11 октября 2016Бизнес-консультант по безопасности

Атрибуция кибератакАлексей Лукацкий

США атакованы «Россией»! Кто в действительности стоит за атакой?

Последние атрибуции

• Место регистрации IP-адресов и доменов, участвующих в атаке, или предоставляющих инфраструктуру для реализации атаки

• Трассировка атаки до ее источника • ВременнЫе параметры • Анализ программного кода, в котором могут быть найдены

комментарии, ссылки на сайты, домены, IP-адреса, которые участвуют в атаке

• Изучение «почерка» программистов

Методы атрибуции обычно применяются в совокупности

• Стилометрия (изучение стилистики языка в комментариях и иных артефактах)

• Обманные системы (honeypot)• Анализ активности на форумах и в соцсетях• Анализ постфактум (продажа украденной информации…)• Оперативная разработка

Методы атрибуции обычно применяются в совокупности

• Хакеры действовали из часового пояса, в котором находится Москва

• Хакеры действовали в то время, когда в Москве рабочие часы

• Хакеры действовали с IP-адресов, зарегистрированных в России

• Хакеры использовали сервисы, у которых был русскоязычный интерфейс

Одиночные «доказательства» русского следа

Геополитические

Правовые

Технические

Почему точная атрибуция невозможна?

© 2015 Cisco and/or its affiliates. All rights reserved. 7

Экономические

Психологические

Кто виноват и что делать: геополитика

- Политики не хотят разбираться, а хотят быстрого вердикта- Нужен «образ врага»- Отсутствие географическое привязки в киберпространстве

- Налаживать взаимоотношения

Поч

ему

нель

зя?

Что делать?

Кто виноват и что делать: юриспруденция

- Юрисдикции разных стран- Отсутствие международных норм- Языковые проблемы взаимодействия

- Выработка международных норм (СНВ, НЯВ)- Фокус локального законодательства на киберпреступления- Двусторонние соглашения

Поч

ему

нель

зя?

Что делать?

Кто виноват и что делать: техника

- Децентрализация и распределенностьИнтернет- IPv4- Анонимайзеры и прокси (посредники)- Аренда abuse-устойчивого хостинга

- Унификация правил мониторинга, учета и обмена трафиком- IPv6- Межпровайдерскиесоглашения- ГосСОПКА

Поч

ему

нель

зя?

Что делать?

Кто виноват и что делать: экономика

- Бесперебойностьфункционирования и возврат в предатакованноесостояние превыше безопасности- Сознательное скрытие следов- Долговременность хранения логов

- Повышение культуры ИБ- Ответственность за сокрытие следов- Мотивация операторов связиП

очем

у не

льзя

?Что делать?

Кто виноват и что делать: психология

- Все неизвестное вызывает отторжение- Инертность мышления (ориентация на «войны» и «конфликты»)

- Повышение культуры ИБ- Привлечениеэкспертов

Поч

ему

нель

зя?

Что делать?

• Однозначная атрибуция в современном мире невозможно даже на техническом уровне

• Техническая атрибуция позволяет определить страну и, максимум, физическое/юридическое лицо, стоящее за кибератакой, но не позволяет определить умысел

• Государства не готовы (геополитически, юридически, психологически, экономически) к настоящей атрибуции

• В современном мире атрибуция – это скорее инструмент геополитической борьбы, чем способ поиска доказательств вины киберпреступников

В качестве резюме

Спасибо!alukatsk at cisco dot com