网络归因的方法

来源：https://www.dni.gov/files/CTIIC/documents/ODNI_A_Guide_to_Cyber_Attribution.pdf

范围注:本备忘录解释了美国情报系统(IC)用于识别恶意网络活动的关键概念。这份备忘录是在国家情报官员(NIO)的支持下为网络问题准备的。它是由NIO和国家网络情报经理起草的。

确定网络行动的归属是困难的，但并非不可能。没有简单的技术流程或自动解决方案来确定网络操作的责任。在许多案件中，艰苦的工作需要数周或数月的情报分析和取证工作，以评估罪责。在某些情况下，IC可以在事件发生后数小时内建立网络归因，但归因的准确性和可信度将根据现有数据而有所不同。

为了帮助这个过程，IC已经确定了几个关键的指标来评估和确定攻击的责任。我们还确定了评估网络归因和提出相关评估的最佳实践。一个共同的归因方法可以帮助规范与决策者在网络归因方面的交流，促进及时共享数据和分析协作。

一、归因:国家响应最困难的第一步

恶意行为者都将网络行动作为一种低成本的工具来推进他们的利益，我们认为，除非这些行动面临明确的后果，否则他们将继续这样做。因此，网络归因，或确定网络攻击的责任人，是制定国家应对此类攻击的关键一步。

每一种网络操作——无论恶意与否——都会留下痕迹。我们的分析人员利用这些信息，以及他们对以前事件的了解，以及已知恶意参与者的工具和方法，试图将这些操作追溯到它们的来源。分析者将新信息与现有知识进行比较，权衡证据以确定判断的置信度，并考虑其他假设和模糊性来进行网络归因评估。

没有简单的技术流程或自动解决方案来确定网络操作的责任。在许多情况下，这项艰苦的工作需要数周或数月的情报分析和取证工作。在某些情况下，分析师可以在事件发生后数小时内确定网络攻击的责任，其准确性和可信度可能会根据现有数据而有所不同。

•分析师可以通过三种方式评估网络攻击的责任:起点，比如某个特定国家;特定的数字设备或在线角色;或指导活动的个人或组织。

•这第三类通常是最难评估的，因为我们必须将恶意网络活动与特定的个人联系起来，并评估这些个人的发起者和激励者。

二、支持归因的指标

将攻击归咎于特定的国家或行动者需要收集尽可能多的数据，以建立与在线行动者、个人和实体的联系。因为这经常导致数以百计的相互矛盾的指标，我们确定了关键指标来指导我们寻找及时、准确的归因。主要指标是谍报技术、基础设施、恶意软件和意图。我们还依赖外部来源的指标，比如来自私人网络安全公司的开源报告。

•间谍情报技术（Tradecraft）:行为经常用来进行网络攻击或间谍活动。这是最重要的指标，因为习惯比技术工具更难改变。攻击者的工具、技术和程序可以揭示攻击模式，但这些独特的谍报技术指标一旦公开，其他参与者可以模仿，其重要性就会降低。

•基础设施（Infrastructure）:用于交付网络能力或维持能力的命令和控制的物理和/或虚拟通信结构。攻击者可以购买、租赁、共享和攻击服务器和网络来构建他们的基础设施。他们经常使用合法的在线服务建立基础设施，从免费的商业云服务到社交媒体账户。一些人不愿放弃基础设施，而另一些人会这么做，因为他们可以在数小时内重建基础设施。有些人经常在行动之间甚至行动内部改变基础设施，以妨碍侦查。

•恶意软件（Malware）:一种恶意软件，其设计目的是在受损的计算机系统上启用未经授权的功能，如按键记录、屏幕捕获、音频录制、远程命令和控制以及持久访问。越来越多的网络行动者可以在可疑的泄露事件发生后的几分钟或几小时内修改一些恶意软件指标，一些行动者经常在行动之间或行动内部修改恶意软件，以阻止检测和归因。

•意图（Intent）:攻击者承诺根据上下文执行某些操作。隐蔽的、可否认的网络攻击通常是在地区冲突之前或期间针对对手发起的，或者是为了压制和骚扰国家的敌人。

•外部来源的指标（Indicators from External Sources）:我们还使用来自私营行业、媒体、学术界和智库的报告来提供此类数据或共享关于犯罪者的假设。

三、确定归因的最佳实践

确定这些关键指标需要迅速和认真的工作。我们确定了三种有助于识别网络攻击者的做法。

•寻找人为错误（Looking for Human Error）。几乎所有的网络归因成功都源于发现和利用攻击者的操作安全错误。网络入侵者经常在谍报技术和网络基础设施使用方面犯错误。我们的对手试图将这些错误最小化，并取得了不同程度的成功。

•及时的协作、信息共享和文档（Timely Collaboration, Information Sharing, and Documentation）。区域、政治和网络安全分析师的专业知识，以及网络防御者、执法机构、私营网络安全公司和受害者的协作，使归属工作受益。在网络事件发生后24小时内获取、记录和恢复数据也至关重要，因为删除数据的网络攻击可以抹去取证所必需的日志数据，先进的恶意软件会在计算机内存中消散，而对手可能会在发现后几小时内放弃网络基础设施。

•严谨的分析型间谍技术（Rigorous Analytic Tradecraft）。分析人士可能会根据网络事件的性质、目标和背景，从一组看似合理的参与者入手，但必须小心避免认知偏见。为了最小化这种风险，分析人员可以使用诸如竞争假设分析等技术，这有助于根据观察到的数据评估多个竞争假设，并发现可能揭示其他潜在参与者的数据。

四、归因分析的最佳实践

我们提出与网络归因相关的分析的最佳实践包括分解归因评估、提供置信水平和识别差距。我们的归因评估通常包括一系列判断，这些判断描述了事件是否是一个孤立的事件，可能的行凶者，可能的动机，以及外国政府是否扮演了一个角色。

De-layer的判断。一份归属声明应包括下列各项之间的明确区分:活动起源的实际地点、所涉及的个人或团体、以及能否确定领导、赞助或指导。

提供置信的水平。我们的分析人员在分配概率性语言和置信水平时，评估三个组成部分:证据的及时性和可靠性、连接证据的逻辑的强度以及证据的类型(直接、间接、间接、间接或上下文相关)。在许多情况下，分析师也会考虑竞争性假设，以发现可能的替代参与者。

•高的置信。当分析人员判断证据和上下文的总体超出合理怀疑，没有合理的选择时，就会使用这种程度的置信。例如:“几乎可以肯定，Xandi网络部队(XCF)应对针对人族石油公司的破坏性网络攻击负责。我们对这次评估很有信心，因为XCF的运营者讨论了他们是如何危害石油公司的，以及他们采取了什么措施来破坏公司的系统。”

•温和的置信。当分析人员判断证据和背景的总体是清晰和令人信服的，只有间接案例可以替代时，就会使用这种程度的置信。例如;“Xandi安全机构很可能要为入侵几个人类人权活动分子的电子邮件账户负责。我们对这一判决有一定的信心，因为黑客行动与已知的Xandi情报基础设施有关，而受害者也是Xandi的首要目标。”

•低置信。当分析人员判断有超过一半的证据指向一件事时，他们会使用这种程度的置信，但存在明显的信息差距。例如:“在Xandi制裁多家Terran公司后，Terra可能对上周Xandi银行的数据删除攻击负责。对我们的判断缺乏置信，因为行为人使用了公共可用的工具，尽管这些工具以前与人族的情报有关，但也被罪犯使用。

确定差距。如果分析师没有足够的数据来做判断或置信陈述，因为没有足够的指标，他们应该明确地说明这一点。例如，“我们还没有足够的信息来评估谁应对Xandi能源公司遭受的破坏性网络攻击负责。我们怀疑攻击者使用了来自Terra的僵尸网络。攻击与Xandi和已知对手之间的任何双边紧张关系并不一致。