Knowledge Base
Threat Attribution Basics: что можно и нельзя понять об источнике атаки
Что можно определить
Категория: Security Strategy · Риск: medium
Что можно определить
- IP, ASN, географию провайдера;
- повторяемость запросов;
- используемые пути, user-agent, timings;
- связь с известными IOC.
Что нельзя определить надёжно
Личность атакующего, организацию или страну только по IP. Источник может быть прокси, VPN, хостинг, ботнет или заражённое устройство.
Практичный подход
Главная цель defensive-attribution — не обвинить, а правильно заблокировать, расследовать и передать evidence провайдеру или CERT.