サイバー攻撃の「攻撃者が誰なのか」「どこの国による関与があるか」は大事なのか?
- keijitakeda
- 4698
- 10
- 1
- 13
@keijitakeda 追訴といった外交手段により攻撃そのものが減った。という説が正しいのであればいいことだとは思います。
2018-02-20 17:04:18@keijitakeda しかし、そのためには元々カウントしていた攻撃がその国が関与するものであったということと、減った理由が追訴あるいはその追訴を含むアクションが起因していることが明確でなければ説が正しいと言いがたいように思うんです。こればかりは攻撃者が正直に話してくれないことには分からないですね。
2018-02-20 17:04:27@keijitakeda ただ、こういったことに考えを巡らすことが大事な立場の方もいらっしゃるかと思っています。それに対して、そこではなく対応を行うために手法や攻撃基盤などの情報を共有し、全体の底上げを行うことが大事な立場の方も多くいらっしゃるのかと思います。
2018-02-20 17:04:56@ntsuji 「対応を行うために手法や攻撃基盤などの情報を共有し、全体の底上げを行う」上で対象脅威の分析を行うのは私としては事態対応のごく一般的なことだと考えていますし大学でもそのように教えています。そういったことをされてなかったり(相対的に)重要でないという方がいるというのは正直驚きました。
2018-02-20 17:57:48@ntsuji それこそ説が正しいことの証明にこだわるよりも、効率的に攻撃被害を減らすために何ができるかということが重要と考えています。
2018-02-20 18:01:10サイバー攻撃の対処において、誰が何の目的で攻撃しているかとか考えるのは自分としてはごく当たり前のことだけど、そんな風に考えない人、結構いるのだろうか、、、。
2018-02-20 18:08:12サイバー攻撃の大半は国家の関与とは関係なく行われるわけで、その脅威分析の過程で国家関与の可能性が疑われるケースがでて来るわけで、どうして最初から民間では何もできないから攻撃者の分析をしないという話になるのかわからん。
2018-02-20 18:23:54@keijitakeda 誰かと証明することにこだわるのもそれと同意かと思っております。それよりも前にまずは手法や攻撃基盤情報を共有することが効果的かと思っています。そちらであればある程度相手が変わっても共通部分もあると思うんですよね。こちらは減らすというよりも防ぐという観点ではあります。
2018-02-20 18:28:27@keijitakeda 誰がということと攻撃手法や基盤は切り離せないとお考えでしょうか。誰かが分かると類似性が見えてくることもあるかと思うのですが、それが分からない段階でも手法、基盤は分かるかと思いますゆえ、そこに注目し共有することで同じ被害に遭う方を減らせるのではないかと思うんですよね。
2018-02-20 18:32:11@ntsuji 誰がということと攻撃手法や基盤は切り離せないとお考えでしょうか。→関連はありますが切り離して考えることは可能だと思います。 それが分からない段階でも手法、基盤は分かるかと思いますゆえ、そこに注目し共有することで同じ被害に遭う方を減らせるのではないかと思うんですよね。→その通りです
2018-02-20 18:34:12@ntsuji 私は「攻撃者の分析(と情報共有)」と「攻撃手法や基盤の分析(と情報共有)」どちらか一方だけ行えば良いということはなくどちらも並行して行えば良いと考えています。
2018-02-20 18:36:08@keijitakeda 立場や興味に応じて片方のみでもいいですし、両方でもよいですし、平行でもパラでもよいかと思っています。ボクの中での優先順位もありますし、他の方のそれもあると思います。
2018-02-20 18:44:12@ntsuji なんらかの(政治的)意図を持った国からの攻撃があったとして、民の立場ではできない事は多々あるのだから、そこに拘泥するのではなく、出来ること粛々と進めて被害少なくしましょってことですよね〜 餅は餅屋、良いと思います!
2018-02-17 01:00:44@OTSO_ILVESNIEMI そうです。そこに気を取られてもどうにもできない状況もありますので、自分たちのできること、基本的なところに目を向けてやるべきことを粛々とやるとしたほうが多くの場合いいのかと思っています。もちろん、そういったことを気にしないといけない立場の方もいることも理解はしているんですけどね。
2018-02-17 01:13:19@ntsuji セキュリティエンジニアとしては、相手が誰であれ冷静に論理で対抗する姿勢を守って行きたいですね。 ありがとうございました!!
2018-02-17 01:33:37@OTSO_ILVESNIEMI そうですね。相手がどうかによって攻撃手法の特徴があることも事実ではありますがそれも変更される場合があることを考えるとその手法やそれに関するインディケータが共有され底上げのできる世界にしていきたいなと思うんですよね。こちらこそかまっていただいてありがとうございます。
2018-02-17 01:42:26@ntsuji その手の偽装、それこそ情報戦のプロなら息するようにやってきますもんね。疑心暗鬼で手が止まるよりは、目前の事象に対抗できる体制を広く共有できるように心がけて行きます!
2018-02-17 01:45:44@ntsuji 民間であれば、どこの国か…は、あくまで趣味の範囲ですね。仕事でなら、どこの国かはさておき、攻撃してくるIPなりを特定して手を打つのが最優先ですかね 国家なら、機密を盗もうとした相手国に警告するために国の特定が必要?けど、BOTの可能性もありますので、あまり意味がない気がしますが
2018-02-17 02:26:07@ookura1978 @ntsuji サイバー保険の適用を考えると、戦争/テロ行為との区別は重要なファクターです。 誰にとってどんな情報が有益なのか、立場が異なると違ってくるものです。 対象国単位での通信抑制もアプライアンス製品でていますし、わたしは趣味の範囲とは考えないですね。
2018-02-17 07:15:01攻撃の多様性に充分に対応できるだけの防御の多様性が欠けている。 インシデントレスポンスもその後のフォレンジックでも、見たものだけを盲目的に信じて対処するのは攻撃者の思うツボ…。
2018-02-17 07:24:54