埋頭于電子取證分析，期望挖掘出攻擊者身份并起訴之的人，往往會發(fā)現(xiàn)花在攻擊歸因溯源上的時(shí)間毫無收獲。但是，如果他們的目的，換成利用攻擊溯源所得，指導(dǎo)從預(yù)防到響應(yīng)的整個(gè)安全規(guī)程，那么歸因溯源的努力就會產(chǎn)出豐厚回報(bào)。

[[185654]]

業(yè)內(nèi)很多專家都被問過：歸因溯源真的有什么價(jià)值嗎?SafeBreach共同創(chuàng)始人兼CEO伊特茲克·科特勒曾經(jīng)說過：“歸因溯源本身唯一有趣的地方，就是將信息分類存放，然后一次又一次地利用。”

科特勒舉了個(gè)例子，假設(shè)CNN被某國黑了，有沒有人能證明是某國人干的并不重要，但能不能公開說我們認(rèn)為攻擊來自中國才是關(guān)鍵。

為創(chuàng)建強(qiáng)大的防御，安全團(tuán)隊(duì)需要學(xué)習(xí)更多攻擊策略。攻擊知識可轉(zhuǎn)換成防御優(yōu)勢，團(tuán)隊(duì)可以在攻擊發(fā)生前嘗試新工具新技術(shù)，確定這些工具是不是真的有效。網(wǎng)絡(luò)防御者需要知道對手是誰，才能不局限在已知漏洞中而放過其他的問題。如果能夠做到積極主動且有預(yù)見性，就能更好地控制后果。

鑒于攻擊歸因溯源太過困難，有些人，比如Dragos創(chuàng)始人兼CEO羅伯特·M·李，則持反對意見，他認(rèn)為“技術(shù)性威脅情報(bào)層面上真正的歸因溯源，只會對良好的安全實(shí)踐造成傷害。”

其博客文章《追尋和避免網(wǎng)絡(luò)攻擊真正歸因溯源的幾個(gè)問題》中寫道：“該歸因溯源，可致分析師因認(rèn)知偏差而做出誤導(dǎo)性假設(shè)。”

與之相反，火眼威脅情報(bào)經(jīng)理約翰·米勒稱：“只要能采取行動，就是有價(jià)值的。歸因溯源可使安全團(tuán)隊(duì)了解攻擊者的意圖，也就能采取合適的對策。”

對于當(dāng)前發(fā)生的事情，無論安全團(tuán)隊(duì)掌握的線索是相對集中還是漫無目的，知道誰該為攻擊負(fù)責(zé)，依然有助于更好地挖掘表面之下的攻擊。

就拿 Cobalt Strike 做例子吧。這是個(gè)滲透測試員使用的工具，但也可以在市面上買到，誰都知道有很多攻擊者也使用該工具。“網(wǎng)絡(luò)防御者發(fā)現(xiàn) Cobalt Strike，僅僅說明網(wǎng)絡(luò)中有惡意活動正在進(jìn)行，除此之外什么都說明不了。”

但是，如果該工具與 Fin7 聯(lián)系起來，他們就可以進(jìn)一步搜索銷售終端惡意軟件和其他 Fin7 特定工具——盡管尚未檢測到。知道攻擊者身份，可以指示還應(yīng)該查看什么，以及應(yīng)該采取的其他措施。

提供不了任何行動機(jī)會，那歸因溯源就沒用，不能以有意義的方式賦予防御者跟進(jìn)的能力。

因?yàn)楹芏喙径纪鼌s了是什么讓歸因溯源有價(jià)值，也不知道自己能用歸因干什么，他們就變得十分懷疑。“人們傾向于喜歡自己熟悉的東西，尤其是那些技術(shù)上不太懂的人。“

他們把攻擊歸因看做了解攻擊者的一種方式，要不就在對歸因信息通途毫無概念的情況下通過內(nèi)部能力來歸因。

任何一家公司，每天處理的大量事件，并非都是那么重要，根本不值得花費(fèi)那么多時(shí)間。

白帽安全威脅研究中心副總裁瑞恩·奧利阿里也贊同此觀點(diǎn)。他認(rèn)為，只有在能對漏洞進(jìn)行優(yōu)先級劃分的情況下，歸因才有效果。

“一家企業(yè)，如果想要修復(fù)漏洞，要是知道是誰在攻擊，那么漏洞優(yōu)先級確定會稍微容易一點(diǎn)。”

大面上來說，歸因溯源真沒什么用，因?yàn)橹灰髽I(yè)有漏洞，攻擊者就有入口點(diǎn)。

但是，如果企業(yè)知道有人想對自己來次DDoS，那就可能會加固一下服務(wù)器。這里，歸因確實(shí)起到了作用，幫助企業(yè)確定了該優(yōu)先做什么。

鑒于有些網(wǎng)絡(luò)罪犯挺懶，他們很可能就用簡單易用的已知漏洞了。歸因可為安全團(tuán)隊(duì)提供識別漏洞所需的信息，方便他們修復(fù)。

“他們可以將錢花在修復(fù)漏洞上，而不是去做趨勢分析和查找誰要攻擊他們。這就是個(gè)減小攻擊界面的活兒。”

當(dāng)歸因被用于防御和優(yōu)先化，其價(jià)值可以很大。“如果目標(biāo)是用于攻擊，用于追捕攻擊者，那還真起不到多大作用。這些人往往身處起訴不了的地方。人們總想以各種方式使用數(shù)據(jù)，但某些情況下，并沒有什么意義。”

盡管圍繞攻擊歸因有著許多爭論與挑戰(zhàn)，Guidance首席執(zhí)行官帕特里克·丹尼斯，認(rèn)為其中蘊(yùn)含有極大價(jià)值，尤其是在整個(gè)安全產(chǎn)業(yè)領(lǐng)域。

“我們可以從攻擊源頭處了解到很多東西，無論是1級攻擊者，還是使用改造版老零日漏洞的2級攻擊者，對整個(gè)安全行業(yè)來說，在攻擊趨勢發(fā)現(xiàn)上都有極大好處。”

好吧，分析師們可以誤解，也不用達(dá)成什么共識，統(tǒng)一思想這事兒在有些人看來就是浪費(fèi)時(shí)間，但歸因確實(shí)不是什么普適解決方案。

歸因?yàn)楣粽叻诸悾?ldquo;有助于確定是誰在執(zhí)行攻擊，他們的能力有多大，他們有什么資源，這樣我們也就對下一步應(yīng)采取什么行動有了底。這還有助于決定要不要牽涉進(jìn)司法部門或者FBI。”

理想情況下，業(yè)內(nèi)會共享歸因信息，以便形成合力，更好地對抗攻擊;就像司法機(jī)構(gòu)聯(lián)合辦案偵破現(xiàn)實(shí)犯罪一樣。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文