Spør eksperten

SearchSecurity ekspert Nick Lewis står klar til å svare på spørsmål om bedriften sikkerhetstrusler. Send inn ditt spørsmål via e-post. (Alle spørsmål er anonyme.)

En organisasjon kan avgjøre om tilsynelatende separate angrep er relatert ved hjelp av angrep navngivelse analyseteknikker og sammenligne de tekniske detaljene for angrepene.

Mange ganger disse verktøy og teknikker la avslørende nettverk eller system signaturer som kan brukes til å identifisere en angriper. For eksempel kan et system sender IP-trafikk til et annet system ved hjelp av en uidentifisert og kryptert protokoll på en bestemt port signatur brukes til å kontrollere andre deler av nettverket for systemer kommunisere over tilsvarende porter. Systemene i spørsmålet kan bli sjekket for hashes eller uklar hashes å identifisere om lignende filer er identifisert som en del av det samme angrepet.

Stoppe angrep som er i gang er viktig, men det er ikke tilstrekkelig. Organisasjoner må ha som mål å stoppe angripere og hindre fremtidige angrep som er avhengige av komplekse geopolitiske problemer å unngå rettsforfølgelse og bruke sikre eller pålitelige systemer. Men selv om alle aktuelle politiske spørsmål eller tekniske problemene er løst, ville det fortsatt være angrep og fortsatt være behov for tilstrekkelige politiressurser for undersøkelser. I samme token, selv der man kunne forvente den sikreste av systemer, vil det menneskelige element alltid finne en måte å kompromittere den.

Mens noen kan si det er begrenset verdi i angrep attribusjon, identifisere fellestrekk eller metoder mellom ulike angrep kan bidra til å identifisere andre områder under angrep, og være svært nyttig når deles med andre i informasjonssikkerhet samfunnet, som angripere vil ofte bruke kjente angrepsmetoder.