如何识别网络对手：证明标准

评论

两部分文章的第一部分。

在网络安全中，归因是指识别可能对恶意活动负责的对手（而不仅仅是人物）。它通常来自整理多种类型的信息，包括战术或成品情报、法医检查的证据以及技术或人力来源的数据。这是一项深入的、可能持续多年的调查和分析的结论。调查人员必须应用严格的技术和分析严谨性以及软科学，因为行为分析往往会获胜。

归因 和 公开披露归属 不是同一件事。归因是对潜在对手组织、从属关系和参与者的识别。通过起诉、制裁、禁运或其他外交政策行动公开披露这一归属的决定是一个理想的结果，也是国家权力的工具。

一个例子是 Mandiant 的 APT1 报告 2013 年，美国司法部 (DoJ) 对 APT1 攻击者提出起诉，并针对中国政府进行了外交政策演习。这些公开披露非常有效地帮助世界认识到中国共产党网络间谍活动的危险。这些活动的归属已经酝酿多年。起诉书和政治策略——公开披露——是国家权力的工具。

证明标准

当将网络事件归因于威胁行为者时，有多种证明机制标准在起作用。归因的要素之一（尤其是在决定如何根据分析结果采取行动时）是理解置信水平和概率陈述的重要性。

情报标准

在情报界，情报界指令 203（ICD 203）提供了分配置信水平并将概率陈述纳入判断的标准流程。 ICD 203 的概率陈述是：

ICD 203 中的置信水平表示为低、中（中等）和高。为了避免混淆，概率陈述和置信水平不得组合在同一个句子中。关于使用这些陈述来估计事件发生的可能性，而不是为已经发生的事件分配责任（即归因），存在很多争论。

司法标准

另一个因素是情报评估不使用与司法程序中的证据规则相同的证明标准。因此，导致起诉的工作流程是不同的。从司法角度来说，有三个标准：

法院系统的类型（民事或刑事）决定了支持您的案件所需的证据级别。联邦调查局既是情报机构又是执法机构，可能必须使用情报标准、司法系统或两者兼而有之。如果国家安全案件被起诉，司法部必须将情报判断转化为司法证据标准（这不是一件容易的事）。

技术标准

还有与归因相关的技术指标。由于指标有半衰期，因此必须对其相关性进行评估并不断评估（策划）；否则，您将花费大部分时间寻找误报。更糟糕的是，如果实施不当，指标可能会产生假阴性心态（“没有发现指标，我们一定没问题”）。因此，没有上下文的指标通常是无用的，因为一种环境中的指标可能在另一种环境中找不到。

一个好的公式是：1) 调查产生工件，2) 工件产生指标，3) 背景是伴随报告的指标，4) 指标的整体可以突出策略、技术和程序 (TTP)，5) 多重指标TTP 显示随时间变化的威胁模式（活动）。如果可能，应快速共享攻击信息。

为什么归因很重要

最近，一位朋友问我为什么归因很重要。好吧，如果你的房子被随机闯入，那是一回事，但如果是你的邻居，那就完全不同了！我如何保护我的家庭或网络将根据谁闯入而改变。

不关心谁应对网络事件负责而只想恢复在线的组织更有可能成为频繁的受害者。任何拥有复杂流程、生存本能并关心员工的成熟组织都会采取额外措施来创建共享态势感知，特别是在对手反复出现的情况下。如果公司知道 1) 为什么受到攻击，2) 攻击者返回的可能性，3) 攻击者的目标，以及 4) 攻击者的 TTP，他们就可以更好地防御未来的攻击。了解攻击者是谁还可以帮助消除不确定性并帮助您了解攻击发生的原因。

在本周晚些时候发布的本文第二部分中，我将讨论将事件归因于威胁行为者所涉及的关键方法。

• SEO 支持的内容和 PR 分发。 今天得到放大。
• PlatoData.Network 垂直生成人工智能。 赋予自己力量。 访问这里。
• 柏拉图爱流。 Web3 智能。 知识放大。 访问这里。
• 柏拉图ESG。 碳， 清洁科技, 能源， 环境， 太阳能， 废物管理。 访问这里。
• 柏拉图健康。 生物技术和临床试验情报。 访问这里。
• Sumber: https://www.darkreading.com/cyberattacks-data-breaches/how-to-identify-cyber-adversary-standards-of-proof