Ärge alahinnake riiklikult mahitatud võrkutungi riske.
Microsofti ohuanalüüs
Noorpõlves ei osanud Fanta Orr ettegi kujutada, et tema karjäär võiks olla seotud küberturbega. Selle asemel leidis ta endale sobiva tee riigiteenistuses, kus ta ligi 14 aastat analüüsis turvalisust geopoliitilisest vaatevinklist. Kui ta kuulis 2019. aastal ühelt sõbralt, et Microsoftis on loomisel uut tüüpi ametikoht, haaras ta kohe kinni võimalusest proovida midagi uut.
„Töö keskendus küberohtude ja geopoliitiliste luureandmete analüüsi kokkupuutepunktidele,“ ütleb Orr. „Sealt saigi minu küberturbeteekond alguse. Pikka sisseelamisaega ei olnud – hüppasin Microsoftis kohe hooga küberturbeteemadesse sisse ja mul on väga hea meel, et ma seda tegin.“
Orr kiidab ettevõttes klientide turvalisusele ja usaldusele keskenduva osakonna asepresidenti Tom Burti ning Microsofti endist digiturbeüksuse juhti Cristin Goodwinit, kes otsustasid ta värvata ettevõtte esimeseks ohukonteksti analüütikuks – tegemist on ametikohaga, millel oli küll määratletud püüeldav eesmärk, ent millel polnud ei selget kava ega ka olemasolevaid protsesse selle eesmärgi saavutamiseks. „Sisuliselt ehitasime koos Cristini ja minu järel lisandunud meeskonnakaaslastega lennukit õhus, lendamise ajal. See oli ühtaegu nii hirmutav kui ka ääretult põnev aeg.“
Orr ütleb, et tema töö – riiklikult mahitatud ohustajate jälgimine – toob kasu ka neile, kes ei tegutse riigisektoris. Riiklikult mahitatud ründajad ei võta sihikule üksnes riigiasutusi, hoiatab ta. Sageli on tema sõnul sihikul ka hoopis valitsusvälised organisatsioonid, mõttekojad, haridusasutused ja nõustamisfirmad.
Orr, kes nüüd töötab Microsofti ohuanalüüsikeskuses (MTAC) luureandmete analüüsi direktorina, viib koos oma meeskonnaga läbi riiklikult mahitatud küberohustamistegevuste strateegilist analüüsi; sisuliselt tähendab see küberohuteabe asetamist geopoliitilisse konteksti, et selgitada välja selle tegevuse võimalikud põhjused.
Konkreetse küberohustaja kampaania põhjuste väljaselgitamine ja nende arutamine aitab meil paremini valmistuda ja kaitsta kliente, kes võiksid olla haavatavad sihtmärgid, selgitab Orr. Ta toob näiteks, kuidas Microsofti ohuanalüüsi meeskond tegi enne Venemaa täiemahulist sissetungi Ukrainasse 2022. aastal kindlaks need ettevõtte Ukraina kliendid, kes olid sõja puhkemise korral kõige tõenäolisemalt küberrünnete sihtmärgid, võttes aluseks sektorid ja valdkonnad, mida sõdiv riik sooviks vastase nõrgestamiseks arvatavasti rünnata, ning paikamata ja haavatavate süsteemide asukohad. Sellise jälgimisharjumise kujundamine ja meie Ukraina partnerite neist nõrkustest aegsasti teavitamine aitas ohujahimeeskondadel haavatavaid kohti tugevdada, anomaalset tegevust märgata ja kiiremini kaitsemeetmeid kasutusele võtta.
Riiklikult mahitatud võrgusissetungide potentsiaalsete põhjuste väljaselgitamisel tuleb kogu teave, mis meil on geopoliitiliste arengute, välispoliitiliste eesmärkide ja aktuaalsete sündmuste kohta, kaasata kübertaktika, -tehnikate ja -protseduuride (TTP) aruteludesse ning viktimoloogiasse. Fanta Orri tüüpiline tööpäev hõlmab enda kurssi viimist värskeimate rahvusvaheliste ja küberturbe uudistega ning Microsofti ohuanalüüsi uusimate leidudega tutvumist koos ohujahivaldkonna kolleegidega, kes toovad uurimisse kaasa oma vaatenurga.
Viimasel ajal on Orr ja tema meeskond jälginud kübersõjataktika kiiret arengut Ukraina lahinguväljadel (põhjalikuma ülevaate sellest, millised hübriidsõjatrendid on Ukrainas tekkinud, leiate artiklist Seitse uut hübriidsõjapidamise suunda Venemaa kübersõjast.
„Me näeme praegu esimest korda küberrünnete kasutamist sellises ulatuses laiema sõjapidamise osana,“ ütleb ta. „Ja me ei osanud ette aimata, kui suurt rolli mängivad selles konfliktis mitteriiklikud osapooled – kübervabatahtlikud, häktivistid, erasektor.“
Oma jutu illustreerimiseks kirjeldab Orr, kuidas avalikus ja erasektoris tegutsejate koostöö on aidanud Ukrainal kaitsta oma võrke ja inforuumi. Ukraina küberturbespetsialistide ning rahvusvaheliste avaliku ja erasektori kogukondade ühised jõupingutused ohtude jahtimise, turbetoodete tugevamaks muutmise jaoks koodi kirjutamise ning blogimise vallas, et suurendada teadlikkust nii kuritahtlikest turbemurdeintsidentidest (IOC) kui ka taktikast, tehnikast ja protseduuridest (TTP), on Ukraina võrke ründavate küberohustajate töö raskemaks teinud.
Orr ütleb, et tema töö – riiklikult mahitatud ohustajate jälgimine – toob kasu ka neile, kes ei tegutse riigisektoris. Riiklikult mahitatud ründajad ei võta sihikule üksnes riigiasutusi, hoiatab ta. Sageli on tema sõnul sihikul ka hoopis valitsusvälised organisatsioonid, mõttekojad, haridusasutused ja nõustamisfirmad.
Jälgige Microsofti turbeteenust