日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

埋頭于電子取證分析，期望挖掘出攻擊者身份并起訴之的人，往往會發(fā)現(xiàn)花在攻擊歸因溯源上的時(shí)間毫無收獲。但是，如果他們的目的，換成利用攻擊溯源所得，指導(dǎo)從預(yù)防到響應(yīng)的整個(gè)安全規(guī)程，那么歸因溯源的努力就會產(chǎn)出豐厚回報(bào)。

在網(wǎng)站設(shè)計(jì)制作、做網(wǎng)站中從網(wǎng)站色彩、結(jié)構(gòu)布局、欄目設(shè)置、關(guān)鍵詞群組等細(xì)微處著手，突出企業(yè)的產(chǎn)品/服務(wù)/品牌，幫助企業(yè)鎖定精準(zhǔn)用戶，提高在線咨詢和轉(zhuǎn)化，使成都網(wǎng)站營銷成為有效果、有回報(bào)的無錫營銷推廣。創(chuàng)新互聯(lián)公司專業(yè)成都網(wǎng)站建設(shè)10年了，客戶滿意度97.8%，歡迎成都創(chuàng)新互聯(lián)客戶聯(lián)系。

業(yè)內(nèi)很多專家都被問過：歸因溯源真的有什么價(jià)值嗎?SafeBreach共同創(chuàng)始人兼CEO伊特茲克·科特勒曾經(jīng)說過：“歸因溯源本身唯一有趣的地方，就是將信息分類存放，然后一次又一次地利用?！?/p>

科特勒舉了個(gè)例子，假設(shè)CNN被某國黑了，有沒有人能證明是某國人干的并不重要，但能不能公開說我們認(rèn)為攻擊來自中國才是關(guān)鍵。

為創(chuàng)建強(qiáng)大的防御，安全團(tuán)隊(duì)需要學(xué)習(xí)更多攻擊策略。攻擊知識可轉(zhuǎn)換成防御優(yōu)勢，團(tuán)隊(duì)可以在攻擊發(fā)生前嘗試新工具新技術(shù)，確定這些工具是不是真的有效。網(wǎng)絡(luò)防御者需要知道對手是誰，才能不局限在已知漏洞中而放過其他的問題。如果能夠做到積極主動且有預(yù)見性，就能更好地控制后果。

鑒于攻擊歸因溯源太過困難，有些人，比如Dragos創(chuàng)始人兼CEO羅伯特·M·李，則持反對意見，他認(rèn)為“技術(shù)性威脅情報(bào)層面上真正的歸因溯源，只會對良好的安全實(shí)踐造成傷害?！?/p>

其博客文章《追尋和避免網(wǎng)絡(luò)攻擊真正歸因溯源的幾個(gè)問題》中寫道：“該歸因溯源，可致分析師因認(rèn)知偏差而做出誤導(dǎo)性假設(shè)?！?/p>

“該分析極端依賴人類思考過程，會把我們引向不恰當(dāng)?shù)慕Y(jié)論。如今，我們的分析師不是保持開放性思維并在網(wǎng)絡(luò)上搜索威脅，而是淪為了確認(rèn)偏差的犧牲品，根據(jù)自己最初的假設(shè)來看待數(shù)據(jù)?！?/td>

與之相反，火眼威脅情報(bào)經(jīng)理約翰·米勒稱：“只要能采取行動，就是有價(jià)值的。歸因溯源可使安全團(tuán)隊(duì)了解攻擊者的意圖，也就能采取合適的對策?！?/p>

對于當(dāng)前發(fā)生的事情，無論安全團(tuán)隊(duì)掌握的線索是相對集中還是漫無目的，知道誰該為攻擊負(fù)責(zé)，依然有助于更好地挖掘表面之下的攻擊。

就拿 Cobalt Strike 做例子吧。這是個(gè)滲透測試員使用的工具，但也可以在市面上買到，誰都知道有很多攻擊者也使用該工具?！熬W(wǎng)絡(luò)防御者發(fā)現(xiàn) Cobalt Strike，僅僅說明網(wǎng)絡(luò)中有惡意活動正在進(jìn)行，除此之外什么都說明不了。”

但是，如果該工具與 Fin7 聯(lián)系起來，他們就可以進(jìn)一步搜索銷售終端惡意軟件和其他 Fin7 特定工具——盡管尚未檢測到。知道攻擊者身份，可以指示還應(yīng)該查看什么，以及應(yīng)該采取的其他措施。

提供不了任何行動機(jī)會，那歸因溯源就沒用，不能以有意義的方式賦予防御者跟進(jìn)的能力。

因?yàn)楹芏喙径纪鼌s了是什么讓歸因溯源有價(jià)值，也不知道自己能用歸因干什么，他們就變得十分懷疑?！叭藗儍A向于喜歡自己熟悉的東西，尤其是那些技術(shù)上不太懂的人?！?/p>

他們把攻擊歸因看做了解攻擊者的一種方式，要不就在對歸因信息通途毫無概念的情況下通過內(nèi)部能力來歸因。

任何一家公司，每天處理的大量事件，并非都是那么重要，根本不值得花費(fèi)那么多時(shí)間。

“難點(diǎn)在于分辨出真正重要的東西，找出能利用歸因線索所做的事?！?/td>

白帽安全威脅研究中心副總裁瑞恩·奧利阿里也贊同此觀點(diǎn)。他認(rèn)為，只有在能對漏洞進(jìn)行優(yōu)先級劃分的情況下，歸因才有效果。

“一家企業(yè)，如果想要修復(fù)漏洞，要是知道是誰在攻擊，那么漏洞優(yōu)先級確定會稍微容易一點(diǎn)?！?/p>

大面上來說，歸因溯源真沒什么用，因?yàn)橹灰髽I(yè)有漏洞，攻擊者就有入口點(diǎn)。

但是，如果企業(yè)知道有人想對自己來次DDoS，那就可能會加固一下服務(wù)器。這里，歸因確實(shí)起到了作用，幫助企業(yè)確定了該優(yōu)先做什么。

鑒于有些網(wǎng)絡(luò)罪犯挺懶，他們很可能就用簡單易用的已知漏洞了。歸因可為安全團(tuán)隊(duì)提供識別漏洞所需的信息，方便他們修復(fù)。

“他們可以將錢花在修復(fù)漏洞上，而不是去做趨勢分析和查找誰要攻擊他們。這就是個(gè)減小攻擊界面的活兒?！?/p>

當(dāng)歸因被用于防御和優(yōu)先化，其價(jià)值可以很大。“如果目標(biāo)是用于攻擊，用于追捕攻擊者，那還真起不到多大作用。這些人往往身處起訴不了的地方。人們總想以各種方式使用數(shù)據(jù)，但某些情況下，并沒有什么意義。”

盡管圍繞攻擊歸因有著許多爭論與挑戰(zhàn)，Guidance首席執(zhí)行官帕特里克·丹尼斯，認(rèn)為其中蘊(yùn)含有極大價(jià)值，尤其是在整個(gè)安全產(chǎn)業(yè)領(lǐng)域。

“我們可以從攻擊源頭處了解到很多東西，無論是1級攻擊者，還是使用改造版老零日漏洞的2級攻擊者，對整個(gè)安全行業(yè)來說，在攻擊趨勢發(fā)現(xiàn)上都有極大好處?！?/p>

好吧，分析師們可以誤解，也不用達(dá)成什么共識，統(tǒng)一思想這事兒在有些人看來就是浪費(fèi)時(shí)間，但歸因確實(shí)不是什么普適解決方案。

“不用歸因每個(gè)攻擊，但還是有那么一類攻擊值得識別。就像不追查殺人犯是不可接受的一樣，但如果我們不找出大規(guī)模攻擊的出處，同樣不可接受?！?/td>

歸因?yàn)楣粽叻诸?，“有助于確定是誰在執(zhí)行攻擊，他們的能力有多大，他們有什么資源，這樣我們也就對下一步應(yīng)采取什么行動有了底。這還有助于決定要不要牽涉進(jìn)司法部門或者FBI?！?/p>

理想情況下，業(yè)內(nèi)會共享歸因信息，以便形成合力，更好地對抗攻擊;就像司法機(jī)構(gòu)聯(lián)合辦案偵破現(xiàn)實(shí)犯罪一樣。

【本文是專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

本文題目：攻擊溯源的價(jià)值到底在哪里？
分享URL：http://www.dlmjj.cn/article/dpedidj.html