埋头于电子取证分析，期望挖掘出攻击者身份并起诉之的人，往往会发现花在攻击归因溯源上的时间毫无收获。但是，如果他们的目的，换成利用攻击溯源所得，指导从预防到响应的整个安全规程，那么归因溯源的努力就会产出丰厚回报。

　　业内很多专家都被问过：归因溯源真的有什么价值吗?SafeBreach共同创始人兼CEO伊特兹克·科特勒曾经说过：“归因溯源本身唯一有趣的地方，就是将信息分类存放，然后一次又一次地利用。”

　　科特勒举了个例子，假设CNN被某国黑了，有没有人能证明是某国人干的并不重要，但能不能公开说我们认为攻击来自中国才是关键。

　　为创建强大的防御，安全团队需要学习更多攻击策略。攻击知识可转换成防御优势，团队可以在攻击发生前尝试新工具新技术，确定这些工具是不是真的有效。网络防御者需要知道对手是谁，才能不局限在已知漏洞中而放过其他的问题。如果能够做到积极主动且有预见性，就能更好地控制后果。

　　鉴于攻击归因溯源太过困难，有些人，比如Dragos创始人兼CEO罗伯特·M·李，则持反对意见，他认为“技术性威胁情报层面上真正的归因溯源，只会对良好的安全实践造成伤害。”

　　其博客文章《追寻和避免网络攻击真正归因溯源的几个问题》中写道：“该归因溯源，可致分析师因认知偏差而做出误导性假设。”

　　该分析极端依赖人类思考过程，会把我们引向不恰当的结论。如今，我们的分析师不是保持开放性思维并在网络上搜索威胁，而是沦为了确认偏差的牺牲品，根据自己最初的假设来看待数据。

　　与之相反，火眼威胁情报经理约翰·米勒称：“只要能采取行动，就是有价值的。归因溯源可使安全团队了解攻击者的意图，也就能采取合适的对策。”

　　对于当前发生的事情，无论安全团队掌握的线索是相对集中还是漫无目的，知道谁该为攻击负责，依然有助于更好地挖掘表面之下的攻击。

　　就拿 Cobalt Strike 做例子吧。这是个渗透测试员使用的工具，但也可以在市面上买到，谁都知道有很多攻击者也使用该工具。“网络防御者发现 Cobalt Strike，仅仅说明网络中有恶意活动正在进行，除此之外什么都说明不了。”

　　但是，如果该工具与 Fin7 联系起来，他们就可以进一步搜索销售终端恶意软件和其他 Fin7 特定工具——尽管尚未检测到。知道攻击者身份，可以指示还应该查看什么，以及应该采取的其他措施。

　　提供不了任何行动机会，那归因溯源就没用，不能以有意义的方式赋予防御者跟进的能力。

　　因为很多公司都忘却了是什么让归因溯源有价值，也不知道自己能用归因干什么，他们就变得十分怀疑。“人们倾向于喜欢自己熟悉的东西，尤其是那些技术上不太懂的人。“

　　他们把攻击归因看做了解攻击者的一种方式，要不就在对归因信息通途毫无概念的情况下通过内部能力来归因。

　　任何一家公司，每天处理的大量事件，并非都是那么重要，根本不值得花费那么多时间。

　　难点在于分辨出真正重要的东西，找出能利用归因线索所做的事。

　　白帽安全威胁研究中心副总裁瑞恩·奥利阿里也赞同此观点。他认为，只有在能对漏洞进行优先级划分的情况下，归因才有效果。

　　“一家企业，如果想要修复漏洞，要是知道是谁在攻击，那么漏洞优先级确定会稍微容易一点。”

　　大面上来说，归因溯源真没什么用，因为只要企业有漏洞，攻击者就有入口点。

　　但是，如果企业知道有人想对自己来次DDoS，那就可能会加固一下服务器。这里，归因确实起到了作用，帮助企业确定了该优先做什么。

　　鉴于有些网络罪犯挺懒，他们很可能就用简单易用的已知漏洞了。归因可为安全团队提供识别漏洞所需的信息，方便他们修复。

　　“他们可以将钱花在修复漏洞上，而不是去做趋势分析和查找谁要攻击他们。这就是个减小攻击界面的活儿。”

　　当归因被用于防御和优先化，其价值可以很大。“如果目标是用于攻击，用于追捕攻击者，那还真起不到多大作用。这些人往往身处起诉不了的地方。人们总想以各种方式使用数据，但某些情况下，并没有什么意义。”

　　尽管围绕攻击归因有着许多争论与挑战，Guidance首席执行官帕特里克·丹尼斯，认为其中蕴含有极大价值，尤其是在整个安全产业领域。

　　“我们可以从攻击源头处了解到很多东西，无论是1级攻击者，还是使用改造版老零日漏洞的2级攻击者，对整个安全行业来说，在攻击趋势发现上都有极大好处。”

　　好吧，分析师们可以误解，也不用达成什么共识，统一思想这事儿在有些人看来就是浪费时间，但归因确实不是什么普适解决方案。

　　不用归因每个攻击，但还是有那么一类攻击值得识别。就像不追查杀人犯是不可接受的一样，但如果我们不找出大规模攻击的出处，同样不可接受。

　　归因为攻击者分类，“有助于确定是谁在执行攻击，他们的能力有多大，他们有什么资源，这样我们也就对下一步应采取什么行动有了底。这还有助于决定要不要牵涉进司法部门或者FBI。”

　　理想情况下，业内会共享归因信息，以便形成合力，更好地对抗攻击;就像司法机构联合办案侦破现实犯罪一样。

　　责任编辑：DJ编辑