Подходы к атрибуции
Организациям, разумеется, хочется знать, кто атакует их системы и сети и откуда это делается. Понятно, что иногда даже хочется предпринять ответные меры вплоть до взлома, чтобы узнать личность злоумышленника. Вот только они, всегда найдут способы скрыть свое имя посредством отрицания и обмана, внося в атрибуцию немалую неопределенность. Кроме того, история учит нас, что необходимость в определении личности исчезла. В обозримом будущем мир вряд ли объединится, поэтому кибератаки между государствами, скорее всего, никуда не денутся. Ну а пока мир во всем мире не наступил, приведенные далее подходы к атрибуции способны помочь вам определить, что вы можете сделать с киберконфликтами.
1. Избавьтесь от когнитивных искажений. Оцените свои когнитивные искажения и логические ошибки. Слабые места в рассуждениях есть у всех, но мы можем помнить о них и работать над их исправлением. Исследуйте тему. Пересмотрите прошлые суждения, которые оказались неверными, определите, в чем была ваша ошибка, и подумайте, как улучшить свои аналитические способности. Эту задачу можно выполнять постепенно, маленькими (логические головоломки, кроссворды и головоломки — отличный способ улучшить когнитивные функции) или большими шагами. Вы можете читать статьи и книги по психологии, из которых можно много узнать о когнитивных искажениях и логических ошибках. Затем, вооружившись новыми знаниями, вы можете избавиться от собственных ошибок. Для получения дополнительной информации см.: Heuer R. J., Randolph Jr., Pherson H. Structured Analytic Techniques for Intelligence Analysis. Los Angeles: CQ Press, 2015.
2. Обеспечьте возможности выполнения атрибуции… Определите, какие источники данных, системы, знания и элементы управления вы можете использовать, чтобы организовать атрибуцию в вашей компании. Применяется ли в компании открытый незащищенный вайфай, который позволяет незарегистрированным и неопознанным лицам анонимно подключаться к вашей сети и инициировать атаки? Разрешают ли ваши маршрутизаторы использование поддельных IP-адресов, задействуются ли технологии защиты обратной пересылки (reverse-path forwarding, RFP) для предотвращения анонимных атак изнутри вашей сети? Правильно ли вы публикуете политику отправителя, предотвращая подделку адресов электронной почты злоумышленниками и действия под видом сотрудника организации?
Многие из перечисленных изменений конфигурации не влекут за собой прямых затрат ресурсов, но на внедрение таких широкомасштабных изменений потребуются труд, время и иные затраты, что может затормозить развитие бизнеса. Но тут стоит задуматься о том, поможет ли установить преступника принятое ранее решение купить хорошие камеры и обеспечить хорошее освещение у кладовщика. Введение методов ведения журналов, документации и сбора доказательств расширяет возможности атрибуции, улучшает технологическую подотчетность и позволяет конечным пользователям лучше видеть сетевые угрозы.
3. …или вообще забудьте об атрибуции. Совместно с заинтересованными лицами в вашей компании определите, сколько в целом сил и времени нужно уделять атрибуции. Для организаций, способных перехватывать субъекты угрозы или предпринимать контрнаступление, атрибуция обязательна. Однако многие компании не могут и не пытаются ловить или атаковать злоумышленников, выяснять их личность или возможности. И действительно, определение конкретного субъекта угрозы требуется не всегда. Для анализа угрозы и защиты от нее может быть достаточно знать о ней.
Например, предположим, что два злоумышленника посягают на интеллектуальную собственность вашей организации. Один хочет продать ее на черном рынке и заработать, а другой — использовать для создания систем вооружения для своей страны. Но на самом деле разницы между ними нет. Независимо от цели злоумышленников и способности организации их отследить, защитники должны думать о том, как не допустить самого проникновения. Не обязательно оценивать мотивацию злоумышленника, чтобы защититься от угрозы.
