Определение источника угрозы (атрибуция)
Атрибуция в кибербезопасности - это анализ наблюдаемых доказательств для идентификации субъектов в киберпространстве. Доказательства могут принимать разные формы. Поведение злоумышленника, инструменты, методы, тактики, процедуры, возможности, мотивы, намерения и другая информация - все это позволяет сформировать полезный контекст и стимулирует реагирование на инциденты в области безопасности.
Предположим, у вас дома сработала сигнализация, что означает разбитое окно. Ваша реакция будет различной в зависимости от атрибуции: пожарный, который ворвался в дом, чтобы потушить огонь, — это не то же самое, что грабитель, пробравшийся с целью украсть ваши вещи, или шальной мяч для гольфа, попавший именно в ваше окно. Разумеется, правильная атрибуция — это не всегда просто. Вор может несколько усложнить опознание, надев перчатки и маску. Также он может переодеться в пожарного, чтобы скрыть свою личность и обманом заставить хозяев впустить его. Вор может подбросить, уничтожить или замести за собой следы преступления во время или после его совершения, усложняя дальнейшую работу следователей. По-настоящему хитрый преступник может даже подставить другого человека, используя поддельные отпечатки пальцев, украденные образцы волос, крови или предметы одежды, реалистичную маску, напечатанную на 3D-принтере, или оружие, приобретенное у ничего не подозревающего простофили. Если у обвиняемого нет алиби или есть мотив для совершения этого преступления, у властей будут все основания для ареста бедолаги.
С этими и другими проблемами атрибуции сталкиваются специалисты по кибербезопасности. Она осложняется из-за присущей киберсреде анонимности. Даже после выполнения непростой задачи по отслеживанию атаки вплоть до физического адреса компьютера специалисту по кибербезопасности может быть чрезвычайно сложно определить личность злоумышленника. Чтобы отследить на скомпрометированной машине, откуда он, приходится блуждать по туннелям, VPN, шифрованию и арендованным машинам, где нет внятных журналов или доказательств. Особо хитрые злоумышленники могут даже взламывать чужие машины, удаленно подключаться к ним и использовать их в качестве плацдарма для атаки на другие системы. После обнаружения злоумышленника стоит не блокировать его сразу же, а некоторое время последить за ним, чтобы определить его личность и цели. Более подробно это описано в книге: Stoll C. The Cuckoo’s Egg: Tracking a Spy Through the Maze of Computer Espionage. New York: Pocket Books, 2005.
Иногда хакеры специально оставляют после себя инструменты или другие доказательства, чтобы «помочь» в составлении атрибуции. Известно, что Соединенные Штаты, Россия и Северная Корея изменяли или копировали сегменты кода, инфраструктуру и артефакты своих киберинструментов, чтобы следствие пошло по ложному следу [13]. Когда специалисты по кибербезопасности обнаруживают и исследуют функционал особо скрытных вредоносных программ, иногда им удается обнаружить в коде уникальные строки. Возможно, их просто упустили из виду - и тогда это ошибка разработчика. Но они могут быть и ложными доказательствами, предназначенными для обнаружения и неверной атрибуции.
Обратите внимание на то, что для обмана и для идентификации личности используются одни и те же инструменты. Дампы памяти, образы дисков, реестры, кэши, сетевые записи, журналы, сетевые потоки, анализ файлов, код, метаданные и многое другое позволяют выявить субъекта киберугрозы. Различные разведывательные дисциплины, такие как сигнальная разведка (signal intelligence, SIGINT), киберразведка (cyber intelligence, CYBINT) и разведка по открытым источникам (open source intelligence, OSINT), также вносят свой вклад в атрибуцию, а разведка по человеческим источникам (human intelligence, HUMINT) позволяет собирать данные из определенных источников, которые после обработки и анализа помогают определить источник кибератаки. Эти возможности обычно держатся в секрете, так как если злоумышленники узнают об их существовании, они смогут научиться обходить их и усложнить процесс атрибуции.
