网络威胁归因("Threat Attribution"或"Cyber Threat Attribution")一直是安全行业争议非常大的话题。网络威胁归因有时候也叫网络攻击追踪溯源, 美国军方的说法是"Attribution"或"Cyber Attribution",中文直译为“归因”,一般指追踪网络攻击源头、溯源攻击者的过程。
而在网络空间治理领域,归因更多时候是一种政治选择。中国现代国际关系研究院科技与网络安全研究所执行所长唐岚女士曾表示,伴随国家间网络空间博弈的日趋激烈,一些国家越来越倾向于使用强大的网络攻击溯源(归因)能力塑造国际叙事,渲染放大网络威胁,为其采取起诉、制裁等单边措施提供托词。
归因之所以存在争议,最重要的原因主要有以下两点:
1.不同利益团体的诉求
- 政府、军方,网络空间安全防御的威慑力、捍卫国家网络空间主权和国家主权等,比如美国司法部经常起诉其他国家的“黑客”。
- 专业安全厂商,安全能力体现、市场营销等。
- 甲方企业,了解对手及其技战术实施针对性及有效的防御,更进一步提升整体安全态势。
2.获取归因所需的元数据的能力
===========================================
No.1.最荒谬的归因 - 假设您需要归因于一个国家而不考虑原因。
2021年8月10日,美国FireEye/Mandiant公司将UNC215归因于X国,仅仅是因为其攻击目标符合X国的战略利益!- 来源:https://www.mandiant.com/resources/blog/unc215-chinese-espionage-campaign-in-israel
No.2.最荒唐的归因 - “公司雇用来自X地区/国家的人员,因此归因于供应链攻击。”
在著名的SolarWinds供应链攻击事件中,由3名俄罗斯工程师在捷克共和国创立并在俄罗斯设有研究实验室的软件公司JetBrains卷入这场纷争,仅仅是因为该公司的创始人是俄罗斯人!- 来源:https://t.co/rpEG4N7VK6
No.3.基于样本的归因
在网络安全行业,基于样本的归因非常常见(常见于安全厂商的APT报告)。主要原因在于,安全厂商缺少数据源,而像Virustotal这样的平台是一个不错的数据源。
笔者认为,高质量的APT报告通常具备3+1个要素:威胁情报分析、“作案现场”取证和样本分析+Cui bono。而我国目前的APT报告缺少的恰恰是“作案现场”取证这一部分。说直白一点,去用户现场应急取证的工程师,不知道或没有人告诉TA,每一次入侵背后都有一个实体,通过现场取证分析,可提取用于跟踪入侵者的“指纹”。
No.4.基于钓鱼邮件主题、文档名和文档内容的归因
钓鱼邮件主题、文档名和文档内容等都是APT/威胁情报分析师日常进行威胁狩猎的线索。假设某年某月某日某分析师在Virustotal上捕获到一个利用了0day的word文件,而该文档内容包含波音公司的Logo且内容是针对波音公司,这个时候我们能通知波音公司“你被攻击了”?
No.5.直接复用其他安全厂商的归因
这种现象在网络安全行业也是非常常见,笔者在分析一些APT报告中的归因声明时,常常忍俊不禁。。。APT归因的技术指标通常包括,代码中使用的语言、编译恶意软件的时间和攻击期间使用的IP地址等等。比如以色列安全厂商Check Point就曾因为APT10和Mustang Panda都使用了“SPINNER编译器级别混淆”,因此,其认为两者存在关联。- 来源:https://research.checkpoint.com/2022/twisted-panda-chinese-apt-espionage-operation-against-russians-state-owned-defense-institutes
往期精选
围观
热文
热文