Operatorzy ransomware polegają na trzech kluczowych wsparciach, aby umożliwić im masowe atakowanie organizacji, a wyeliminowanie tylko dwóch z nich będzie ogromną wygraną dla społeczności zajmującej się bezpieczeństwem w jej walce, Chris Krebs, były dyrektor Amerykańskiej Agencji ds. Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA), powiedział audytorium na corocznym spotkaniu specjalisty ds. ochrony danych Rubrik’s Szczyt bezpieczeństwa danych.
Krebsa, który niedawno dołączył do Rubrik w charakterze doradcy jako przewodniczący rady doradczej CISO, która zajmuje się globalnym bezpieczeństwem i stawieniem czoła kryzysowi związanemu z oprogramowaniem ransomware, wyjaśnił te wsparcie. Po pierwsze, powiedział, powierzchnia ataku i zainstalowana baza są bardzo wrażliwe; po drugie, napastnicy odkryli, jak zarabiać na lukach, ogólnie za pośrednictwem ekosystemu kryptograficznego; i po trzecie, istnieje historyczna bezpieczna przystań – to znaczy Rosja – z której mogą działać bezkarnie.
„Widzisz to [ransomware] rozsianych po całym świecie, ponieważ to się opłaca – jest tu motyw zysku i dopóki nie zakłócimy co najmniej dwóch, jeśli nie wszystkich trzech nóg, tego stołka, będziemy nadal obserwować, jak to się dzieje” – powiedział Krebs.
„Widzieliśmy ruch w zakresie ulepszania lub zakłócania działań, które są bardzo podekscytowane, widząc ich kontynuację, FBI i Departament Sprawiedliwości [DoJ] i Skarbiec kierowanie do społeczności kryptowalut…ukierunkowanie na niektóre z tych mikserów i niektóre z tych wymian [to] zakłócać zdolność przestępców do zarabiania pieniędzy.
„Musisz także faktycznie zadbać o zdolność samych przestępców do prowadzenia swoich działań, więc na froncie zakłócasz ich dowodzenie i kontrolę [C2] infrastruktury, zakłócać ich zdolność do współpracy z innymi podmiotami powiązanymi, masz wątpliwości. To było jedno z interesujących działań zeszłego roku – czy to był rząd USA, czy inni partnerzy – wkraczanie do niektórych społeczności i sianie wątpliwości i nieufności, a więc widać, że te grupy się rozpadają, ponieważ po prostu nie mogą już ze sobą współpracować.
„Trzecia rzecz, i tutaj CISA wykonała tak niezwykłą pracę w ciągu ostatniego roku, to współpraca z partnerami z przemysłu i rządu – władze stanowe i lokalne nadal są głównym celem, podobnie jak szkoły i służba zdrowia. przemysłu – dając im raczej sztuczki branżowe i tylko podstawowe narzędzia do poprawy” – powiedział.
Przemawiając na tym samym wydarzeniu Eric Goldsteinobecny zastępca dyrektora wykonawczego w CISA, powtórzył sentyment Krebsa do krytyczności pracy z partnerami, i wezwania innych dla większej współpracy między rządowymi agencjami cybernetycznymi, społecznością bezpieczeństwa i organizacjami ryzyka.
„W ciągu ostatniego roku wiele się nauczyliśmy i zmieniliśmy się, biorąc pod uwagę zmiany w środowisku zagrożeń, a największym atrybutem, którego się nauczyliśmy, jest potrzeba odejścia od okazjonalnego partnerstwa ad hoc, które, szczerze mówiąc, nie jest w stanie sprostać szybkości przeciwnika, a szybkość zmian w środowisku technologicznym do model trwałej współpracy operacyjnej”, powiedział Goldstein.
„W praktyce oznacza to przejście do środowiska, w którym operatorzy i praktycy – w ramach rządu, infrastruktury krytycznej, międzynarodowej społeczności cyberobrony – stale współpracują ze sobą [and] nie czekamy na najgorszy możliwy incydent, zanim zaczniemy wysyłać prośby o informacje lub nawiązywać połączenia konferencyjne.
„Wszyscy już tam jesteśmy, wszyscy już pracujemy razem w wirtualnych kanałach współpracy, pracując razem osobiście. Mamy nie tylko relacje, ale także oczekiwania i platformy do ciągłej współpracy na dużą skalę”.
Ten model informuje CISA stosunkowo nowy Wspólna współpraca w zakresie cyberobronyktóry był pilotowany podczas bożonarodzeniowego kryzysu Log4Shell w 2021 r., a następnie drastycznie rozrósł się na początku 2022 r. podczas rosyjskiej inwazji na Ukrainę.
„Wciąż jesteśmy we wczesnych dniach tego modelu, ale to naprawdę innowacja w sposobie myślenia o współpracy io tym, jak myślimy o roli rządu jako równorzędnego partnera w tym modelu współpracy z infrastrukturą krytyczną , z sektorami bezpieczeństwa cybernetycznego i technologii oraz z naszymi partnerami na całym świecie” – powiedział Goldstein.
Krebs dodał: „Organizacje zaczynają kontekstualizować, wzbogacać i operacjonalizować dane, które rezydują w swoich sieciach. Sama CISA ma dostęp do ogromnej ilości danych o przepływach netto, pochodzących tylko z samych agencji federalnych… a dzięki tym wszystkim danym, jeśli zaczniesz patrzeć z góry i zidentyfikujesz trendy, możesz spojrzeć wstecz, możesz spojrzeć na dziś, a potem możesz patrzeć w przyszłość i zobaczyć, dokąd zmierzają sprawy.
„To, co lubię widzieć w CISA, to więcej tego wzbogacenia, więcej kontekstualizacji, więcej tego dzielenia się. Każda organizacja ma możliwość czerpania wniosków z posiadanych danych – Rubrik wstawia zespół Rubrik Zero Labsktóry analizuje dane, które posiadasz, niezależnie od tego, czy pochodzą one od klientów, czy własnych sieci, a następnie wyciąga z tych danych spostrzeżenia dotyczące lepszej postawy obronnej i działań.
„Każdy może to zrobić. To coś, do czego zmuszałem CISA, kiedy byłem reżyserem, i wspaniale jest widzieć Jen [Easterly]kontynuuj i naprawdę postaw stopę na gazie tej umiejętności” – powiedział Krebs.
Patrząc w przyszłość, Krebs powiedział, że ma nadzieję, że rządy przyjrzą się bliżej odpowiednim interwencjom rynkowym w celu wprowadzenia lepszych praktyk w zakresie bezpieczeństwa, co może ostatecznie doprowadzić do większej liczby regulacji lub ustalania standardów.
„To zapewni, z pewnością najbardziej krytycznej z branż, lepszą postawę do obrony oraz większą jasność i pewność w zakresie tego, co muszą robić, kontekstualizację informacji z odpowiednimi kontrolami bezpieczeństwa wokół rzeczy, które muszą zrobić, ponieważ my „Niekoniecznie dostrzegamy właściwe inwestycje lub odpowiednie kontrole bezpieczeństwa w niektórych miejscach” – powiedział.
Krebs dodał, że Kongres USA „zrobił to dobrze” z nowym wymagania dotyczące powiadamiania o incydentach cybernetycznych – część prawa, które obecnie przechodzi przez system, i zachęca członków społeczności do udzielania informacji zwrotnych i wskazówek dotyczących przewidywanych próśb o informacje o konsultacjach.
Wezwał specjalistów ds. bezpieczeństwa do dalszej ewolucji, mówiąc, że ustalone sztuczki w handlu niekoniecznie zadziałają jutro, ponieważ krajobraz zagrożeń zmienia się tak szybko.
“Mój partner biznesowy Alex Thomas mówi o tym, że nie zostaje się arcymistrzem w szachach czytając książkę, trzeba grać. To właśnie robią źli faceci, grają codziennie” – powiedział.
„Musimy być aktywni, musimy testować, nieustannie oceniać, co działa, a co nie, i ciągle pchać piłkę do przodu”.