COMMENTARY
Part one of a two-part article.
In cybersecurity, attribution refers to identifying an adversary (not just the persona) likely responsible for malicious activity. It is typically derived from collating many types of information, including tactical or finished intelligence, evidence from forensic examinations, and data from technical or human sources. It is the conclusion of an intensive, potentially multiyear investigation and analysis. Investigators must apply stringent technical and analytical rigor along with soft sciences, as behavioral analysis tends to win the day.
انتساب اور public disclosure of attribution are not the same thing. Attribution is the identification of a potential adversary organization, affiliation, and actor. The decision to disclose that attribution publicly — through indictments, sanctions, embargos, or other foreign policy actions — is a desired outcome and instrument of national power.
ایک مثال ہے Mandiant’s APT1 report in 2013, which attributed the attack to the Chinese government, followed by Department of Justice (DoJ) indictments of the APT1 actors and the US State Department’s foreign policy maneuvers against the Chinese government. These public disclosures were highly effective in helping the world realize the dangers of cyber espionage by the Chinese Communist Party. Attribution of those activities was years in the making. The indictments and political maneuvers — the public disclosure — were instruments of national power.
Standards of Proof
When attributing a cyber incident to a threat actor, there are several standards of proof mechanisms at play. One element of attribution — and particularly when deciding how to act upon the results of your analysis — is understanding the importance of confidence levels and probability statements.
Intelligence Standards
In the intelligence community, Intelligence Community Directive 203 (ICD 203) provides a standard process for assigning confidence levels and incorporating probability statements into judgements. ICD 203’s probability statements are:
-
Almost no chance (remote)
-
Very unlikely (highly improbable)
-
Roughly even chance (roughly even odds)
-
Likely (probable)
-
Very likely (highly probable)
-
Almost certainly (nearly certain)
Confidence levels in ICD 203 are expressed as Low, Medium (Moderate), and High. To avoid confusion, probability statements and confidence levels must not be combined in the same sentence. There is a lot of debate about using these statements to estimate the likelihood of an event happening, as opposed to assigning responsibility for an event that has already occurred (i.e., attribution).
Judicial Standards
Another factor is that intelligence assessments do not use the same standard of proof as the rules of evidence in judicial process. Therefore, the work streams leading to indictment are different. In judicial terms, there are three standards:
-
ثبوت کی برتری
-
Clear and convincing proof
-
ایک مناسب شک سے باہر
The type of court system (civil or criminal) determines the level of proof you need to support your case. The FBI, being both an intelligence agency and a law enforcement agency, may have to use intelligence standards, the judicial system, or both. If a national security case results in an indictment, the DoJ must convert intelligence judgments to judicial standards of proof (no easy task).
تکنیکی معیار
There are also technical indicators related to attribution. Indicators must be assessed and constantly evaluated for relevancy (curated) as they have a half-life; otherwise, you will spend most of your time hunting down false positives. Even worse, if they are not implemented properly, indicators can produce false-negative mindsets (“no indicators found, we must be OK”). Consequently, an indicator without context is often useless, as an indicator in one environment may not be found in another.
A good formula is: 1) an investigation produces artifacts, 2) artifacts produce indicators, 3) context is indicators accompanied by reporting, 4) the totality of the indicators can highlight tactics, techniques, and procedures (TTPs), and 5) multiple TTPs show threat patterning over time (campaigns). When possible, attack information should be shared quickly.
Why Attribution Is Important
Recently, a friend asked me why attribution matters. Well, if your house was broken into randomly, that’s one thing, but if it was your neighbor, that’s completely different! How I protect my home or network will change depending on who broke in.
Organizations that don’t care who is responsible for a cyber incident and just want to get back online are more likely to become frequent victims. Any mature organization with sophisticated processes, a survival instinct, and that cares about their employees will go the extra step to create shared situational awareness, especially if the adversary returns repeatedly. A company can better defend itself from future aggression if they know 1) why they were attacked, 2) the likelihood of the attacker returning, 3) the goals of the attacker, and 4) the attacker’s TTPs. Knowing who perpetrated an attack can also help remove uncertainty and help you come to terms with why it happened.
In the second part of this article, coming later this week, I will discuss the key methods involved in attributing an event to a threat actor.
- SEO سے چلنے والا مواد اور PR کی تقسیم۔ آج ہی بڑھا دیں۔
- پلیٹو ڈیٹا ڈاٹ نیٹ ورک ورٹیکل جنریٹو اے آئی۔ اپنے آپ کو بااختیار بنائیں۔ یہاں تک رسائی حاصل کریں۔
- پلیٹوآئ اسٹریم۔ ویب 3 انٹیلی جنس۔ علم میں اضافہ۔ یہاں تک رسائی حاصل کریں۔
- پلیٹو ای ایس جی۔ کاربن، کلین ٹیک، توانائی ، ماحولیات، شمسی، ویسٹ مینجمنٹ یہاں تک رسائی حاصل کریں۔
- پلیٹو ہیلتھ۔ بائیوٹیک اینڈ کلینیکل ٹرائلز انٹیلی جنس۔ یہاں تک رسائی حاصل کریں۔
- ماخذ: https://www.darkreading.com/cyberattacks-data-breaches/how-to-identify-cyber-adversary-standards-of-proof
- : ہے
- : ہے
- : نہیں
- 1
- 2013
- 203
- 7
- a
- ہمارے بارے میں
- کے ساتھ
- ایکٹ
- اعمال
- سرگرمیوں
- سرگرمی
- اداکار
- کے خلاف
- ایجنسی
- ساتھ
- پہلے ہی
- بھی
- an
- تجزیہ
- تجزیاتی
- اور
- ایک اور
- کوئی بھی
- کا اطلاق کریں
- کیا
- مضمون
- AS
- کا تعین کیا
- جائزوں
- At
- حملہ
- حملہ آور
- سے اجتناب
- کے بارے میں شعور
- واپس
- BE
- بن
- رویے
- کیا جا رہا ہے
- بہتر
- دونوں
- توڑ دیا
- ٹوٹ
- لیکن
- by
- مہمات
- کر سکتے ہیں
- پرواہ
- کیس
- کچھ
- یقینی طور پر
- موقع
- تبدیل
- چینی
- چینی کمیونسٹ پارٹی
- سرکل
- سول
- مل کر
- کس طرح
- آنے والے
- کمیونٹی
- کمپنی کے
- مکمل طور پر
- اختتام
- آپکا اعتماد
- الجھن
- اس کے نتیجے میں
- مسلسل
- سیاق و سباق
- تبدیل
- کورٹ
- تخلیق
- فوجداری
- cured
- سائبر
- سائبر سیکیورٹی
- خطرات
- اعداد و شمار
- دن
- بحث
- فیصلہ کرنا
- فیصلہ
- شعبہ
- محکمہ انصاف
- محکمہ انصاف (DoJ)
- منحصر ہے
- اخذ کردہ
- مطلوبہ
- یہ تعین
- مختلف
- ظاہر
- انکشاف
- بات چیت
- do
- DoJ
- ڈان
- نیچے
- e
- آسان
- موثر
- عنصر
- ملازمین
- نافذ کرنے والے
- ماحولیات
- خاص طور پر
- جاسوسی
- تخمینہ
- اندازہ
- بھی
- واقعہ
- ثبوت
- مثال کے طور پر
- اظہار
- اضافی
- عنصر
- جھوٹی
- ایف بی آئی
- پیچھے پیچھے
- کے لئے
- غیر ملکی
- خارجہ پالیسی
- فرانزک
- فارمولا
- ملا
- بار بار اس
- دوست
- سے
- مستقبل
- حاصل
- Go
- اہداف
- اچھا
- حکومت
- ہوا
- ہو رہا ہے۔
- ہے
- مدد
- مدد
- ہائی
- نمایاں کریں
- انتہائی
- ہوم پیج (-)
- ہاؤس
- کس طرح
- کیسے
- HTTPS
- انسانی
- شکار
- i
- آئکن
- شناخت
- شناخت
- کی نشاندہی
- if
- عملدرآمد
- اہمیت
- اہم
- بہتر
- in
- واقعہ
- سمیت
- شامل کرنا
- اشارے
- انڈیکیٹر
- الزام
- معلومات
- آلہ
- آلات
- انٹیلی جنس
- میں
- تحقیقات
- تحقیقاتی
- ملوث
- IT
- خود
- فوٹو
- فیصلے
- عدالتی
- صرف
- جسٹس
- کلیدی
- جان
- جاننا
- بعد
- قانون
- قانون نافذ کرنے والے اداروں
- معروف
- سطح
- سطح
- امکان
- امکان
- بہت
- لو
- بنانا
- بدقسمتی سے
- بہت سے
- معاملات
- عقلمند و سمجھدار ہو
- مئی..
- me
- نظام
- درمیانہ
- طریقوں
- اعتدال پسند
- زیادہ
- سب سے زیادہ
- ایک سے زیادہ
- ملٹیئر
- ضروری
- my
- قومی
- قومی سلامتی
- تقریبا
- ضرورت ہے
- نیٹ ورک
- نہیں
- ہوا
- مشکلات
- of
- اکثر
- on
- ایک
- آن لائن
- مخالفت کی
- or
- تنظیم
- دیگر
- دوسری صورت میں
- نتائج
- پر
- حصہ
- خاص طور پر
- پارٹی
- پلاٹا
- افلاطون ڈیٹا انٹیلی جنس
- پلیٹو ڈیٹا
- کھیلیں
- پالیسی
- سیاسی
- ممکن
- ممکنہ
- ممکنہ طور پر
- طاقت
- ممکنہ
- طریقہ کار
- عمل
- عمل
- پیدا
- پیدا کرتا ہے
- ثبوت
- مناسب طریقے سے
- حفاظت
- فراہم کرتا ہے
- عوامی
- عوامی طور پر
- جلدی سے
- احساس
- مناسب
- مراد
- متعلقہ
- ریموٹ
- ہٹا
- بار بار
- رپورٹ
- ذمہ داری
- ذمہ دار
- نتائج کی نمائش
- واپس لوٹنے
- واپسی
- تقریبا
- قوانین
- s
- اسی
- پابندی
- سائنس
- دوسری
- سیکورٹی
- سزا
- کئی
- مشترکہ
- ہونا چاہئے
- دکھائیں
- سافٹ
- بہتر
- ذرائع
- خرچ
- معیار
- معیار
- حالت
- محکمہ خارجہ
- بیانات
- مرحلہ
- اسٹریمز
- سخت
- حمایت
- بقا
- کے نظام
- حکمت عملی
- ٹاسک
- ٹیکنیکل
- تکنیک
- رجحان
- شرائط
- کہ
- ۔
- چینی کمیونسٹ پارٹی
- دنیا
- ان
- وہاں.
- لہذا
- یہ
- وہ
- بات
- اس
- اس ہفتے
- ان
- خطرہ
- تین
- کے ذریعے
- وقت
- کرنے کے لئے
- کلیت
- قسم
- اقسام
- عام طور پر
- غیر یقینی صورتحال
- افہام و تفہیم
- امکان نہیں
- صلی اللہ علیہ وسلم
- us
- استعمال کی شرائط
- بیکار
- کا استعمال کرتے ہوئے
- متاثرین
- چاہتے ہیں
- تھا
- we
- ہفتے
- اچھا ہے
- تھے
- جب
- جس
- ڈبلیو
- کیوں
- گے
- جیت
- ساتھ
- بغیر
- کام
- دنیا
- بدتر
- سال
- تم
- اور
- زیفیرنیٹ