等保资讯

为什么网络攻击的归因很重要

网络归因是一个敏感话题，尤其是潜在的政治后果。即使当网络安全专家观察到在当前冲突期间针对乌克兰的擦除器恶意软件攻击激增时，许多人也没有冒险直接将矛头指向俄罗斯国家。

然而，对于许多威胁情报分析师来说，网络攻击的归因是防御它们的基础。

制定战略并预测未来的攻击

首先，许多人认为归因对于受害者的即时事件响应很有价值。

Recorded Future 的网络威胁情报研究员Alex Leslie在Infosecurity2023年2月的播客中总结说：“归因真的很重要，因为它可以让你思考如何最好地制定战略和预测未来的攻击。”

网络安全公司Trend Micro在博客中解释说，归因可以帮助确定受害者是目标还是附带损害，更好地了解攻击期间使用的策略、技术和程序（TTP）以增强检测和响应，并帮助董事会了解投资新安全工具的价值。

根据趋势科技高级威胁研究员Feike Hacquebord的说法，他的一些同行不愿讨论归因是因为混淆了技术归因，技术归因包括识别威胁活动集和分析模式，以及法律或政治归因，这些有时会导致对个人的起诉。

“当我们在趋势科技谈论归因时，我们仅指技术归因，没有法律或政治目的。网络威胁情报（CTI）团队的主要作用是分析入侵集，而不是团体或人员。”

另一方面，现在是谷歌云的一部分的Mandiant并没有避免在其归因过程中加入国家隶属关系。然而，Mandiant威胁情报团队的高级经理Shanyn Ronis告诉Infosecurity，了解对手的运作方式并能够预测他们的行为以及他们如何随着时间的推移改变TTP比了解对方是谁更重要。

“假设你已经阻止了一次攻击并对其进行了补救或遏制——如果他们以不同的方式攻击你，你如何保证你能够再次阻止它们？做到这一点的最好方法是获得一定程度的知识，”罗尼斯补充道。

交叉核对数据

为获得这些知识，Mandiant的EMEA高级威胁情报顾问Jamie Collier解释说：CTI分析师首先需要与事件响应团队携手合作，以确定两种类型的数据：“犯罪现场”的证据（谁已经攻击的目标、第三方访问了哪些设备、系统的哪个部分已被感染、妥协指标（IOC）是什么等），以及有关肇事者的情报（他们的TTP是什么，使用什么工具他们正在使用，他们正在使用什么基础设施，攻击的复杂程度是什么，他们的动机是什么，等等）。

其次，他们开始将这些点与他们拥有的威胁情报数据结合起来。

根据Group-IB的对手情报研究负责人Feixiang He的说法，这些数据包括：

1.由数字取证和事件响应专家或托管扩展和响应（XDR）解决方案收集的第一手攻击指标；

2.专有遥测；

3.网络安全社区报告和共享的攻击技术数据，包括威胁报告；

4.CTI 团队发现的威胁参与者的活动，例如地下论坛的讨论、非法交易、招聘以及有关个人偏好的信息（政治、语言、时区……）；

5.开源信息；

6.执法部门可用的闭源财务信息。

“CTI团队交叉检查来自各种攻击和操作的数据，以揭示相似性和模式。当为一组案例获得足够的知识时，CTI团队将根据给定的配置文件组织这些发现，并为其指定代号，”何说。

这个代号由组合标识元素组成，这些元素指的是威胁行为者使用的 TTP、他们的动机、目标或他们所谓的来源，具体取决于供应商的政策和命名约定。

临时归因

虽然每个供应商都有自己的归因流程，但有一个共同点：可能需要数月甚至数年时间才能确定攻击或一系列网络事件背后的特定威胁组。

这篡改了受害者归因的好处，使得在短期事件响应中难以对CTI洞察采取行动。

克服这一挑战的解决方法之一是使用临时命名代码。例如，Mandiant首先将“未分类”（或 UNC）代号归因于一组威胁活动。然后，当他们更多地了解谁是活动的幕后黑手时，他们可以转移到一个“临时”代号——TEMP——然后给它一个明确的身份，一个国家行为者的高级持续威胁（APT）号码和如果他们有经济动机，则提供财务编号（FIN）。

例如，名为UNC902的威胁活动随后被归因于TEMP.Warlock，他最终被代号为FIN11的Mandiant追踪。

微软使用类似的流程，为尚未完全识别的威胁活动集群分配一个临时的DEV编号，代表“开发组”。

猫捉老鼠的游戏

CTI 分析师面临的另一个挑战是选择合适的时间发布他们的调查结果，以及分享多少。

“公共威胁报告的不利之处在于，威胁行为者通过改变他们的策略、工具集和基础设施来学习跟踪技术并开展反情报活动。其中一些可以非常快速地调整和修复错误，”Group-IB 的何说。

对于 Mandiant 的 Collier 来说，无论威胁报告与否，威胁行为者越来越多地这样做。

ReliaQuest 的高级网络威胁情报分析师 Chris Morgan 告诉 Infosecurity，“由于网络犯罪分子对他们的所作所为和他们想要的东西更加无礼，而国家团体更加隐蔽，因此更难将国家赞助的归因于 网络攻击比出于经济动机的攻击，”

然而，这种威胁格局现在已经发生了很大变化，Collier 认为：“网络归因的最大转变是勒索软件团体的出现。现在，这是一个更加流动的犯罪生态系统，团伙合并和解散及产生的威胁反反复复。”

他同意并补充说，勒索软件组织多年来引入和完善的网络犯罪即服务商业模式意味着“如今数字犯罪非常相互关联。”

此外，勒索软件团体设法造成的混乱似乎影响了国家的威胁行为者，他们现在“倾向于模仿彼此的行为，以使 CTI 研究人员偏离正轨，”何说。

“例如，据信起源于朝鲜的 Lazarus 在旨在代理网络流量的模块中添加了特定的调试符号和包含俄语单词的字符串。”

结果，归因变得更加耗时，但也“更快过期。这意味着威胁情报用户也需要更快地得到服务。这就是为什么我们现在倾向于跳过‘临时’步骤，直接从 UNC 跳到最终鉴定，”Collier 指出。

乌克兰战争加速了具有不同动机的威胁行为者之间重叠的增加，这可能会对改变网络事件的归因方式产生影响。