Атрибуция кибератак (презентация)

На прошлой неделе зашел в одном телеграм-канале спор о том, что такое атрибуция кибератак. Я настаивал и настаиваю на том, что атрибуция - это дисциплина, которая отвечает всего на один вопрос - "КТО стоит за кибератакой". Ничего более. Мои оппоненты исходили из идеи, что определение авторства атаки - это устаревший подход и сегодня атрибуция - это больше ответ на вопрос - "КАК осуществляется атака". То есть в "моем" случае речь идет об атрибутах автора нападения, а у оппонентов - об атрибутах самой атаки.

Я в корне не согласен с такой постановкой вопроса и на это у меня две причины. Первая заключается в том, что атрибуция как определение авторство - это общепризнанное определение. Его так понимают во всем мире и какой бы материал, книгу, презентацию мы не взяли, там так и будет рассматриваться атрибуция :-)

Вторая причина заключается в том, атрибуция - это часть более крупного процесса под названием Threat Intelligence и вся картинка будет выглядеть следующим образом:

• определение того, ЧТО на вас напало - работа с индикаторами компрометации
• определение того, КАК это произошло - определение тактик, техник и процедур злоумышленников
• определение того, СЛУЧАЙНО ли это произошло или является частью целой КАМПАНИИ
• определение того, КТО стоит за атакой и ПОЧЕМУ кто-то нас атакует.

То есть атрибуция - это всего лишь вершина Threat Intelligence, достижение которой нужно не всем и не всегда. В обычной корпоративной среде обычно хватает ответов на первые два, максимум, три вопроса.

И вот по случаю я решил выложить презентацию по атрибуции, которую я делал для прошлогодней конференции Antifraud Russia 2018. Я тогда заболел и не смог ее прочитать и поэтому кроме парочки закрытых мероприятий я ее нигде и не читал. Чего добру пропадать - выкладываю :-)

Атрибуция кибератак from Aleksey Lukatskiy