私はこの質問をDave Hullのツイートからそのままコピーしました。
CIRT =コンピュータインシデントレスポンスチーム
その後:よく過ごした時間
私は2000〜2002年にIRTを実行していましたが、当時、(認識された)最大の脅威はローカルのスクリプトキディによるものでした。
ホワイトボードと生のRDBM(上にGUIまたはアプリケーションはありません)を使用して、個人、ニックネーム、既知の成功した攻撃、グループへの所属、内部ライバルなどを追跡しました。
これらの人々と彼らが何をしたかについては、法廷で証明できるよりも多くのことを知っていましたが、彼らはそれを知らなかったため、さまざまなIRCチャネル。私たちは、追跡したり、存在を「思い出させたり」するのに費やした時間は、追跡後に費やすよりも少ないと推定しました。
現在:リスク評価を参照してください
私は最近、IRよりも定期的な睡眠を好んでいますが、成熟した企業のIRチームが攻撃者を追跡することは、今日ではそれほど経済的意味がないと考えています。多くの攻撃者は、犯罪集団または遠く離れた諜報機関です。個人の調査と適切なLEとの連絡に必要な時間は、数時間または数日ではなく、数週間または数か月でカウントされます。
したがって、企業のIRTが攻撃者に関する情報を収集することはないと思います。もしそうなら、おそらく彼らのリスク評価に異議を申し立てるでしょう。誰が企業を攻撃しようとしているのかを知ることにお金を費やすことに企業が少しでも関心を持つようなシナリオを想像するのは難しいです。
コスト/利益分析は明らかに、商業用/レンタル用のIRショップ、LE、諜報機関では非常に異なりますが、私の本の「成熟したCIRT」という用語には当てはまりません。
私はIRTのメンバーではありませんが、BSides/RSAにいる間にいた数人の人々、そして確かにAPT(Beijtlichなどの人々 、電力会社など)は、研究側に膨大なリソースを費やしているようです。
いくつかの異なる視点-特にAPTを防御することを目的とするセキュリティ専門家はそれを戦争として扱い、諜報活動を含むあらゆる情報源から物事の音によって得られます(ただし、彼らは素晴らしい彼らはいくつかの外国の大国がするかもしれないレベルに身をかがめないだろうと指摘するのは難しい)
電力会社と重要な国家インフラストラクチャにとって、焦点は近い将来に攻撃が予想されるかどうかを示すことを試みることでした-IRCタイプのチャットにもっと注意を向けます。