Upload
aleksey-lukatskiy
View
3.668
Download
0
Embed Size (px)
Citation preview
11 октября 2016Бизнес-консультант по безопасности
Атрибуция кибератакАлексей Лукацкий
США атакованы «Россией»! Кто в действительности стоит за атакой?
Последние атрибуции
• Место регистрации IP-адресов и доменов, участвующих в атаке, или предоставляющих инфраструктуру для реализации атаки
• Трассировка атаки до ее источника • ВременнЫе параметры • Анализ программного кода, в котором могут быть найдены
комментарии, ссылки на сайты, домены, IP-адреса, которые участвуют в атаке
• Изучение «почерка» программистов
Методы атрибуции обычно применяются в совокупности
• Стилометрия (изучение стилистики языка в комментариях и иных артефактах)
• Обманные системы (honeypot)• Анализ активности на форумах и в соцсетях• Анализ постфактум (продажа украденной информации…)• Оперативная разработка
Методы атрибуции обычно применяются в совокупности
• Хакеры действовали из часового пояса, в котором находится Москва
• Хакеры действовали в то время, когда в Москве рабочие часы
• Хакеры действовали с IP-адресов, зарегистрированных в России
• Хакеры использовали сервисы, у которых был русскоязычный интерфейс
Одиночные «доказательства» русского следа
Геополитические
Правовые
Технические
Почему точная атрибуция невозможна?
© 2015 Cisco and/or its affiliates. All rights reserved. 7
Экономические
Психологические
Кто виноват и что делать: геополитика
- Политики не хотят разбираться, а хотят быстрого вердикта- Нужен «образ врага»- Отсутствие географическое привязки в киберпространстве
- Налаживать взаимоотношения
Поч
ему
нель
зя?
Что делать?
Кто виноват и что делать: юриспруденция
- Юрисдикции разных стран- Отсутствие международных норм- Языковые проблемы взаимодействия
- Выработка международных норм (СНВ, НЯВ)- Фокус локального законодательства на киберпреступления- Двусторонние соглашения
Поч
ему
нель
зя?
Что делать?
Кто виноват и что делать: техника
- Децентрализация и распределенностьИнтернет- IPv4- Анонимайзеры и прокси (посредники)- Аренда abuse-устойчивого хостинга
- Унификация правил мониторинга, учета и обмена трафиком- IPv6- Межпровайдерскиесоглашения- ГосСОПКА
Поч
ему
нель
зя?
Что делать?
Кто виноват и что делать: экономика
- Бесперебойностьфункционирования и возврат в предатакованноесостояние превыше безопасности- Сознательное скрытие следов- Долговременность хранения логов
- Повышение культуры ИБ- Ответственность за сокрытие следов- Мотивация операторов связиП
очем
у не
льзя
?Что делать?
Кто виноват и что делать: психология
- Все неизвестное вызывает отторжение- Инертность мышления (ориентация на «войны» и «конфликты»)
- Повышение культуры ИБ- Привлечениеэкспертов
Поч
ему
нель
зя?
Что делать?
• Однозначная атрибуция в современном мире невозможно даже на техническом уровне
• Техническая атрибуция позволяет определить страну и, максимум, физическое/юридическое лицо, стоящее за кибератакой, но не позволяет определить умысел
• Государства не готовы (геополитически, юридически, психологически, экономически) к настоящей атрибуции
• В современном мире атрибуция – это скорее инструмент геополитической борьбы, чем способ поиска доказательств вины киберпреступников
В качестве резюме
Спасибо!alukatsk at cisco dot com