Атрибуция кибератак (презентация)

SecOps
На прошлой неделе зашел в одном телеграм-канале спор о том, что такое атрибуция кибератак. Я настаивал и настаиваю на том, что атрибуция — это дисциплина, которая отвечает всего на один вопрос — «КТО стоит за кибератакой». Ничего более. Мои оппоненты исходили из идеи, что определение авторства атаки — это устаревший подход и сегодня атрибуция — это больше ответ на вопрос — «КАК осуществляется атака». То есть в «моем» случае речь идет об атрибутах автора нападения, а у оппонентов — об атрибутах самой атаки.

Я в корне не согласен с такой постановкой вопроса и на это у меня две причины. Первая заключается в том, что атрибуция как определение авторство — это общепризнанное определение. Его так понимают во всем мире и какой бы материал, книгу, презентацию мы не взяли, там так и будет рассматриваться атрибуция 🙂

Вторая причина заключается в том, атрибуция — это часть более крупного процесса под названием Threat Intelligence и вся картинка будет выглядеть следующим образом:

  • определение того, ЧТО на вас напало — работа с индикаторами компрометации
  • определение того, КАК это произошло — определение тактик, техник и процедур злоумышленников
  • определение того, СЛУЧАЙНО ли это произошло или является частью целой КАМПАНИИ
  • определение того, КТО стоит за атакой и ПОЧЕМУ кто-то нас атакует.
То есть атрибуция — это всего лишь вершина Threat Intelligence, достижение которой нужно не всем и не всегда. В обычной корпоративной среде обычно хватает ответов на первые два, максимум, три вопроса.
И вот по случаю я решил выложить презентацию по атрибуции, которую я делал для прошлогодней конференции Antifraud Russia 2018. Я тогда заболел и не смог ее прочитать и поэтому кроме парочки закрытых мероприятий я ее нигде и не читал. Чего добру пропадать — выкладываю 🙂

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).