埋頭于電子取證分析，期望挖掘出攻擊者身份并起訴之的人，往往會(huì)發(fā)現(xiàn)花在攻擊歸因溯源上的時(shí)間毫無(wú)收獲。但是，如果他們的目的，換成利用攻擊溯源所得，指導(dǎo)從預(yù)防到響應(yīng)的整個(gè)安全規(guī)程，那么歸因溯源的努力就會(huì)產(chǎn)出豐厚回報(bào)。

[[185654]]

業(yè)內(nèi)很多專家都被問(wèn)過(guò)：歸因溯源真的有什么價(jià)值嗎?SafeBreach共同創(chuàng)始人兼CEO伊特茲克·科特勒曾經(jīng)說(shuō)過(guò)：“歸因溯源本身唯一有趣的地方，就是將信息分類存放，然后一次又一次地利用。”

科特勒舉了個(gè)例子，假設(shè)CNN被某國(guó)黑了，有沒(méi)有人能證明是某國(guó)人干的并不重要，但能不能公開(kāi)說(shuō)我們認(rèn)為攻擊來(lái)自中國(guó)才是關(guān)鍵。

為創(chuàng)建強(qiáng)大的防御，安全團(tuán)隊(duì)需要學(xué)習(xí)更多攻擊策略。攻擊知識(shí)可轉(zhuǎn)換成防御優(yōu)勢(shì)，團(tuán)隊(duì)可以在攻擊發(fā)生前嘗試新工具新技術(shù)，確定這些工具是不是真的有效。網(wǎng)絡(luò)防御者需要知道對(duì)手是誰(shuí)，才能不局限在已知漏洞中而放過(guò)其他的問(wèn)題。如果能夠做到積極主動(dòng)且有預(yù)見(jiàn)性，就能更好地控制后果。

鑒于攻擊歸因溯源太過(guò)困難，有些人，比如Dragos創(chuàng)始人兼CEO羅伯特·M·李，則持反對(duì)意見(jiàn)，他認(rèn)為“技術(shù)性威脅情報(bào)層面上真正的歸因溯源，只會(huì)對(duì)良好的安全實(shí)踐造成傷害。”

其博客文章《追尋和避免網(wǎng)絡(luò)攻擊真正歸因溯源的幾個(gè)問(wèn)題》中寫道：“該歸因溯源，可致分析師因認(rèn)知偏差而做出誤導(dǎo)性假設(shè)。”

與之相反，火眼威脅情報(bào)經(jīng)理約翰·米勒稱：“只要能采取行動(dòng)，就是有價(jià)值的。歸因溯源可使安全團(tuán)隊(duì)了解攻擊者的意圖，也就能采取合適的對(duì)策。”

對(duì)于當(dāng)前發(fā)生的事情，無(wú)論安全團(tuán)隊(duì)掌握的線索是相對(duì)集中還是漫無(wú)目的，知道誰(shuí)該為攻擊負(fù)責(zé)，依然有助于更好地挖掘表面之下的攻擊。

就拿 Cobalt Strike 做例子吧。這是個(gè)滲透測(cè)試員使用的工具，但也可以在市面上買到，誰(shuí)都知道有很多攻擊者也使用該工具。“網(wǎng)絡(luò)防御者發(fā)現(xiàn) Cobalt Strike，僅僅說(shuō)明網(wǎng)絡(luò)中有惡意活動(dòng)正在進(jìn)行，除此之外什么都說(shuō)明不了。”

但是，如果該工具與 Fin7 聯(lián)系起來(lái)，他們就可以進(jìn)一步搜索銷售終端惡意軟件和其他 Fin7 特定工具——盡管尚未檢測(cè)到。知道攻擊者身份，可以指示還應(yīng)該查看什么，以及應(yīng)該采取的其他措施。

提供不了任何行動(dòng)機(jī)會(huì)，那歸因溯源就沒(méi)用，不能以有意義的方式賦予防御者跟進(jìn)的能力。

因?yàn)楹芏喙径纪鼌s了是什么讓歸因溯源有價(jià)值，也不知道自己能用歸因干什么，他們就變得十分懷疑。“人們傾向于喜歡自己熟悉的東西，尤其是那些技術(shù)上不太懂的人。“

他們把攻擊歸因看做了解攻擊者的一種方式，要不就在對(duì)歸因信息通途毫無(wú)概念的情況下通過(guò)內(nèi)部能力來(lái)歸因。

任何一家公司，每天處理的大量事件，并非都是那么重要，根本不值得花費(fèi)那么多時(shí)間。

白帽安全威脅研究中心副總裁瑞恩·奧利阿里也贊同此觀點(diǎn)。他認(rèn)為，只有在能對(duì)漏洞進(jìn)行優(yōu)先級(jí)劃分的情況下，歸因才有效果。

“一家企業(yè)，如果想要修復(fù)漏洞，要是知道是誰(shuí)在攻擊，那么漏洞優(yōu)先級(jí)確定會(huì)稍微容易一點(diǎn)。”

大面上來(lái)說(shuō)，歸因溯源真沒(méi)什么用，因?yàn)橹灰髽I(yè)有漏洞，攻擊者就有入口點(diǎn)。

但是，如果企業(yè)知道有人想對(duì)自己來(lái)次DDoS，那就可能會(huì)加固一下服務(wù)器。這里，歸因確實(shí)起到了作用，幫助企業(yè)確定了該優(yōu)先做什么。

鑒于有些網(wǎng)絡(luò)罪犯挺懶，他們很可能就用簡(jiǎn)單易用的已知漏洞了。歸因可為安全團(tuán)隊(duì)提供識(shí)別漏洞所需的信息，方便他們修復(fù)。

“他們可以將錢花在修復(fù)漏洞上，而不是去做趨勢(shì)分析和查找誰(shuí)要攻擊他們。這就是個(gè)減小攻擊界面的活兒。”

當(dāng)歸因被用于防御和優(yōu)先化，其價(jià)值可以很大。“如果目標(biāo)是用于攻擊，用于追捕攻擊者，那還真起不到多大作用。這些人往往身處起訴不了的地方。人們總想以各種方式使用數(shù)據(jù)，但某些情況下，并沒(méi)有什么意義。”

盡管圍繞攻擊歸因有著許多爭(zhēng)論與挑戰(zhàn)，Guidance首席執(zhí)行官帕特里克·丹尼斯，認(rèn)為其中蘊(yùn)含有極大價(jià)值，尤其是在整個(gè)安全產(chǎn)業(yè)領(lǐng)域。

“我們可以從攻擊源頭處了解到很多東西，無(wú)論是1級(jí)攻擊者，還是使用改造版老零日漏洞的2級(jí)攻擊者，對(duì)整個(gè)安全行業(yè)來(lái)說(shuō)，在攻擊趨勢(shì)發(fā)現(xiàn)上都有極大好處。”

好吧，分析師們可以誤解，也不用達(dá)成什么共識(shí)，統(tǒng)一思想這事兒在有些人看來(lái)就是浪費(fèi)時(shí)間，但歸因確實(shí)不是什么普適解決方案。

歸因?yàn)楣粽叻诸悾?ldquo;有助于確定是誰(shuí)在執(zhí)行攻擊，他們的能力有多大，他們有什么資源，這樣我們也就對(duì)下一步應(yīng)采取什么行動(dòng)有了底。這還有助于決定要不要牽涉進(jìn)司法部門或者FBI。”

理想情況下，業(yè)內(nèi)會(huì)共享歸因信息，以便形成合力，更好地對(duì)抗攻擊;就像司法機(jī)構(gòu)聯(lián)合辦案?jìng)善片F(xiàn)實(shí)犯罪一樣。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過(guò)安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文