Cum să identifici un adversar cibernetic: standarde de probă

COMENTARIU

Prima parte a unui articol în două părți.

În securitatea cibernetică, atribuirea se referă la identificarea unui adversar (nu doar a persoanei) probabil responsabil pentru activitățile rău intenționate. De obicei, este derivat din colectarea multor tipuri de informații, inclusiv informații tactice sau finalizate, dovezi din examinări criminalistice și date din surse tehnice sau umane. Este concluzia unei investigații și analize intense, potențial multianuale. Anchetatorii trebuie să aplice o rigurozitate tehnică și analitică strictă împreună cu științe soft, deoarece analiza comportamentală tinde să câștige ziua.

atribuire si dezvăluirea publică a atribuirii nu sunt acelasi lucru. Atribuirea este identificarea unei organizații, afiliere și actor potențial adversar. Decizia de a dezvălui în mod public această atribuție – prin rechizitori, sancțiuni, embargouri sau alte acțiuni de politică externă – este un rezultat și un instrument dorit al puterii naționale.

Un exemplu este Raportul APT1 al lui Mandiant în 2013, care a atribuit atacul guvernului chinez, urmat de acuzațiile Departamentului de Justiție (DoJ) ale actorilor APT1 și manevrele de politică externă ale Departamentului de Stat al SUA împotriva guvernului chinez. Aceste dezvăluiri publice au fost extrem de eficiente în a ajuta lumea să realizeze pericolele spionajului cibernetic din partea Partidului Comunist Chinez. Atribuirea acestor activități a fost în devenire de ani de zile. Acuzațiile și manevrele politice — dezvăluirea publică — au fost instrumente ale puterii naționale.

Standarde de probă

Atunci când atribuiți un incident cibernetic unui actor de amenințare, există mai multe standarde de mecanisme de probă în joc. Un element de atribuire - și în special atunci când decideți cum să acționați în funcție de rezultatele analizei dvs. - este înțelegerea importanței nivelurilor de încredere și a afirmațiilor de probabilitate.

Standarde de inteligență

În comunitatea de informații, Directiva comunitară de informații 203 (ICD 203) oferă un proces standard de atribuire a nivelurilor de încredere și de încorporare a declarațiilor de probabilitate în judecăți. Propozițiile de probabilitate ale ICD 203 sunt:

Nivelurile de încredere din ICD 203 sunt exprimate ca scăzut, mediu (moderat) și ridicat. Pentru a evita confuzia, declarațiile de probabilitate și nivelurile de încredere nu trebuie combinate în aceeași propoziție. Există o mulțime de dezbateri cu privire la utilizarea acestor declarații pentru a estima probabilitatea ca un eveniment să se întâmple, spre deosebire de atribuirea responsabilității pentru un eveniment care a avut loc deja (adică, atribuirea).

Standarde judiciare

Un alt factor este că evaluările de informații nu folosesc același standard de probă ca și regulile de probă în procesul judiciar. Prin urmare, fluxurile de lucru care duc la acuzare sunt diferite. În termeni judiciari, există trei standarde:

Tipul de sistem judiciar (civil sau penal) determină nivelul de probă de care aveți nevoie pentru a vă susține cazul. FBI, fiind atât o agenție de informații, cât și o agenție de aplicare a legii, poate fi nevoit să folosească standarde de informații, sistemul judiciar sau ambele. Dacă un caz de securitate națională are ca rezultat un rechizitoriu, DoJ trebuie să convertească hotărârile de informații în standarde judiciare de probă (nu este o sarcină ușoară).

Standardele tehnice

Exista si indicatori tehnici legati de atribuire. Indicatorii trebuie evaluați și evaluați în mod constant pentru relevanță (curați), deoarece au un timp de înjumătățire; în caz contrar, îți vei petrece cea mai mare parte a timpului vânând false pozitive. Și mai rău, dacă nu sunt implementați corespunzător, indicatorii pot produce mentalități fals-negative („nu s-au găsit indicatori, trebuie să fim OK”). În consecință, un indicator fără context este adesea inutil, deoarece un indicator într-un mediu poate să nu fie găsit în altul.

O formulă bună este: 1) o investigație produce artefacte, 2) artefactele produc indicatori, 3) contextul reprezintă indicatori însoțiți de raportare, 4) totalitatea indicatorilor poate evidenția tactici, tehnici și proceduri (TTP) și 5) multiple TTP-urile arată modelarea amenințărilor în timp (campanii). Când este posibil, informațiile despre atac ar trebui partajate rapid.

De ce este importantă atribuirea

Recent, un prieten m-a întrebat de ce contează atribuirea. Ei bine, dacă casa ta a fost spartă la întâmplare, asta e un lucru, dar dacă era vecinul tău, asta e complet diferit! Modul în care îmi protejez casa sau rețeaua se va schimba în funcție de cine a intervenit.

Organizațiile cărora nu le pasă cine este responsabil pentru un incident cibernetic și care doresc doar să revină online au mai multe șanse să devină victime frecvente. Orice organizație matură cu procese sofisticate, un instinct de supraviețuire și căreia îi pasă de angajații lor va face un pas suplimentar pentru a crea o conștientizare a situației comune, mai ales dacă adversarul se întoarce în mod repetat. O companie se poate apăra mai bine de agresiuni viitoare dacă știe 1) de ce a fost atacată, 2) probabilitatea ca atacatorul să se întoarcă, 3) obiectivele atacatorului și 4) TTP-urile atacatorului. A ști cine a comis un atac poate ajuta, de asemenea, la eliminarea incertitudinii și te poate ajuta să te împaci cu motivul pentru care s-a întâmplat.

În a doua parte a acestui articol, care urmează săptămâna aceasta, voi discuta despre metodele cheie implicate în atribuirea unui eveniment unui actor de amenințare.

• Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
• PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
• PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
• PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
• PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
• Sursa: https://www.darkreading.com/cyberattacks-data-breaches/how-to-identify-cyber-adversary-standards-of-proof