网络攻击归因：首席信息官和首席信息安全官的经验教训

网络攻击归因可能是一个棘手的过程。在 DDoS 攻击的情况下，威胁行为者通常会利用僵尸网络向目标发送大量流量，从而使该网络不堪重负并中断其服务。

在 X 平台因据称的 DDoS 攻击导致服务中断后，许多人询问谁应该为此负责。据 Politico 报道，埃隆·马斯克将责任归咎于乌克兰，而网络安全专家则对这一说法提出质疑。同时，亲巴勒斯坦组织 Dark Storm 声称对此负责，进一步使归因尝试变得复杂。

"僵尸网络通常是一个由受感染电脑组成的网络。实质上，他们 (受害者) 正在遭受来自不同 IP 地址、不同系统的攻击。因此，你实际上无法精确指出攻击来自哪个特定位置，这使得识别根本原因变得困难，"供应商入职、风险管理和恢复解决方案公司 apexanalytix 的首席信息官 Vishal Grover 解释道。

当首席信息官和首席信息安全官面临网络攻击后果时，他们应该如何思考攻击归因和采取的应对方法？

归因的重要性

归因很重要。但它在事件响应期间不一定是首要任务。

"作为首席信息安全官，我可能会优先考虑解决最初允许攻击者入侵的漏洞，"API 和机器人管理公司 Cequence Security 的首席信息安全官 Randolph Barr 表示。

相关：3 个造成网络安全感虚假膨胀的误区

一旦事件响应团队解决了漏洞并确保威胁行为者不会残留在任何系统中，他们就可以深入研究归因问题。谁执行了攻击？动机是什么？获取这些问题的答案可以帮助安全团队降低同一组织或利用类似策略的其他组织发起的未来攻击风险。

当然，公司规模越大、服务中断影响越广泛，对归因的呼声就越高。"当你拥有像 X 这样的大型组织时，会有很多人提出问题。当其他人参与进来时，归因就变得重要了，"Barr 说。

对于较小的组织，在利用有限资源首先进行修复时，归因可能是较低的优先事项。

如何处理归因

在某些情况下，归因可能相当简单。例如，勒索软件团伙可能会直接表明他们的身份和财务动机。

但是，站在聚光灯下的威胁行为者并不总是真正的罪魁祸首。"有时人们公开声称他们做了某事，但你不一定能确认他们实际上做了。他们可能只是想引起关注，"Barr 指出。

相关：亚洲顶级综合安全展览会正在进行中

归因往往是一个复杂的过程，需要大量的时间和资源：包括技术工具和威胁情报。无论是内部进行还是在外部专家的帮助下，归因过程通常会culminate在一份报告中，详细说明攻击并以不同程度的置信度命名负责方。

有时你可能无法得到明确的答案。"有些时候你无法确定根本原因，"Grover 说。

归因和信息共享

归因不仅可以帮助企业加强其安全态势和事件响应计划，而且对更广泛的安全社区也有价值。

"这是你参加安全会议或安全研讨会的主要原因之一。你肯定想分享自己的经验，从他们的经验中学习，并了解每个人的观点，"Grover 说。

威胁情报和安全团队可以相互协作，分享有关针对其组织的攻击组织的信息。威胁情报团队也可能在暗网上获取有关计划攻击的信息。与潜在目标分享这些信息是有价值的。

相关：未受管理的设备：首席信息安全官必须面对的被忽视威胁

"我们建立这些关系，这样我们就知道可以互相信任地说，'嘿，如果提到我们的名字，请让我们知道，'"Barr 说。

并非所有公司都具有促进这种信息共享的文化。网络攻击伴随着许多负担。需要担心的是责任问题、品牌损害、收入损失，以及尴尬。这些因素中的任何一个或几个的组合都可能促使企业倾向于保持沉默。

"作为安全专业人士，我们仍在尝试弄清楚，什么因素能让我们与其他安全专业人士进行对话而不必担心暴露业务，"Barr 说。