7.20. С целью идентификации субъектов, реализующих угрозы ИБ, аналитику может быть рекомендовано:
- определение владельца и места регистрации IP/DNS-адреса, с которого зафиксирована реализация угрозы ИБ или который был использован для реализации угрозы ИБ;
- проведение анализа атрибутов подозрительных или вредоносных файлов данных;
- проведение анализа временных параметров реализации угрозы ИБ (в том числе время наибольшей активности);
- проведение анализа временных параметров создания вредоносного кода и его отдельных компонентов;
- проведение анализа программного кода, использованного для реализации угрозы ИБ (например, вредоносного кода в файле данных, вредоносного скрипта, содержания “тела” почтового сообщения);
- проведение лингвистического (стилометрического) анализа текстов, сопровождающих реализацию угрозы ИБ (например, требование выкупа или шантажа);
- проведение анализа (пути) до потенциального нарушителя на следующих уровнях модели взаимодействия открытых систем, определенной в ГОСТ 28906-91:
- сетевом (трассировка или traceback);
- прикладном (например, путем анализа заголовков почтовых сообщений);
- уровне маршрутизации (путем анализа таблиц маршрутизации);
- проведение анализа получателей несанкционированных переводов денежных средств или денежных средств, в отношении которых совершено покушение на хищение.
При проведении идентификации субъектов, реализующих угрозы ИБ, аналитик должен учитывать наличие следующих особенностей:
- потенциальная возможность использования для реализации угроз ИБ промежуточных узлов (проксисерверов или abuse-устойчивый хостинг), которые могут находиться в различных юрисдикциях;
- потенциальная возможность целенаправленного изменения нарушителями ИБ служебных заголовков в трафике на сетевом или прикладном уровне (например, в сообщениях почтовых серверов или сервисов) для цели сокрытия нарушителями своего реального местоположения;
- отсутствие в большинстве современных сетевых и прикладных протоколов способов достоверного определения источника отправления данных;
- отсутствие реализации проверки идентификационных данных при регистрации IP/DNS-адресов;
- использование подставных лиц для выполнения отдельных операций в рамках реализации угрозы (например, в качестве получателей переводов денежных средств).