Lentis/網路攻擊歸因

緩解和遏制網路攻擊或漏洞的首要步驟之一是確定其來源。儘早識別攻擊者並跟蹤其以往的活動有助於瞭解他們的動機，確定他們想要獲取的資料，以及物理定位和逮捕他們。在更全球的層面上，將攻擊與某個國家聯絡起來會影響決策者在外交政策方面的決策。儘管其重要性，但目前的歸因方法遠非完美，一些決策過早做出。這會導致各種後果，錯誤歸因可能會導致反制措施傷害受害者而不是網路罪犯 ^[1][2]。

網路攻擊歸因描述了透過關聯各種指標將攻擊追溯到其來源來確定負責特定網際網路攻擊的當事方的行為。每種網路操作都會留下痕跡，分析師使用這些資訊，結合對先前事件的瞭解，試圖識別惡意攻擊者 ^[3]。瞭解攻擊者想要獲取哪些資料可以使事件響應者預測入侵者的行為，並集中精力進行遏制、緩解和預防工作 ^[4]。在政策方面，它有助於執法部門區分犯罪活動和國家支援的攻擊，並採取相應行動。

網路攻擊通常會在系統上留下某種形式的日誌，因此在日誌中找到的資訊，甚至刪除日誌的證據，都會敲響警鐘。任何網路攻擊或系統正常使用都會透過許多服務和在各種網路級別與計算機裝置互動，幾乎在每個步驟都留下一些痕跡。這些攻擊指標，例如登入失敗嘗試、在非工作時間出現異常連線、IP 地址、帶有敏感資料的網路流量記錄等，都指向惡意活動 ^[5]。此外，執行攻擊所展示的行為和技術非常寶貴，因為習慣比工具更難改變 ^[3]。諸如社會文化參考、語言技能和時區等人類因素有助於指向某個國家 ^[6][7]。

目前沒有識別攻擊者的標準化方法。攻擊方法和技術不斷發展，每個目標系統都是獨一無二的，攻擊和防禦都需要人類操作，很難概括。

• 純粹的技術攻擊指標（例如源自特定位置的 IP 地址）不再是可靠的歸因方法 ^[8]。威脅行為者可以輕鬆偽造其來源或使用諸如 TOR 網路之類的去匿名化服務，使其痕跡毫無意義。在某些情況下，攻擊者可能會故意設定障眼法，以鼓勵錯誤歸因 ^[9]。
• 攻擊者重複使用來自他人的方法和工具，這會導致誤報。它們可以在暗網或白帽駭客社群中獲得。例如，名為 EternalBlue 的攻擊已成為利用 Windows SMB 服務的標準方法。據報道，它是由美國國家安全域性開發的 ^[10]。
• 越來越多的“利用現成工具”戰術的使用，使威脅行為者能夠僅使用目標環境中已存在的內建工具來執行攻擊。這使得攻擊更難以檢測，並避免使用任何自定義工具，否則這些工具將在調查中充當有價值的工件 ^[11]。
• 隨著網際網路使用量的增長，網路服務數量增加，公司也擴大了其基礎設施。這導致流量量的爆炸式增長，安全團隊必須對其進行分析和處理。這使得很難區分惡意流量和良性流量，自動化解決方案也不是萬無一失的 ^[12]。
• 歸因可能會導致敏感證據或歸因方法的洩露，這將使攻擊者有機會掩蓋其蹤跡 ^[13]。相反，未釋出證據會損害對歸因有效性的信任。
• 分析攻擊者行為並將獨立攻擊進行關聯的歸因方法在很大程度上依賴於對先前攻擊的瞭解。這需要在私營和公共部門內部以及各個部門之間進行強大而快速的溝通，這由於資訊敏感性、商業競爭或不願承認漏洞而變得困難 ^[14][15]。

近年來，美國政府與其公民之間出現了越來越大的分歧。皮尤研究中心的最新民意調查顯示，人們對政府是否能代表他們的最佳利益越來越不信任 ^[16]。這種信任的喪失隨之削弱了政府在公眾眼中的信譽，這引發了人們對網路攻擊歸因過程的擔憂。當政府釋出官方宣告，指明攻擊來源時，許多人對此表示懷疑 ^[17][18]。這種不信任並非沒有道理。從不合理的乳製品消費建議 ^[19]到越南戰爭的災難 ^[20]，政府不誠實或決策不當的歷史例子很多。

政府機構極不情願透露其情報能力、來源和方法。其中一些資訊對國家安全至關重要 ^[21]。在 2014 年索尼影業被黑事件中，這可能暴露了美國國家安全域性試圖竊聽朝鮮政府的細節 ^[22]。此類披露還會告訴攻擊者哪些資訊已經被發現，以及未來攻擊需要修復哪些漏洞。有時公眾別無選擇，只能相信政府機構的說法。

政治團體利用網路攻擊溯源的固有難度，並利用這種模糊性來推進自己的議程。隨著國家支援的網路攻擊日益複雜和侵略性，各國開始優先考慮減輕和應對這些攻擊的威脅。這也為政治團體提供了更多利用這些攻擊的機會，無論是透過過早地將攻擊歸咎於某個特定團體，還是將反對派牽連其中，使其承擔責任或同謀。

私營公司正在承擔網路攻擊溯源的責任。這種安排有利於通常負責網路攻擊溯源的政府，因為它可以保留報復的選項並保密情報能力 ^[23]。這種安排也有利於私人安全公司，因為他們在進行歸因時獲得了寶貴的聲望和新聞報道。由於進行歸因的證據標準沒有明確定義，私營公司可能會進行錯誤的過早歸因。此外，如果不同的公司對歸因存在分歧，那麼歸因的信任度和權威性可能會進一步下降。

網路攻擊的威力和潛在破壞力可以與實際的物理武器相媲美，因此當一個國家以網路攻擊威脅美國時，美國會認真對待。錯誤的指控可能會加劇不必要的地緣政治緊張局勢，在某些情況下，容忍攻擊而不是公開指責並不能確定攻擊者 ^[24]。在索尼被黑事件發生後，白宮提議對朝鮮採取“相稱的回應” ^[25]作為報復 ^[26]，而許多專家尚不確定攻擊者是誰。另一個爭論點是，很難區分由少數駭客進行的攻擊與由國家軍事力量支援的攻擊，人們擔心政府機構在過去對獨立攻擊進行關聯時缺乏充分的證據 ^[21]。

在關於 2016 年總統大選的爭議中，俄羅斯被指責干預大選 ^[27]。高階政府官員多次重複這一點，但許多詳細證據尚未公佈 ^[28]，有些人質疑是否所有攻擊都真的可以歸咎於俄羅斯 ^[29]。多年來，有大量報告將個別的小型攻擊歸咎於俄羅斯國內外不同的惡意團體，這些報告作為證據支援了高級別報告，這些報告聲稱所有這些小型攻擊都是與克里姆林宮有關聯的單一團體的所作所為 ^[30]。

國土安全部和聯邦調查局確實釋出了一份聯合報告，其中包含一份威脅諮詢，列出了作為各種俄羅斯攻擊指標的 IP 地址和惡意軟體簽名 ^[31]，但這並不構成證據。目的是幫助其他機構和私營組織透過識別這些 IP 地址來保護自己。經過進一步分析，在公佈的 875 個歸屬於俄羅斯的 IP 地址中，至少有 425 個（約 49%）是與 Tor 出口節點相對應的 IP 地址。這意味著任何人都可以很容易地獲得這些 IP 地址，無論攻擊者是來自哪個國家，無論是偶然獲得還是故意獲得 ^[span>32]。因此，這些公開的指標既具有誤導性，也可能表明這些機構在技術上存在不足，以及對來自同一機構的報告缺乏信任。這也導致了錯誤的歸因。

例如，在 2016 年 12 月針對佛蒙特州某設施的攻擊之後，官員們公開將其歸咎於俄羅斯軍方和民用部門 ^[span>33]。佛蒙特州眾議員韋爾奇在評論俄羅斯的參與時表示：“他們會在任何地方進行駭客攻擊，即使是在佛蒙特州，他們也會抓住一切機會來破壞我們的國家。我們必須保持警惕，這就是我支援奧巴馬總統對俄羅斯及其對我們國家及其所代表的一切的攻擊實施制裁的原因。”儘管有這些指控，但安全專家無法斷言攻擊實際上是由俄羅斯人實施的。因此，這篇《華盛頓郵報》文章後來被修改為：

"編輯注：本文早期版本錯誤地稱俄羅斯駭客已經滲透到美國電網。當局表示目前沒有跡象表明這一點。伯靈頓電力公司被駭客攻擊的計算機沒有連線到電網。"

2015 年和 2016 年，民主黨全國委員會 (DNC) 網路透過一系列網路釣魚攻擊遭到入侵，導致數千份敏感檔案洩露到網上 ^[34]。這些洩露事件破壞了希拉里的競選活動，許多人認為這在她的最終失敗中起到了作用。2016 年 12 月，美國情報界得出結論，俄羅斯情報機構對洩露事件負責 ^[30]。在攻擊被正式歸因之前，2016 年大選的兩名候選人能夠利用攻擊者身份未知的事實。由於這些攻擊有利於共和黨，而損害了民主黨全國委員會，希拉里不斷聲稱俄羅斯是幕後黑手，而唐納德·特朗普是此次攻擊的同謀。儘管官方尚不清楚攻擊者的身份，但希拉里能夠利用這一事實來削弱特朗普的信譽，以進一步推進自己的競選活動。

CrowdStrike 是一傢俬人安全公司，在受僱監控民主黨全國委員會 (DNC) 伺服器時發現了對 DNC 的攻擊。CrowdStrike 隨後將攻擊與俄羅斯駭客組織聯絡起來 ^[35]。 當 FBI 調査此事時，CrowdStrike 向 FBI 提供了伺服器的數字副本，但沒有提供實際的物理伺服器，而 CrowdStrike 本身也從未擁有過物理伺服器 ^[36]。 CrowdStrike 的陰謀論認為 CrowdStrike 將物理伺服器藏在烏克蘭 (伺服器的物理位置位於烏克蘭)，因為這臺物理伺服器可能包含攻擊來自烏克蘭而不是俄羅斯的證據 ^[37]。 陰謀論突出了對私人公司歸屬的信任缺失的潛在後果，即使這種信任缺失是毫無根據的。

奧運破壞者攻擊是在 2018 年冬季奧運會期間針對韓國的一次網路攻擊。最初的報道稱，攻擊可能來自朝鮮或俄羅斯 ^[38]。 研究人員花了近 8 個月的時間才最終確定攻擊來自俄羅斯。 俄羅斯駭客設定了虛假旗幟，試圖將攻擊嫁禍於朝鮮 ^[39]。 奧運破壞者攻擊發生在朝鮮衝突緩和期間。 在奧運會結束僅一個月後，朝鮮與美國在新加坡舉行的峰會將進一步推動和平程序。 儘管對奧運破壞者攻擊的錯誤歸屬並沒有破壞這些會談，但在這種情況下，錯誤歸屬可能會帶來嚴重的政治後果。

1. ↑ Laperruque, J. (2015). CISA 的反制措施授權如何威脅安全。 民主與技術中心。 https://cdt.org/insights/how-cisas-countermeasures-authorization-threatens-security/
2. ↑ Roberts, P. (2015). 網路錯誤歸屬的致命遊戲。 DigitalGuardian。 https://digitalguardian.com/blog/deadly-game-cyber-mis-attribution
3. ↑ ^{a b} 國家情報總監辦公室。 (2018)。 網路歸屬指南。 https://www.dni.gov/files/CTIIC/documents/ODNI_A_Guide_to_Cyber_Attribution.pdf
4. ↑ 雷神公司。 (2019)。 誰入侵了你？。 雷神公司。 https://www.raytheon.com/news/feature/who-hacked-you
5. ↑ Shamsi, J. A., Zeadally, S., Sheikh, F., & Flowers, A. (2016)。 網路空間的歸屬：技術和法律影響。 安全與通訊網路, 9(15), 2886-2900。 doi:10.1002/sec.1485
6. ↑ Summers, T. (2017)。 追捕駭客：一名道德駭客解釋如何追蹤壞人。 對話。 https://theconversation.com/hunting-hackers-an-ethical-hacker-explains-how-to-track-down-the-bad-guys-70927
7. ↑ Goodin, D. (2016)。 "Guccifer？" DNC 的特朗普研究洩露事件有俄羅斯的指紋。 ArsTechnica。 https://arstechnica.com/information-technology/2016/06/guccifer-leak-of-dnc-trump-research-has-a-russians-fingerprints-on-it/
8. ↑ Maloney, S. (2017)。 攻擊歸屬：這很複雜。 Cyberreason。 https://www.cybereason.com/blog/attack-attribution-its-complicated
9. ↑ Bartholomew, B., & Guerrero-Saade, J. A. (2016)。 揮舞你的假旗幟！ 在目標攻擊中混淆歸屬的欺騙策略。 在 病毒公告會議 2016 中。 https://www.virusbulletin.com/uploads/pdf/magazine/2016/VB2016-Bartholomew-GuerreroSaade.pdf
10. ↑ Newman, L. (2018)。 洩露的 NSA 間諜工具 "永恆之藍" 如何成為駭客的最愛。 連線。 https://www.wired.com/story/eternalblue-leaked-nsa-spy-tool-hacked-world/
11. ↑ Goudie, M. (2019)。 超越惡意軟體；"利用現有工具" 攻擊的興起。 CSO 線上。 https://www.cso.com.au/article/661035/going-beyond-malware-rise-living-off-land-attacks/
12. ↑ Crossman, P. (2017)。 警報：網路安全警報太多。 美國銀行家。 https://www.americanbanker.com/news/alert-there-are-too-many-cybersecurity-alerts
13. ↑ Baikalov, I. (2019)。 為什麼準確的攻擊歸屬在網路安全中至關重要。 SC 媒體英國, https://www.scmagazineuk.com/article/1525749
14. ↑ Molnar, A. (2017)。 資訊共享文化。 搜尋解釋。 https://searchexplained.com/information-sharing-culture/
15. ↑ Nielsen, K. M. (2018)。 凱斯滕·M·尼爾森部長在全國網路安全峰會上的主旨演講。 國土安全部。 https://www.dhs.gov/news/2018/07/31/secretary-kirstjen-m-nielsen-s-national-cybersecurity-summit-keynote-speech
16. ↑ 皮尤研究中心。 (2019)。 公眾對政府的信任：1958-2019。 https://www.people-press.org/2019/04/11/public-trust-in-government-1958-2019/
17. ↑ Carden, J. (2017)。 懷疑是叛國罪嗎？。 國家。 https://www.thenation.com/article/is-skepticism-treason/
18. ↑ Greenberg, A. (2017)。 聯邦政府關於俄羅斯大選駭客行為的譴責報告不會說服懷疑者。 從 https://www.wired.com/2017/01/feds-damning-report-russian-election-hack-wont-convince-skeptics/ 檢索
19. ↑ Whoriskey, P. (2015)。 幾十年來，政府將數百萬資金從全脂牛奶中轉移。 這樣做錯了嗎？。 華盛頓郵報 https://www.washingtonpost.com/news/wonk/wp/2015/10/06/for-decades-the-government-steered-millions-away-from-whole-milk-was-that-wrong/
20. ↑ Warren, J. A. (2018)。 越南：美國外交政策中最大的災難。 每日野獸。 https://www.thedailybeast.com/vietnam-the-greatest-disaster-in-all-of-us-foreign-policy-2
21. ↑ ^{a b} Schneier, B. (2015)。 政府必須向我們展示朝鮮攻擊索尼的證據。 時代。 https://time.com/3653625/sony-hack-obama-sanctions-north-korea/
22. ↑ Schneier, B. (2014)。 朝鮮真的攻擊了索尼嗎？。 大西洋。 https://www.theatlantic.com/international/archive/2014/12/did-north-korea-really-attack-sony/383973/
23. ↑ Rich, W. G. (2018)。 美國讓私人網路安全公司去做它的髒活。 連線。 https://www.wired.com/story/private-firms-do-government-dirty-work/
24. ↑ Edwards, B., Furnas, A., Forrest, S., & Axelrod, R. (2017)。 網路攻擊、歸屬和責備的戰略方面。 美國國家科學院院刊, 114(11), 2825-2830。 doi:10.1073/pnas.1700442114
25. ↑ Brunnstorm, D., & Finkle, J. (2014)。 美國考慮對索尼駭客攻擊採取 "相稱" 的應對措施。 路透社。 https://www.reuters.com/article/idUSKBN0JW24Z20141218
26. ↑ Endgame。 (2015)。 (網路) 戰爭的迷霧：歸屬問題和正義戰爭。 https://www.endgame.com/blog/technical-blog/fog-cyber-war-attribution-problem-and-jus-ad-bellum
27. ↑ CNN 編輯研究。 (2019)。 2016 年總統大選調查快速事實。 從 https://www.cnn.com/2017/10/12/us/2016-presidential-election-investigation-fast-facts/index.html 檢索
28. ↑ Greenberg, A. (2019)。 將俄羅斯最肆無忌憚的駭客行為聯絡起來的證據。 連線。 https://www.wired.com/story/sandworm-russia-cyberattack-links/
29. ↑ Rall, T. (2016)。 俄羅斯駭客：證據在哪裡？。 拉斯穆森報告 http://www.rasmussenreports.com/public_content/political_commentary/commentary_by_ted_rall/russia_hacking_where_s_the_evidence
30. ↑ ^{a b} 國土安全部和 FBI (2016)。 灰熊臺階 - 俄羅斯惡意網路活動。 https://www.us-cert.gov/sites/default/files/publications/JAR_16-20296A_GRIZZLY%20STEPPE-2016-1229.pdf
31. ↑ 國土安全部。 (2016)。 灰熊臺階網路攻擊的攻擊指標 [資料檔案]。 https://www.us-cert.gov/sites/default/files/publications/JAR-16-20296A.csv
32. ↑ Lee, M. (2017)。 美國政府認為數千名俄羅斯駭客可能正在閱讀我的部落格。 他們並沒有。 攔截。 https://theintercept.com/2017/01/04/the-u-s-government-thinks-thousands-of-russian-hackers-are-reading-my-blog-they-arent/
33. ↑ Eilperin, J. 和 Entous, A. (2016). 俄羅斯行動入侵佛蒙特州公用事業公司，官員稱這對美國電網安全構成威脅。華盛頓郵報。https://www.washingtonpost.com/8fc90cc4-ceec-11e6-b8a2-8c2a61b0436f_story.html
34. ↑ Satter, R. (2017). 內部訊息：俄羅斯是如何入侵民主黨電子郵件的。美聯社。https://apnews.com/dea73efc01594839957c3c9a6c962b8a
35. ↑ Stokel-Walker, C. (2017). 追蹤民主黨駭客：CrowdStrike如何找到俄羅斯入侵的證據。連線。https://www.wired.co.uk/article/dnc-hack-proof-russia-democrats
36. ↑ Alpetrovich, D. (2016). 熊跡斑斑：民主黨全國委員會入侵事件。CrowdStrike。https://www.crowdstrike.com/blog/bears-midst-intrusion-democratic-national-committee/
37. ↑ Dunleavy, J. (2019). 特朗普的烏克蘭-CrowdStrike陰謀論在彈劾聽證會中成為中心議題。華盛頓觀察者報。https://www.washingtonexaminer.com/news/analysis-trumps-ukraine-crowdstrike-conspiracy-theory-front-and-center-in-impeachment-hearing
38. ↑ Neuman, S. (2018). 專家稱，奧運會的惡意軟體攻擊可能來自俄羅斯和朝鮮。美國國家公共廣播電臺。https://www.npr.org/sections/thetorch/2018/02/13/585297314/
39. ↑ Greenberg, A. (2018). 俄羅斯駭客的虛假旗幟行動即使暴露後仍然有效。連線。https://www.wired.com/story/russia-false-flag-hacks/