对于任何恶意行为,人们通常都会本能地想知道是谁干的,为什么这么做。但这对于面临网络攻击的企业来说无关紧要。
当防御者过分重视针对组织的威胁团体和犯罪分子时,他们会无意中削弱可以更有效地降低风险的战略重点。
Palo Alto Networks Unit 42 威胁情报高级总监 Andy Piazza在 Black Hat 接受采访时表示,绝大多数组织没有时间或资源来应对追踪网络犯罪集团的混乱局面。
皮亚扎说:“你作为防御者不应该关心这些。”防御者可以通过开发检测和应对恶意策略、技术和程序的能力来更好地为组织服务。
当这些组织被冠以“散布蜘蛛”、“午夜暴风雪”和“花式熊”等名称时,我们很难忽视其戏剧性,但将网络攻击的罪犯神话化可能会削弱防御者检测和阻止恶意活动的能力。
许多网络安全供应商和威胁情报团队遵循威胁组的独特命名约定。
IBM Security X-Force 和 Mandiant 在命名方案中使用数字,而 CrowdStrike、Microsoft 和 Unit 42 则创建名称。Microsoft 甚至有一个命名分类法,规定了它为威胁团体分配什么天气系统或颜色。
最令人难忘的名字往往是那些在整个行业对话中留下深刻印象的名字,但人们担心华丽的名字可能会美化其能力。
“这些恶棍是戴着兜帽的陌生人,在阴影中神秘行动。他们是来自地狱的恶魔,是圣经中的野兽。我们给他们起的名字暗示着力量和魅力,”网络安全和基础设施安全局局长 Jen Easterly在上周的黑帽大会主题演讲中说道。
“不幸的是,我们不会称它们为瘦弱的讨厌鬼、弱小的黄鼠狼或虚弱的雪貂,或者我个人最喜欢的傻瓜野狗。我们几乎是在低声和敬畏中谈论它们,”伊斯特利说。“它们是高级持续性威胁。他们使用复杂的漏洞或可怕的零日攻击。”
威胁团体不断改造结构
威胁团体的构成和联系不断变化。Unit 42 在 2024 年上半年追踪了 53 个活跃的勒索软件团体,其中六个团体占所有涉嫌攻击的一半以上。
犯罪团伙用于攻击企业的技术和勒索软件变种通常是重复性的,而且很少进行彻底改进。
“虽然有些人确实投入资源开发新的漏洞,但大多数时候他们利用的是相同的旧漏洞,有时他们只是运气好,”伊斯特利说。“这些恶棍没有超能力。我们不应该像对待超能力那样对待他们,但你知道,我们确实美化了他们。”
但安全公司经常会虚构威胁团体和实施网络攻击的个人。过去几年,在各大网络安全会议上,CrowdStrike 就以超大雕像的形式将威胁团体拟人化。
在去年的 RSA 大会上,CrowdStrike 展示了一个名为“Wizard Spider”的威胁组织的雕像。
2023 年 4 月 27 日,CrowdStrike 在旧金山举行的 RSA 大会上展示了巫师蜘蛛的雕像。
在上周的黑帽大会上,CrowdStrike 通过主门,坐在展厅入口的黄金位置,对 Scattered Spider 进行了同样超大规模的打击,该组织对米高梅度假村、凯撒娱乐和高乐氏等公司发动了重大攻击。
对于 CrowdStrike 来说,这些描述具有象征意义。“它们是 CrowdStrike 使命的象征:通过了解和智胜敌人来阻止入侵,”CrowdStrike 发言人通过电子邮件告诉 Cybersecurity Dive。“它们不是在美化对手,而是旨在将他们的恶意拟人化,并将网络安全对话提升到主流。”
这位发言人说:“对手提醒网络社区,每一次网络攻击的核心都是键盘后面的一个人。”
原文始发于微信公众号(独眼情报):专家表示:是时候停止将威胁团体视为超级反派了
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论