网络安全事件中的归因分析

关键要点

• 网络攻击的归因并不简单，常常需要详细的证据。
• 不同的攻击可能会被误认为由特定国家或团体发起。
• 了解攻击者的手段比明确指认攻击者更有意义。
• 采用高、中、低的置信水平来进行攻击归因，确保准确性是首要任务。

当发生重大的网络安全事件时，似乎很明显是哪个团体在背后。然而，实际上事情并不总是如此简单。某些情况下，可能存在精心设计的误导性信号。例如，Pandora、Rook和NightSky等勒索软件团体实施的攻击，最初看似是网络犯罪分子的所作所为，最终却被揭示为中国国家支持的网络间谍活动的掩护。

再比如，最近发生的针对瑞典目标的拒绝服务（DoS）攻击，由自称“匿名苏丹”的团体实施。表面上看，这似乎是苏丹黑客为了抗议在瑞典焚烧可兰经而发起的攻击，但实际上却是由亲俄罗斯团体策划，意图干扰瑞典加入北约的申请。

此外，还有许多攻击的早期判断也显示误判。例如，2018年平昌冬奥会的OlympicDestroyer恶意软件最初被指责为北朝鲜的所作，但实际上这是俄罗斯军事情报局（GRU）为了掩盖自身责任所导致的误导。

另一例是2015年针对法国电视网络TV5 Monde的攻击。自称为网络圣战者的团体为其负责，而实际上这也是俄罗斯威胁团体的所为。

识别攻击的背后团体常常很困难，通常并不会像简单地指向某个国家或勒索软件团体那样直接。然而，准确识别攻击者是非常重要的，尤其是在事件响应时。对攻击来源的无知会使被攻击组织难以了解攻击的全面程度，这反过来又使得确保已彻底清除责任威胁者变得困难。这使得组织面临威胁者再次入侵的风险，进而损害其利益。

尽管人们往往倾向于根据有限的信息做出判断，或仅凭工具的某个重叠进行归因，但这样的做法往往是错误的。这对于检测未来类似攻击并没有太大帮助。从检测的角度来看，攻击者是哪个团体虽然有趣，但了解攻击方式更为重要。

人们在情感层面上希望知道是哪个团体对其造成了伤害。但准确性至关重要。在更高层面上，归因可能会影响更广泛的政治辩论，例如当FBI指向来自中国或俄罗斯的敌对活动时。这对执法部门针对威胁者采取行动尤为重要。

当像我们这样的公司准备对攻击进行归因时，会使用高、中或低的置信水平。置信水平基于美国国家情报总监的定义，并取决于证据的质量和数量。它们显示了归因正确的可能性——即使是高置信度的归因也不能保证其一定正确。

通常情况下，归因没有多个不同证据点是不可靠的。然而，许多威胁团体在攻击的某些方面使用相同的工具，使得一些工具重叠可能造成误导。尤其是在网络犯罪者中，因为在黑市上容易获得的商品恶意软件工具可供出售或作为服务使用。承包黑客团体可能为不同的客户工作，但每次使用相似的工具。来自中国等国的国家支持的威胁团体也越来越倾向于使用商品恶意软件和其他工具以掩盖其踪迹。利用现成的二进制文件（lolbins）或CobaltStrike等框架，可能不会提供关于使用者的具体线索。IP地址常常被一系列无关的威胁行为者重用。此外，使用最后跳转基础设施可能使攻击看起来源自某个国家，实际上却是来自另一个国家。

有时，来自不同来源的证据都指向同一个结论。然而，这往往是循环报道的结果。例如，关于已经解散的Conti勒索软件运营商与新兴的Royal勒索软件团体之间的多篇报道链接，但分析表明所有这些报道都指向来自单一来源