В области компьютерной безопасности кибератрибуция — это атрибуция киберпреступности , т. е. установление того, кто совершил кибератаку . Раскрытие преступника может дать представление о различных проблемах безопасности, таких как методы проникновения, каналы связи и т. д . , и может помочь в принятии конкретных контрмер. Кибератрибуция — это дорогостоящее мероприятие, требующее значительных ресурсов и опыта в киберкриминалистическом анализе . [1] [2]
Ниссим Бен Саадон утверждает, что задача кибератрибуции имеет смысл для крупных организаций: правительственных учреждений и крупных предприятий в чувствительных областях, таких как здравоохранение и государственные инфраструктуры . Однако большинство малых и средних предприятий (МСП) мало что выигрывают от « посмертной » идентификации преступников. По мнению БЭн Саадона, маловероятно, что конкретный МСП был специально выбран; скорее инцидент был преступлением по возможности , эксплуатирующим обнаруженную уязвимость , и при ограниченных ресурсах разумнее потратить их на выявление уязвимости и ее устранение. [1]
Для правительств и других крупных игроков, борющихся с киберпреступностью, потребуются не только технические решения, но также правовые и политические, и для последних кибератрибуция имеет решающее значение. [2] : xvii
Приписывание кибератаки является сложным и представляет ограниченный интерес для компаний, которые подвергаются кибератакам. Напротив, секретные службы часто имеют настоятельный интерес в выяснении того, стоит ли за атакой государство. [3] Еще одной проблемой при приписывании кибератак является возможность атаки под ложным флагом , когда фактический преступник создает видимость того, что атаку совершил кто-то другой. [3] Каждый этап атаки может оставлять артефакты , такие как записи в файлах журналов, которые могут быть использованы для определения целей и личности злоумышленника. [4] После атаки следователи часто начинают с сохранения как можно большего количества артефактов, которые они могут найти, [5] а затем пытаются определить злоумышленника. [6]