埋头于电子取证分析,期望挖掘出攻击者身份并起诉之的人,往往会发现花在攻击归因溯源上的时间毫无收获。但是,如果他们的目的,换成利用攻击溯源所得,指导从预防到响应的整个安全规程,那么归因溯源的努力就会产出丰厚回报。
业内很多专家都被问过:归因溯源真的有什么价值吗?SafeBreach共同创始人兼CEO伊特兹克·科特勒曾经说过:“归因溯源本身唯一有趣的地方,就是将信息分类存放,然后一次又一次地利用。”
科特勒举了个例子,假设CNN被某国黑了,有没有人能证明是某国人干的并不重要,但能不能公开说我们认为攻击来自中国才是关键。
为创建强大的防御,安全团队需要学习更多攻击策略。攻击知识可转换成防御优势,团队可以在攻击发生前尝试新工具新技术,确定这些工具是不是真的有效。网络防御者需要知道对手是谁,才能不局限在已知漏洞中而放过其他的问题。如果能够做到积极主动且有预见性,就能更好地控制后果。
鉴于攻击归因溯源太过困难,有些人,比如Dragos创始人兼CEO罗伯特·M·李,则持反对意见,他认为“技术性威胁情报层面上真正的归因溯源,只会对良好的安全实践造成伤害。”
其博客文章《追寻和避免网络攻击真正归因溯源的几个问题》中写道:“该归因溯源,可致分析师因认知偏差而做出误导性假设。”
该分析极端依赖人类思考过程,会把我们引向不恰当的结论。如今,我们的分析师不是保持开放性思维并在网络上搜索威胁,而是沦为了确认偏差的牺牲品,根据自己最初的假设来看待数据。
与之相反,火眼威胁情报经理约翰·米勒称:“只要能采取行动,就是有价值的。归因溯源可使安全团队了解攻击者的意图,也就能采取合适的对策。”
对于当前发生的事情,无论安全团队掌握的线索是相对集中还是漫无目的,知道谁该为攻击负责,依然有助于更好地挖掘表面之下的攻击。
就拿 Cobalt Strike 做例子吧。这是个渗透测试员使用的工具,但也可以在市面上买到,谁都知道有很多攻击者也使用该工具。“网络防御者发现 Cobalt Strike,仅仅说明网络中有恶意活动正在进行,除此之外什么都说明不了。”
但是,如果该工具与 Fin7 联系起来,他们就可以进一步搜索销售终端恶意软件和其他 Fin7 特定工具——尽管尚未检测到。知道攻击者身份,可以指示还应该查看什么,以及应该采取的其他措施。
提供不了任何行动机会,那归因溯源就没用,不能以有意义的方式赋予防御者跟进的能力。
因为很多公司都忘却了是什么让归因溯源有价值,也不知道自己能用归因干什么,他们就变得十分怀疑。“人们倾向于喜欢自己熟悉的东西,尤其是那些技术上不太懂的人。“
他们把攻击归因看做了解攻击者的一种方式,要不就在对归因信息通途毫无概念的情况下通过内部能力来归因。
任何一家公司,每天处理的大量事件,并非都是那么重要,根本不值得花费那么多时间。
难点在于分辨出真正重要的东西,找出能利用归因线索所做的事。
白帽安全威胁研究中心副总裁瑞恩·奥利阿里也赞同此观点。他认为,只有在能对漏洞进行优先级划分的情况下,归因才有效果。
“一家企业,如果想要修复漏洞,要是知道是谁在攻击,那么漏洞优先级确定会稍微容易一点。”
大面上来说,归因溯源真没什么用,因为只要企业有漏洞,攻击者就有入口点。
但是,如果企业知道有人想对自己来次DDoS,那就可能会加固一下服务器。这里,归因确实起到了作用,帮助企业确定了该优先做什么。
鉴于有些网络罪犯挺懒,他们很可能就用简单易用的已知漏洞了。归因可为安全团队提供识别漏洞所需的信息,方便他们修复。
“他们可以将钱花在修复漏洞上,而不是去做趋势分析和查找谁要攻击他们。这就是个减小攻击界面的活儿。”
当归因被用于防御和优先化,其价值可以很大。“如果目标是用于攻击,用于追捕攻击者,那还真起不到多大作用。这些人往往身处起诉不了的地方。人们总想以各种方式使用数据,但某些情况下,并没有什么意义。”
尽管围绕攻击归因有着许多争论与挑战,Guidance首席执行官帕特里克·丹尼斯,认为其中蕴含有极大价值,尤其是在整个安全产业领域。
“我们可以从攻击源头处了解到很多东西,无论是1级攻击者,还是使用改造版老零日漏洞的2级攻击者,对整个安全行业来说,在攻击趋势发现上都有极大好处。”
好吧,分析师们可以误解,也不用达成什么共识,统一思想这事儿在有些人看来就是浪费时间,但归因确实不是什么普适解决方案。
不用归因每个攻击,但还是有那么一类攻击值得识别。就像不追查杀人犯是不可接受的一样,但如果我们不找出大规模攻击的出处,同样不可接受。
归因为攻击者分类,“有助于确定是谁在执行攻击,他们的能力有多大,他们有什么资源,这样我们也就对下一步应采取什么行动有了底。这还有助于决定要不要牵涉进司法部门或者FBI。”
理想情况下,业内会共享归因信息,以便形成合力,更好地对抗攻击;就像司法机构联合办案侦破现实犯罪一样。
(责任编辑:宋编辑)
