Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Атрибуция кибератак

4,215 views

Published on

Краткий обзор проблем с атрибуцией кибератак и возможных способов их решения

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Атрибуция кибератак

  1. 1. 11 октября 2016 Бизнес-консультант по безопасности Атрибуция кибератак Алексей Лукацкий
  2. 2. США атакованы «Россией»! Кто в действительности стоит за атакой?
  3. 3. Последние атрибуции
  4. 4. • Место регистрации IP-адресов и доменов, участвующих в атаке, или предоставляющих инфраструктуру для реализации атаки • Трассировка атаки до ее источника • ВременнЫе параметры • Анализ программного кода, в котором могут быть найдены комментарии, ссылки на сайты, домены, IP-адреса, которые участвуют в атаке • Изучение «почерка» программистов Методы атрибуции обычно применяются в совокупности
  5. 5. • Стилометрия (изучение стилистики языка в комментариях и иных артефактах) • Обманные системы (honeypot) • Анализ активности на форумах и в соцсетях • Анализ постфактум (продажа украденной информации…) • Оперативная разработка Методы атрибуции обычно применяются в совокупности
  6. 6. • Хакеры действовали из часового пояса, в котором находится Москва • Хакеры действовали в то время, когда в Москве рабочие часы • Хакеры действовали с IP-адресов, зарегистрированных в России • Хакеры использовали сервисы, у которых был русскоязычный интерфейс Одиночные «доказательства» русского следа
  7. 7. Геополитические Правовые Технические Почему точная атрибуция невозможна? © 2015 Cisco and/or its affiliates. All rights reserved. 7 Экономические Психологические
  8. 8. Кто виноват и что делать: геополитика - Политики не хотят разбираться, а хотят быстрого вердикта - Нужен «образ врага» - Отсутствие географическое привязки в киберпространстве - Налаживать взаимоотношения Почемунельзя? Чтоделать?
  9. 9. Кто виноват и что делать: юриспруденция - Юрисдикции разных стран - Отсутствие международных норм - Языковые проблемы взаимодействия - Выработка международных норм (СНВ, НЯВ) - Фокус локального законодательства на киберпреступления - Двусторонние соглашения Почемунельзя? Чтоделать?
  10. 10. Кто виноват и что делать: техника - Децентрализация и распределенность Интернет - IPv4 - Анонимайзеры и прокси (посредники) - Аренда abuse- устойчивого хостинга - Унификация правил мониторинга, учета и обмена трафиком - IPv6 - Межпровайдерские соглашения - ГосСОПКА Почемунельзя? Чтоделать?
  11. 11. Кто виноват и что делать: экономика - Бесперебойность функционирования и возврат в предатакованное состояние превыше безопасности - Сознательное скрытие следов - Долговременность хранения логов - Повышение культуры ИБ - Ответственность за сокрытие следов - Мотивация операторов связи Почемунельзя? Чтоделать?
  12. 12. Кто виноват и что делать: психология - Все неизвестное вызывает отторжение - Инертность мышления (ориентация на «войны» и «конфликты») - Повышение культуры ИБ - Привлечение экспертов Почемунельзя? Чтоделать?
  13. 13. • Однозначная атрибуция в современном мире невозможно даже на техническом уровне • Техническая атрибуция позволяет определить страну и, максимум, физическое/юридическое лицо, стоящее за кибератакой, но не позволяет определить умысел • Государства не готовы (геополитически, юридически, психологически, экономически) к настоящей атрибуции • В современном мире атрибуция – это скорее инструмент геополитической борьбы, чем способ поиска доказательств вины киберпреступников В качестве резюме
  14. 14. Спасибо! alukatsk at cisco dot com

×