يمكن أن يكون الإسناد عملية صعبة. في حالة هجوم DDOS ، غالبًا ما يستخدم ممثلو التهديدات شبكات روبوت لتوجيه حجم كبير من حركة المرور إلى هدف ، ويخطو تلك الشبكة وتعطيل خدمتها.
بعد انقطاع في x تسبب في هجوم DDOs ، سأل الكثير من الناس عن من المسؤول. إيلون موسك اللوم على أوكرانياتقارير Politico. خبراء الأمن السيبراني دفعت إلى الخلف ضد هذا التأكيد. وفي الوقت نفسه ، ادعت Dark Storm ، وهي مجموعة مؤيدة للفلسطينيين ، مسؤولية مزيد من المحاولات المشوهة للإسناد.
“الروبوتات عمومًا هي شبكة من أجهزة الكمبيوتر المعرضة للخطر. في جوهرها ، فهي [a victim] يتم ضربها من عناوين IP مختلفة ، وأنظمة مختلفة. لذلك ، لا يمكنك حقًا تحديد أنه جاء من هذا الموقع المحدد ، مما يجعل من الصعب تحديد السبب الجذري “. Apexanalytix، مورد على متن الطائرة ، وإدارة المخاطر ، والانتعاش شركة الحلول.
كيف ينبغي أن تفكر CIOs و CISO في الإسناد ونهجهم الخاص عندما يواجهون التنقل في أعقاب الهجوم الإلكتروني؟
فيشال جروفر
فيشال جروفر
أهمية الإسناد
الإسناد مهم. لكنها ليست بالضرورة الأولوية الأولى أثناء الاستجابة للحوادث.
يقول راندولف بار ، CISO في CISO: “إن … القلق الذي ربما يكون لديّ كـ CISO يعالج الضعف الذي سمح لهم في الباب في المقام الأول”.أمن Cavenence، API و BOT COMPANY.
بمجرد أن يعالج فريق الاستجابة للحوادث الضعف ويضمن عدم دقة الجهات الفاعلة في التهديدات في أي أنظمة ، يمكنهم البحث في الإسناد. من أعدم الهجوم؟ ما هو الدافع؟ يمكن أن يساعد الحصول على الإجابات على هذه الأسئلة في الفرق الأمنية على تخفيف مخاطر الهجمات المستقبلية من نفس المجموعة أو المجموعات الأخرى التي تستفيد من التكتيكات المماثلة.
بالطبع ، كلما كانت الشركة أكبر وأكثر انتشارًا للاضطراب ، كلما كانت الدعوات الصعبة لإسنادها. يقول بار: “عندما يكون لديك منظمة كبيرة مثل X ، سيكون هناك الكثير من الأشخاص الذين يطرحون الأسئلة. عندما يتورط الأشخاص الآخرون ، يصبح الإسناد مهمًا”.
بالنسبة للمنظمات الأصغر ، قد يكون الإسناد أولوية أقل حيث تستفيد من موارد محدودة للعمل من خلال العلاج أولاً.
كيفية معالجة الإسناد
في بعض الحالات ، قد يكون الإسناد بسيطًا جدًا. على سبيل المثال ، من المحتمل أن تكون عصابة الفدية الصريحة بشأن هويتها ودوافعها المالية.
لكن الجهات الفاعلة التهديد التي تدخل في الأضواء ليست دائما الجناة الحقيقيين. “في بعض الأحيان يدعون الناس علنًا أنهم فعلوا ذلك ، لكن لا يمكنك بالضرورة أن تؤكد بالضرورة أنهم فعلوا ذلك بالفعل. إنهم قد يريدون العيون عليها” ، يشير بار.
يميل الإسناد إلى أن تكون عملية معقدة تستغرق وقتًا وموارد كبيرة: كل من الأدوات الفنية وذكاء التهديد. سواء تم القيام به داخليًا أو بمساعدة من الخبراء الخارجيين ، تتوج عملية الإسناد عادةً في تقرير يوضح بالتعويض عن الهجوم ويسمي الطرف المسؤول ، بدرجات متفاوتة من الثقة.
في بعض الأحيان قد لا تحصل على إجابة نهائية. يقول جروفر: “هناك أوقات لن تتمكن فيها من تحديد السبب الجذري”.
الإسناد وتبادل المعلومات
يمكن أن تساعد الإسناد على شرك المؤسسة الفردية في زيادة خطة الاستجابة للأمن وخطة الاستجابة للحوادث ، ولكن لديها أيضًا قيمة لمجتمع الأمن الأوسع.
يقول جروفر: “هذا أحد الأسباب الرئيسية لذهابك وحضور مؤتمر أمني أو اجتماع أمني. أنت بالتأكيد تريد مشاركة تجاربك ، والتعلم من تجاربهم ، وفهم منظور الجميع”.
يمكن أن تتعاون فرق التهديد الذكاء والأمن مع بعضها البعض وتبادل المعلومات حول المجموعات التي تستهدف منظماتها. قد تلتقط فرق Intel التهديد أيضًا معلومات حول الهجمات المخطط لها على شبكة الإنترنت المظلمة. مشاركة هذه المعلومات مع الأهداف المحتملة أمر ذي قيمة.
يقول بار: “نحن نبني تلك العلاقات حتى نعلم أنه يمكننا الوثوق ببعضنا البعض لنقول ،” مهلا ، إذا جاء اسمنا ، فيرجى إخبارنا “.
ليس لدى جميع الشركات ثقافة تكرّر هذا النوع من تبادل المعلومات. الهجمات الإلكترونية تأتي مع الكثير من الأمتعة. هناك مسؤولية للقلق. تلف العلامة التجارية. فقدان الإيرادات. وعلى مجرد إحراج عادي. أي واحد من هذه العوامل ، أو مزيج منها ، يمكن أن يدفع المؤسسات إلى الخطأ على جانب الصمت.
يقول بار: “ما زلنا نحاول معرفة ، بصفتنا أخصائيي الأمن ، ما الذي يسمح لنا بإجراء تلك المحادثة مع أخصائيي الأمن الآخرين وعدم القلق بشأن تعريض الأعمال”.
