是什么在攻击属性值?

的优点和分配资产的缺点,考虑识别的攻击者

作家,方案 |

拉克兰哈迪2.0 (CC)

对于那些谁追求法医分析鉴定和起诉攻击者的希望,他们可能会发现,花在攻击归属的时间是徒劳的。

但是,如果他们正在寻找使用他们获得通过什么攻击归属于从预防告知其整体安全性措施来应对,努力得到有价值的结果。

不少业内专家质疑是否有任何价值归属。SafeBreach首席技术官兼联合创始人伊茨克科特勒说,“归属本身的唯一有趣的方面是进行分类,并在盒中放上信息,并一遍又一遍地用它。”

科尔特提出了一个假设,现在CNN被中国人黑了。“是否有人认为这是中国人的功劳并不重要。如果我们可以说这是来自中国,那就很重要了,”科尔特说。

为了建立更强大的防御,安全团队需要学习更好的进攻策略。进攻性的知识可以把优势转化为防御优势。他们能够在攻击发生之前尝试新的东西,并确定工具是否真的有效。

网络维护者需要知道谁是自己的敌人都在以了解如何扩大不仅仅是那些已知的漏洞。“如果他们能主动和预测,他们将有结果的更好的控制,”科特勒说。

鉴于攻击属性是如此具有挑战性的,有些像罗伯特·李,CEO和德拉戈什的创始人认为,“在战术威胁智力水平真正归属是不仅危害良好的安全习惯。”

李在自己的博客中写道,“寻找和避免网络攻击的真正原因的问题“,即归属可能导致分析师做出应有的认知偏见误导的假设。

“分析凑到如此严重的人类思维过程,它可以使我们不恰当的结论。现在,而不是保持开放的态度,并寻找威胁在网络中我们的分析师堕入其中,分析师正在寻找确认偏见数据不同的基于他们的原假设,”李写道。

相比之下,FireEye的威胁情报经理约翰·米勒(John Miller)说,“如果能让他们采取行动,那就很有价值。”当它允许安全团队了解攻击者的意图,并允许他们采取对策。”

无论是安全团队对什么是对或广泛的领先优势相对开放式的领导,“归因谁负责能帮乡亲们能够更好地了解他们在做什么,超出了他们的所看到的东西,”米勒说。

举例来说,钴罢工,钢笔测试人员使用的工具,并可购买。众所周知,许多攻击者使用该工具。米勒说:“如果网络防御人员发现了Cobalt Strike,它只会告诉他们这是恶意行为,但仅此而已。”

但是,如果该工具与Fin7有关,一个被确认使用该工具的组织,Miller说,“他们可以查看针对Fin7操作的恶意软件和其他工具,即使他们还没有发现它们。”这让他们知道还需要寻找什么,还应该采取哪些步骤。”

归因是没有用的,当它不提供任何操作的机会,”米勒说,‘它不给守城任何有意义的方式跟进的能力。’

由于很多组织已经失去了归因的价值所在以及他们可以用它做什么,他们变得怀疑。米勒说:“人们倾向于喜欢在他们正在处理的事情上展现出真实的一面,尤其是对于那些在技术方面并不了解的人来说。”

他们看到的攻击属性,以此来获得关于攻击者的知情叙事,或“他们通过内部能力追求的归属没有真正知道如何处理信息办,”米勒说。

对于任何一个组织来说,他们要处理的大部分事件都不是那么重要,也不值得花很多时间。米勒说:“我们面临的挑战是弄清楚它的重要性,他们可以通过归因线索来做到这一点。”

怀特哈特安全公司(WhiteHat Security)的威胁研究中心副总裁瑞安·奥利里(Ryan O’leary)也认为,在对他们的漏洞进行优先排序时,归因很重要。

“如果你是一家企业,你想修补漏洞。如果你知道谁在攻击你,就能让分清主次更容易一些。”奥利里说。在事情的大计划中,归因真的不重要,因为如果一个企业有一个漏洞,那么攻击者就有一个入口点。

署名确实,但是,在帮助,“如果他们知道有人正在针对他们的DDoS攻击,他们可能想要去坚定自己的服务器,这有助于他们优先考虑的是自己的盘,”奥利里说。

考虑到一些网络罪犯是懒惰的,他们会去寻找已知的容易的漏洞。归因为安全团队提供了他们需要的信息来识别漏洞,以便修复它们。

“他们可以花钱解决问题,而不是分析趋势,弄清楚谁在试图攻击它们。”这是为了减少攻击面,”奥利里说。

当归属用于国防和优先级,它有很大的价值。“如果目标是使用它的进攻,为后他们去,是不是有用。这些人的地方,你不能起诉他们。人们希望在许多不同的方式使用数据,但在某些情况下,,它没有任何意义,”奥利里说。

尽管对攻击归属的挑战和参数,指导首席执行官Patrick丹尼斯说,有很多的价值归属,特别是对安全行业的大。

“我们可以学到很多东西,当我们学会发起攻击的来源,无论是第1级攻击或使用曾经是零一天,修改一个2级的攻击者。有很大的好处的行业中确定趋势,”丹尼斯说过。

是的,分析人员可以得到它是不是错了得出一个结论完全,有些人可能看到的是浪费时间,但归属是不是一个一刀切的解决方案。

“他们没有属性的每一次攻击,但有一类攻击的价值确定的。以同样的方式,这将是不可接受的属性不杀人,如果我们不揣摩出一个大规模的攻击来自何方,那将是不可接受的,”丹尼斯说。

署名梳理了攻击者的范畴。“它可以帮助确定谁在执行攻击,他们是多么有能力,资源,他们有这么说你应该做的是那么多通知。它可以帮助以更有意义的方式有关配合执法或FBI作出决定,”丹尼斯说。

理想情况下,该行业应该分享他们所看到的归因信息,以更好地打击他们在群体中看到的东西,就像执法机构在打击实体犯罪时的合作方式一样。

这个故事,“这是什么攻击属性值?”最初由出版方案

加入网络世界社区有个足球雷竞技app脸谱网LinkedIn对最重要的话题发表评论。
有关:

Kacy Zurkus是CSO的特约作者,涵盖了各种安全和风险主题。

版权所有©2017年Raybet2

工资调查:结果是