deze week verschijnt, zal ik de belangrijkste methoden bespreken die betrokken zijn bij het toeschrijven van een gebeurtenis aan een dreigingsactor.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/cyberattacks-data-breaches/how-to-identify-cyber-adversary-standards-of-proof
- : heeft
- :is
- :niet
- 1
- 2013
- 203
- 7
- a
- Over
- vergezeld
- Handelen
- acties
- activiteiten
- activiteit
- actoren
- tegen
- agentschap
- langs
- al
- ook
- an
- analyse
- Analytisch
- en
- Nog een
- elke
- Solliciteer
- ZIJN
- dit artikel
- AS
- geëvalueerd
- assessments
- At
- aanvallen
- aanvaller
- vermijd
- bewustzijn
- terug
- BE
- worden
- gedragsproblemen
- wezen
- Betere
- zowel
- Kapot gegaan
- Kapot
- maar
- by
- Campagnes
- CAN
- verzorging
- geval
- zeker
- zeker
- kans
- verandering
- Chinese
- Chinese Communistische Partij
- Circle
- burgerlijk
- gecombineerde
- hoe
- komst
- gemeenschap
- afstand
- compleet
- conclusie
- vertrouwen
- verwarring
- bijgevolg
- permanent
- verband
- converteren
- Rechtbank
- en je merk te creëren
- Crimineel
- curated
- cyber
- Cybersecurity
- gevaren
- gegevens
- dag
- debat
- Beslissen
- beslissing
- afdeling
- Departement van Justitie
- Ministerie van Justitie (DoJ)
- Afhankelijk
- Afgeleid
- gewenste
- bepaalt
- anders
- Openbaren
- onthulling
- bespreken
- do
- DoJ
- don
- beneden
- e
- En het is heel gemakkelijk
- effectief
- element
- medewerkers
- handhaving
- Milieu
- vooral
- spionage
- schatting
- geëvalueerd
- Zelfs
- Event
- bewijzen
- voorbeeld
- uitgedrukt
- extra
- factor
- vals
- fbi
- gevolgd
- Voor
- vreemd
- buitenlandse politiek
- gerechtelijk
- formule
- gevonden
- veelvuldig
- vriend
- oppompen van
- toekomst
- krijgen
- Go
- Doelen
- goed
- Overheid
- gebeurd
- Happening
- Hebben
- hulp
- het helpen van
- Hoge
- Markeer
- zeer
- Home
- Huis
- Hoe
- How To
- HTTPS
- menselijk
- Jacht
- i
- ICON
- Identificatie
- identificeren
- het identificeren van
- if
- geïmplementeerd
- belang
- belangrijk
- Onwaarschijnlijk
- in
- incident
- Inclusief
- opnemen
- Indicator
- indicatoren
- aanklacht
- informatie
- instrument
- instrumenten
- Intelligentie
- in
- onderzoek
- Onderzoekers
- betrokken zijn
- IT
- zelf
- jpg
- oordelen
- gerechtelijk
- voor slechts
- gerechtigheid
- sleutel
- blijven
- Weten
- later
- Wet
- politie
- leidend
- Niveau
- niveaus
- waarschijnlijkheid
- Waarschijnlijk
- lot
- Laag
- maken
- kwaadaardig
- veel
- Zaken
- volwassen
- Mei..
- me
- mechanismen
- Medium
- methoden
- matig
- meer
- meest
- meervoudig
- meerjarig
- Dan moet je
- my
- nationaal
- nationale veiligheid
- bijna
- Noodzaak
- netwerk
- geen
- opgetreden
- Kansen
- of
- vaak
- on
- EEN
- online.
- gekant tegen
- or
- organisatie
- Overige
- anders-
- Resultaat
- over
- deel
- vooral
- feest
- Plato
- Plato gegevensintelligentie
- PlatoData
- Spelen
- beleidsmaatregelen
- politiek
- mogelijk
- potentieel
- mogelijk
- energie
- waarschijnlijk
- procedures
- processen
- produceren
- produceert
- bewijs
- naar behoren
- beschermen
- biedt
- publiek
- in het openbaar
- snel
- realiseren
- redelijk
- verwijst
- verwant
- vanop
- verwijderen
- HERHAALDELIJK
- Rapportage
- verantwoordelijkheid
- verantwoordelijk
- Resultaten
- terugkerende
- Retourneren
- ruw
- reglement
- s
- dezelfde
- sancties
- WETENSCHAPPEN
- Tweede
- veiligheid
- zin
- verscheidene
- gedeeld
- moet
- tonen
- Soft /Pastel
- geraffineerd
- bronnen
- besteden
- standaard
- normen
- Land
- Ministerie van Buitenlandse Zaken
- verklaringen
- Stap voor
- streams
- streng
- ondersteuning
- overleving
- system
- tactiek
- Taak
- Technisch
- technieken
- neigt
- termen
- dat
- De
- De Chinese Communistische Partij
- de wereld
- hun
- Er.
- daarom
- Deze
- ze
- ding
- dit
- deze week
- die
- bedreiging
- drie
- Door
- niet de tijd of
- naar
- totaliteit
- type dan:
- types
- typisch
- Onzekerheid
- begrip
- onwaarschijnlijk
- op
- us
- .
- nutteloos
- gebruik
- slachtoffers
- willen
- was
- we
- week
- GOED
- waren
- wanneer
- welke
- WIE
- Waarom
- wil
- winnen
- Met
- zonder
- Mijn werk
- wereld
- erger
- jaar
- You
- Your
- zephyrnet
