多数企业不能通过归因获得更好的安全态势。实际效果恰恰相反。
说到网络安全,全世界都执着于归因。太多耸人听闻的头条全是质问、猜测或者号称证实攻击者身份的。或许,分类和响应事件时天然就有回答 “攻击者是谁” 的冲动吧,但大多数情况下,这绝不是巩固安全的正确途径。很多安全主管都在一种错误的前提下管理公司安全操作,总将 “攻击者” 等同于 “攻击方法”,这种观念不仅适得其反,还十分危险。
公司企业遭攻击是常态,也往往苦于无法快速响应和缓解攻击以评估损失。安全团队需快速查清攻击途径,才可以采取相应措施防止同类事件再次发生。也就是说,团队需将注意力集中到受影响数据及设备、特定攻击方法,以及怎样关闭可能仍旧暴露在外的访问点上。搞清攻击背后的威胁团伙身份是一项消耗时间、精力和资源的活动,会分散保持公司网络安全所需的人手和资源。
不妨想象一下这样的场景:公司首席财务官落入商业电邮欺诈陷阱,按照精心编造的电邮指示向第三方转账了大笔资金。搞清攻击背后主谋的身份并不能防止类似攻击再次发生,对找回被盗资金、商业秘密或其他产权也毫无作用。
归因研究是大多数 IT 和安全团队都承担不起的精力分散,是在浪费宝贵的时间和预算。与其投入归因,团队更应该彻底了解到底发生了什么,围绕更有益防患于未然的问题进行深入细致的技术性分析,比如:入侵者是怎么进来的?他们是怎么访问到那些数据的?钱都转到哪儿了?使用了哪些账户?
再举个勒索软件攻击的例子。随着攻击者从广撒网式技术转向更个性化的定制攻击,公司企业需了解勒索软件是如何部署的,而不是专注于到底哪个黑客团伙在投放哪种恶意软件。应从 “X 如何驱动 Y?”的角度解决该风险。从这个意义上讲,对防御者而言,理解外部可访问管理协议是怎么方便了勒索软件部署的,远比去研究归因来得重要。
作为安全分析师,事件发生后第一时间应该做的事有:
1. 了解你的资产
安全团队历来人手不足、资金不足、支持不足,且时间永远是最昂贵也最有限的资产。把时间花在确定归因上不如花在别的地方。团队应全力聚焦了解自身网络,理解失误是怎么发生的,然后制定出防止未来类似事件再次发生的计划。他们应该询问有关自身网络和终端的问题,重点突出可见性问题,汲取以往过失的教训,弄清架构上的特异之处。
2. 威胁数据用起来
多数公司企业并未用好手边的大量威胁数据,或者未有效使用自身环境验证威胁数据。相反,他们依赖这些数据的源头来确定流行程度。但健壮的整体防御态势和通过威胁追捕进行的威胁评估,比攻击者识别更有价值。
有经验的威胁猎手了解并提炼可行性基础情报,使用该数据主动发现潜在入侵。对他们而言,“攻击者”不过是辅助组织战术、技术和规程 (TTP) 的诸多标签之一,应被当成事后行为,是“事后报告”或经验总结阶段的一环。
3. “攻击者”什么时候重要?
“无视归因” 原则也有一些例外。知道谁是攻击背后主谋,对已经具备成型防御操作、足够可见性和组织良好的威胁追捕及威胁情报团队的成熟企业而言,帮助很大。对已经可以很轻松地弄清对手 “攻击方法” 和 “攻击目标” 的公司而言,归因可以作为评估潜在对手的一部分工作,让公司能够优化防御动作。
安全社区执行的调查也需要归因的加持。从 “嫌疑人 X 会怎么做?” 的角度展开调查,有利于威胁研究人员和司法机构构建自身威胁追捕行动。敌对行为细致分类,也可促进同行间威胁信息共享,创建更好的行业协作空间。
虽说任由好奇心主宰初始动作的想法听起来很诱人,但公司企业应避免落入归因陷阱。审查自身全部安全项目,了解资产内容和位置,分析这些数据,才是公司企业真正该做的。多数企业不能通过归因获得更好的安全态势。相反,归因实际上会令人放下更基础更有效的事件响应措施,而去进行 “谁干了这事儿?” 的研究,对阻止威胁、巩固防御起到反效果。