网络安全对抗行为(十八):用于了解恶意操作的模型及攻击归因和结论

admin 2022年7月25日01:02:57评论29 views字数 1334阅读4分26秒阅读模式

《网络安全知识体系》

对抗行为(十八):

用于了解恶意操作的模型及攻击归因和结论


攻击归因

在谈论恶意活动时,归因很重要。执法部门有兴趣了解某项行动背后的犯罪分子,特别是将明显无关的网络犯罪行动归咎于相同的行为者,可能有助于建立针对他们的法律案件。同样,政府也有兴趣找出他们所受到的攻击背后的罪魁祸首。特别是,他们有兴趣找出哪些民族国家(即国家)是这些攻击的幕后黑手。

然而,归因在网络空间中是一个有争议的话题。正如我们之前所讨论的,“地点”的概念是相对于计算机攻击而言的,攻击者可以通过第三国的代理或受感染的计算机轻松路由其网络连接,从而隐藏其实际位置。可以合理地假设,相同的行为者在攻击中将遵循类似的作案手法,特别是将使用相同的软件漏洞来闯入受害者的系统。这些漏洞利用和代码伪影可用于识别国家赞助的团体或其他攻击者(有关更多详细信息,请参阅恶意软件和攻击技术CyBOK知识区)。不幸的是,这种方法有两个主要缺点。首先,网络犯罪服务的商品化使攻击者能够使用漏洞利用工具包,其中包含大量漏洞利用,因此增加了攻击发生的可能性。虽然对攻击者有利,但这种趋势意味着所使用的漏洞利用成为识别攻击者的不太重要的信号,特别是那些不具备利用内部漏洞的复杂性(例如,支持网络的网络犯罪分子)的攻击者。这种趋势的例外是国家支持的行为者,与传统罪犯不同,他们通常有非常具体的目标。出于这个原因,他们可以更仔细地定制他们的攻击,甚至开发新的漏洞来打击特定的受害者。最重要的是,他们经常开发针对不为公众所知的漏洞的漏洞,也称为零日攻击。作为参与者所独有的它们可用于识别特定攻击的幕后黑手。这里的一个问题是,一旦使用漏洞,它可能会被受害者(或网络上的任何人)拦截,然后用于攻击另一个。目标受同一漏洞影响。这会严重误导归因。最近的泄密事件表明,中央情报局一直在积极收集其他民族国家使用的漏洞,并将其添加到他们的武器库中,从而允许他们将其看起来像另一个国家是任何给定计算机攻击的幕后黑手。8

Rid等人提出了一个框架,将网络攻击的归因工作系统化。在这个框架内,他们确定了正确执行归因所需的三层分析:战术,运营和战略。战术部分包括理解构成攻击的技术方面(如何),操作部分包括理解攻击的高级特征架构和我们正在处理的攻击者类型(什么),而战略部分则涉及了解攻击背后的动机(原因)。

虽然这个框架是在考虑国家支持的攻击的情况下开发的,但它可以用来归因于其他类型的恶意活动。例如,要归因于由4chan的政治不正确委员会策划的在线仇恨攻击,可以追踪到达受害者的仇恨信息(如何),观察受害者在董事会上的个人信息(什么)并分析有关受害者的讨论,以了解攻击背后的动机(为什么)。

 

结论


在本文档中,我们概述了在撰写本文时互联网上存在的对抗行为。我们根据攻击者的动机和能力调查了各种类型的恶意操作,并分析了设置成功恶意操作所需的组件。最后,我们描述了来自各个领域(计算机科学,犯罪学,战争研究)的许多建模技术,这些技术可以帮助研究人员和从业者更好地模拟这些操作。我们认为,拥有良好的模型对于开发难以规避的有效缓解措施至关重要。

原文始发于微信公众号(河南等级保护测评):网络安全对抗行为(十八):用于了解恶意操作的模型及攻击归因和结论

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月25日01:02:57
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   网络安全对抗行为(十八):用于了解恶意操作的模型及攻击归因和结论http://cn-sec.com/archives/1197833.html

发表评论

匿名网友 填写信息