攻击溯源的价值到底在哪里?

安全 应用安全
埋头于电子取证分析,期望挖掘出攻击者身份并起诉之的人,往往会发现花在攻击归因溯源上的时间毫无收获。但是,如果他们的目的,换成利用攻击溯源所得,指导从预防到响应的整个安全规程,那么归因溯源的努力就会产出丰厚回报。

埋头于电子取证分析,期望挖掘出攻击者身份并起诉之的人,往往会发现花在攻击归因溯源上的时间毫无收获。但是,如果他们的目的,换成利用攻击溯源所得,指导从预防到响应的整个安全规程,那么归因溯源的努力就会产出丰厚回报。

[[185654]]

业内很多专家都被问过:归因溯源真的有什么价值吗?SafeBreach共同创始人兼CEO伊特兹克·科特勒曾经说过:“归因溯源本身唯一有趣的地方,就是将信息分类存放,然后一次又一次地利用。”

科特勒举了个例子,假设CNN被某国黑了,有没有人能证明是某国人干的并不重要,但能不能公开说我们认为攻击来自中国才是关键。

为创建强大的防御,安全团队需要学习更多攻击策略。攻击知识可转换成防御优势,团队可以在攻击发生前尝试新工具新技术,确定这些工具是不是真的有效。网络防御者需要知道对手是谁,才能不局限在已知漏洞中而放过其他的问题。如果能够做到积极主动且有预见性,就能更好地控制后果。

鉴于攻击归因溯源太过困难,有些人,比如Dragos创始人兼CEO罗伯特·M·李,则持反对意见,他认为“技术性威胁情报层面上真正的归因溯源,只会对良好的安全实践造成伤害。”

其博客文章《追寻和避免网络攻击真正归因溯源的几个问题》中写道:“该归因溯源,可致分析师因认知偏差而做出误导性假设。”

“该分析极端依赖人类思考过程,会把我们引向不恰当的结论。如今,我们的分析师不是保持开放性思维并在网络上搜索威胁,而是沦为了确认偏差的牺牲品,根据自己最初的假设来看待数据。”

与之相反,火眼威胁情报经理约翰·米勒称:“只要能采取行动,就是有价值的。归因溯源可使安全团队了解攻击者的意图,也就能采取合适的对策。”

对于当前发生的事情,无论安全团队掌握的线索是相对集中还是漫无目的,知道谁该为攻击负责,依然有助于更好地挖掘表面之下的攻击。

就拿 Cobalt Strike 做例子吧。这是个渗透测试员使用的工具,但也可以在市面上买到,谁都知道有很多攻击者也使用该工具。“网络防御者发现 Cobalt Strike,仅仅说明网络中有恶意活动正在进行,除此之外什么都说明不了。”

但是,如果该工具与 Fin7 联系起来,他们就可以进一步搜索销售终端恶意软件和其他 Fin7 特定工具——尽管尚未检测到。知道攻击者身份,可以指示还应该查看什么,以及应该采取的其他措施。

提供不了任何行动机会,那归因溯源就没用,不能以有意义的方式赋予防御者跟进的能力。

因为很多公司都忘却了是什么让归因溯源有价值,也不知道自己能用归因干什么,他们就变得十分怀疑。“人们倾向于喜欢自己熟悉的东西,尤其是那些技术上不太懂的人。“

他们把攻击归因看做了解攻击者的一种方式,要不就在对归因信息通途毫无概念的情况下通过内部能力来归因。

任何一家公司,每天处理的大量事件,并非都是那么重要,根本不值得花费那么多时间。

“难点在于分辨出真正重要的东西,找出能利用归因线索所做的事。”

白帽安全威胁研究中心副总裁瑞恩·奥利阿里也赞同此观点。他认为,只有在能对漏洞进行优先级划分的情况下,归因才有效果。

“一家企业,如果想要修复漏洞,要是知道是谁在攻击,那么漏洞优先级确定会稍微容易一点。”

大面上来说,归因溯源真没什么用,因为只要企业有漏洞,攻击者就有入口点。

但是,如果企业知道有人想对自己来次DDoS,那就可能会加固一下服务器。这里,归因确实起到了作用,帮助企业确定了该优先做什么。

鉴于有些网络罪犯挺懒,他们很可能就用简单易用的已知漏洞了。归因可为安全团队提供识别漏洞所需的信息,方便他们修复。

“他们可以将钱花在修复漏洞上,而不是去做趋势分析和查找谁要攻击他们。这就是个减小攻击界面的活儿。”

当归因被用于防御和优先化,其价值可以很大。“如果目标是用于攻击,用于追捕攻击者,那还真起不到多大作用。这些人往往身处起诉不了的地方。人们总想以各种方式使用数据,但某些情况下,并没有什么意义。”

尽管围绕攻击归因有着许多争论与挑战,Guidance首席执行官帕特里克·丹尼斯,认为其中蕴含有极大价值,尤其是在整个安全产业领域。

“我们可以从攻击源头处了解到很多东西,无论是1级攻击者,还是使用改造版老零日漏洞的2级攻击者,对整个安全行业来说,在攻击趋势发现上都有极大好处。”

好吧,分析师们可以误解,也不用达成什么共识,统一思想这事儿在有些人看来就是浪费时间,但归因确实不是什么普适解决方案。

“不用归因每个攻击,但还是有那么一类攻击值得识别。就像不追查杀人犯是不可接受的一样,但如果我们不找出大规模攻击的出处,同样不可接受。”

归因为攻击者分类,“有助于确定是谁在执行攻击,他们的能力有多大,他们有什么资源,这样我们也就对下一步应采取什么行动有了底。这还有助于决定要不要牵涉进司法部门或者FBI。”

理想情况下,业内会共享归因信息,以便形成合力,更好地对抗攻击;就像司法机构联合办案侦破现实犯罪一样。

【本文是51CTO专栏作者“”李少鹏“”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】

戳这里,看该作者更多好文

责任编辑:赵宁宁 来源: 51CTO专栏
相关推荐

2015-06-30 14:33:52

物联网

2010-08-09 09:09:36

Linux与BSD的区

2012-04-27 10:13:08

2015-08-26 08:41:19

物联网

2018-09-14 08:28:14

数据中心厂商供应商

2019-01-21 07:53:11

路由器IP地址无线网关

2015-09-02 09:56:33

大数据

2021-11-16 23:07:59

手机性能技术

2021-06-16 17:23:11

普华永道云计算CIO

2014-01-07 13:54:40

Hadoop日志

2017-12-25 10:16:32

程序员Python常用工具

2017-11-21 11:15:10

Docker引擎Containerd

2018-01-23 11:42:50

程序员编程代码

2009-06-16 12:57:45

CCIE

2009-04-17 15:48:41

程序员价值

2009-02-12 11:52:23

软件工程师职业规划价值

2023-06-27 17:30:13

数字化

2020-08-06 09:08:51

开发谷歌微软

2021-11-03 07:58:27

异步编程线程

2011-04-15 09:41:31

Linux 20周年Linus Torva
点赞
收藏

51CTO技术栈公众号