Spør eksperten!
SearchSecurity ekspert Nick Lewis står klar til å svare på spørsmål om bedriften sikkerhetstrusler. Send inn ditt spørsmål via e-post. (Alle spørsmål er anonyme.)
Av grunner knyttet til politi og politikk, gjør navngi saken i visse angrep, men det er alltid en fare for misattributing et angrep på en uskyldig part. For bedrifter, er det minimal verdi i tillegge kilden til mest malware eller angrep hvis de ikke ble rettet mot en person eller tydelig laget for å infiltrere en bestemt bedrift.
Likevel er det noen verdi å være hadde for navngivelse. For eksempel kan den innsatsen som trengs for å tillegge et angrep føre til en bedre forståelse av en angriper metode, som kan være nyttig for å bestemme hvordan de skal forhindre lignende angrep i fremtiden. En måte dette kan spille ut er ved å identifisere vanlige signaturer basert på angrepet, spesielt hvis det er medlemmer av informasjonssikkerhet samfunnet som har forsket lignende angrep. Noen angrepsteknikker brukes mye, men avhengig av angrepet, kan det være unike teknikker som kan deles for å bidra til å identifisere spesielle angripere. Dersom et foretak undersøker flere avanserte angrep, kunne navngivelse innsats brukes til å identifisere omfanget av de forskjellige angrep eller finne ut om noen av angrepene er relatert.
Det kan også være verdi i å vite hva angripere er rettet mot en spesifikk bransje og metodene de har en tendens til å ansette. Slik kunnskap kan bidra til å identifisere flere kontroller som kan være effektive i å blokkere eller avdekke angrepene. Hvis en bestemt gruppe, for eksempel Kinas andre Bureau of Folkets frigjøringshær fra Mandiant sin APT1 rapport, er rettet mot en bransje, ved hjelp av Mandiant indikatorer på kompromiss (som er basert på navngi) kan være nyttig for å hindre fremtidige angrep fra kilden.
Selv om det er fordeler med å angripe attribusjon, huske på at tiden et sikkerhetsteam tilbringer spore opp kilden til et angrep er tid ikke brukt på å dempe andre angrep, finjustering systemer og så videre. Med mindre foretaket har betydelige ressurser tilgjengelig til å vie mot inngående angrep analyse, kan det være bedre bruksområder for begrensede ressurser sikkerhets. Anmeldelser