Атрибуція кібератаки

Атрибуція кібератаки — це приписування(інші мови) кіберзлочину, тобто виявлення того, хто вчинив кібератаку^[1]. Викриття зловмисника може дати зрозуміти різні проблеми безпеки, такі як методи проникнення, канали зв'язку тощо, і може допомогти вжити конкретних контрзаходів. Атрибуція кібератаки — це дорога робота, яка вимагає значних ресурсів і досвіду в комп'ютерно-технічній експертизі.^[2]^[3]

Нісім Бен Саадон стверджує, що завдання атрибуції кібератаки має сенс для великих організацій: урядових установ і великих компаній у чутливих сферах, таких як охорона здоров'я та державна інфраструктура. Однак більшість малих і середніх підприємств (МСП) мало виграють від виявлення злочинців після атаки. На думку Б. Ен Саадона, малоймовірно, що атака спрямована на конкретне МСП; скоріше подія була супутнім злочином(інші мови) із використанням виявленої вразливості, і обмежені ресурси МСП розумніше витратити на виявлення відповідної вразливості та її усунення.^[2]

Урядам та іншим основним гравцям, які мають справу з кіберзлочинністю, знадобляться не лише технічні рішення, а й юридичні та політичні, а для останніх атрибуція кібератаки має вирішальне значення.^[3]^:xvii

Приписати кібератаку важко, і це обмежено цікавить компанії, на які націлені кібератаки. Навпаки, спецслужби часто зацікавлені в тому, щоб з'ясувати, чи стоїть держава за атакою.^[4]^:1 Ще однією проблемою при визначенні кібератак є можливість атаки під фальшивим прапором, коли фактичний злочинець створює враження, що атаку спричинив хтось інший.^[4]^:1 Кожна стадія атаки може залишити артефакти, такі як записи в журнальних файлах, які можна використовувати для визначення цілей та особи зловмисника.^[4]^{:1, 6} Після нападу слідчі часто починають зі збереження якомога більшої кількості артефактів, які вони можуть знайти, а потім намагаються визначити атакуючого.^[4]^:16

[1]

[2]

[3]

[4]

Атрибуція кібератаки

Див. також

Примітки

Подальше читання

Wikiwand - on