Šiame intriguojančiame interviu patyręs grėsmių žvalgybos ekspertas, turintis daugiau nei 19 metų patirties, Sherrod DeGrippo išsamiai aptaria kibernetinės žvalgybos realijas. Drauge su dviem patyrusiomis specialistėmis Judy Ng ir Sarah Jones, kurios uoliai narsto painų iš Kinijos kylančių kibernetinių grėsmių tinklą, jie sutelkia dėmesį į slaptą veiklą šiuolaikinių grėsmių horizonte. Jie aptaria iššūkius, kylančius mūsų įvairiais ryšiais susaistytą pasaulį saugantiems specialistams. Pasiruoškite negirdėtoms šių skaitmeninių detektyvų istorijoms ir išskirtinėms žinioms, jiems pasakojant apie slaptas Kinijos kibernetinio mūšio lauko realijas.
Priešakinėse linijose: apie Kinijos grėsmės sukėlėjų taktiką ir būdus
Sarah Jones
Eidama vyriausiosios grėsmių analitikės pareigas tiriu iš Kinijos kylančių APT (sudėtingų ilgalaikių grėsmių) grupuotes ir kurios dirba Kinijos vyriausybės vardu. Ilgą laiką stebiu jų kenkėjiškų programų kūrimo procesą ir tiriu jų infrastruktūros plėtros bei aukų tinklų pažeidimo metodus. Prieš prisijungdama prie „Microsoft“ grėsmių žvalgybos, daugiausiai dirbau su Kinija China, bet taip pat esu tyrusi Irano ir Rusijos grupuotes.
Karjeros pradžioje daugiausiai patirties įgijau dirbdama Saugumo operacijų centruose, konkrečiai, su vidine vyriausybės ir įmonių tinklų sauga.
Vienas iš įdomiausių darbo su Kinijos grėsmes keliančiomis grupuotėmis aspektų yra galimybę jas sekti labai ilgą laikotarpį. Man be galo įdomu tirti grupuotes, su kuriomis susipažinau prieš 10 metų, ir stebėti jų ilgalaikę raidą.
Judy Ng
Aš kaip ir Sarah esu vyresnioji grėsmių analitikė, taikau geopolitinę analizę kibernetinėms grėsmėms analizuoti. Įvairiais kampais stebiu iš Kinijos kilusių grėsmių sukelėjus jau 15 savo karjeros metų, per kuriuose esu dirbusi JAV vyriausybei, startuoliuose, įvairiose JAV įmonėse ir, žinoma, „Microsoft“, kurioje įsidarbinau 2020 metais.
Mano dėmesys nukrypo į Kiniją, nes ji mane visada domino. Karjeros pradžioje šis susidomėjimas man padėjo prisitraukti kontekstą, kuris buvos nepasiekiamas kolegoms, kurie neišmanė kinų kalbos ar kultūros niuansų.
Kiek pamenu, mano pirmasis klausimas buvo, „Judy, ką reiškia „mėsinis viščiukas“? Ką kiniškai reiškia „mėsinis viščiukas“?
Atsakymas – „kompiuterių zombių tinklas“. Grėsmių sukelėjai internetiniuose forumuose kinišku žargonu „mėsinis viščiukas“ vadina kompiuterių zombių tinklus
Judy Ng
Šiame darbe nesinori kartoti to paties kiekvieną dieną. Tai pagyvina rutiną. Galima pasitelkti visus galingus „Microsoft“ gaunamus signalus ir orientuotis pagal duomenis.
Su čia esančiais duomenų rinkiniais niekada nenuobodu. Niekada negali pasiskųsti, kad „Ak, nėra ko medžioti“. Visuomet rasi, ką nors įdomaus, be to, labai padeda, kad ir kiti Kinijos komandos kolegos yra tokie pat smalsūs.
Tiek medžiojant savarankiškai ar tiriant temą su grupe, labai praverčia visų kolegų smalsumas ir tai, kad kiekvienas galime dirbti savais būdais.
Sarah Jones
Sutinku su Judy. Kiekvieną dieną susiduriam su naujomis problemomis. Kasdien sužinau apie naują technologiją arba naują programinę įrangą, kurią mėgina panaudoti grėsmių sukelėjas. Tada tenka sugrįžti ir pasiskaityti man negirdėtos technologijos arba programinės įrangos dokumentaciją. Kartais, laikantis protokolo, tenka pasiskaityti RFC (komentarų užklausą), nes grėsmių sukelėjai gali ją manipuliuoti arba ją išnaudoti, todėl tenka grįžti prie originalios dokumentacijos.
Tai man labai įdomu ir su tuo dirbu kasdien. Kasdien sužinau apie naują, man dar negirdėta interneto aspektą ir skubu vytis grėsmių sukelėjų, kad gerai išmanyčiau aspektą, kurį jie nusprendė išnaudoti.
Sarah Jones
Užklupus COVID pandemijai pastebėjome daugybę pokyčių. Klientų pasaulis persimainė. Pernakt visi išsiskirstė po namus ir mėgino dirbti iš ten. Daugybė įmonių iš pagrindų perkonfigūravo savo tinklus ir mes pastebėjome, kad ima keistis darbuotojų darbo pobūdis ir kad į tai reaguoja grėsmių sukelėjai.
Pavyzdžiui, kai buvo pradėta taikyti darbo iš namų strategija, daugelis organizacijų turėjo suteikti prieigą iš daugybės skirtingų vietovių prie labai svarbių sistemų ir išteklių, kurie paprastai būdavo nepasiekiami už įmonės biuro ribų. Pastebėjome, kad grėsmių sukelėjai pradėjo bandyti įsilieti į šurmulį, apsimesdami nuotoliniais darbuotojais ir pasiekdami šiuos išteklius.
Kai tik prasidėjo COVID pandemija, teko skubiai pritaikyti prieigos prie įmonės aplinkų strategijas, tad kartais jos buvo kuriamos neturint laiko susipažinti su gerosiomis praktikomis ir jas išbandyti. Kadangi daugelis organizacijų neperžvelgė šių strategijų nuo pat jų įdiegimo, pastebėjome, kad šiandien grėsmių sukelėjai mėgina atrasti jų konfigūracijų spragas ir pažeidžiamas vietas bei jas išnaudoti.
Kenkėjiškų programų diegimas staliniuose kompiuteriuose nebėra toks pelningas. Šiuo metu svarbiau perimti slaptažodžius ir atpažinimo ženklus, kurie suteikia prieigą prie svarbių sistemų kaip nuotoliniams darbuotojams.
Judy Ng
Nežinau, ar grėsmių sukelėjai dirba iš namų, bet mes turime duomenų, kurie byloja, kad COVID apribojimai turėjo įtakos jų veiklai jų gyvenamuosiuose miestuose. Jų gyvenimas pasikeitė kaip ir visų kitų žmonių, nepaisant to, kur jie gyveno.
Kartais pastebėdavome miestų karantino poveikį pagal veiklos sumažėjimą jų kompiuteriuose. Buvo labai įdomu stebėti, kaip miesto rajonų karantinas atsispindi mūsų duomenyse.
Judy Ng
Galiu pateikti puikų pavyzdį apie vieną iš mūsų sekamų grėsmių sukelėjų „Nylon Typhoon“. „Microsoft“ ėmėsi veiksmų prieš šią grupę 2021 metų gruodį ir išardė jos infrastruktūrą, kurią ji naudojo veiklai Europoje, Lotynų Amerikoje ir Centrinėje Amerikoje.
Atlikdami vertinimą, pastebėjome, kad jų veikla galėjo būti susijusi su žvalgybos duomenų rinkimu, kuris galėtų suteikti informacijos apie Kinijos „Juostos ir kelio“ iniciatyvos (BRI), kuria Kinija siekia steigti vyriausybinius infrastruktūros projektus visame pasaulyje, partnerius. Žinome, kad Kinijos vyriausybės remiami grėsmių sukelėjai vykdo tradicinę ir ekonominę žvalgybą, o mūsų vertinimu ši grupuotė vykdė abi šias veiklas.
Nesame garantuoti 100 %, nes nepagavome jų nusikaltimo vietoje. Per 15 metų supratau, kad sugauti grėsmių sukelėją nusikaltimo vietoje yra labai sunku. Mums belieka ištirti informaciją, susidaryti bendrą vaizdą ir pasakyti „Esame tiek ir tiek garantuoti, kad visa tai buvo vykdoma dėl šios priežasties“.
Sarah Jones
Viena iš ryškiausių tendencijų yra dėmesio perkėlimas nuo galutinių naudotojų ir specializuotų kenkėjiškų programų prie išties ribinės veiklos – išteklių sutelkimo kraštinių įrenginių išnaudojimui ir nuolatiniam spaudimui. Šie įrenginiai įdomūs tuo, kad gavus prie jų prieigą, juose galima pasislėpti labai ilgam laikui.
Kai kurios grupuotės yra atlikusios labai įspūdingų įsibrovimų į šiuos įrenginius. Jos supranta, kaip veikia jų programinė-aparatinė įranga. Jos išmano kiekvieno įrenginio pažeidžiamas vietas ir žino, kad daugelis įrenginių nepalaiko antivirusinių programų ar detalizuoto prisijungimo.
Žinoma, grėsmių sukelėjai žino, kad tokios priemonės, kaip VPN yra tarsi raktas į karalystę. Organizacijoms ginantis vis naujais apsaugos sluoksniais, pvz., atpažinimo ženklais, kelių dalių autentifikavimu (MFA) ir prieigos strategijomis, grėsmių sukelėjai atranda vis sumanesnių būdų kaip juos apeiti ir prasmukti pro apsaugą.
Manau, daugelis grėsmių sukelėjų suprantą, kad jei jiems pavyks išlaikyti ilgalaikį spaudimą tokiomis priemonėmis, kaip VPN, jiems nereikės diegti jokių kenkėjiškų programų. Jie gali pasirūpinti prieiga, kuri jiems padės prisijungti kaip eiliniam naudotojui.
Iš esmės, įsibraudami į šiuos kraštinius tinklo įrenginius, jie susikūrė „dievo režimą”.
Taip pat pastebime tendenciją, kad grėsmių sukelėjai naudoja „Shodan“, „Fofa“ ar kitas duomenų bazes, kurios nuskaito interneto duomenis, kataloguoja įrenginius ir atpažįsta skirtingus pataisų lygius.
Taip pat pastebime, kad ieškodami, ką būtų galima išnaudoti grėsmių sukelėjai savarankiškai nuskaito didelius interneto plotus, kartais pasitelkdami iš anksto paruoštus taikinių sąrašus. Ką nors aptikę, jie nuskaito dar kartą, kad išnaudotų įrenginį, o tada sugrįžta įsibrauti į tinklą.
Sarah Jones
Abu. Priklauso nuo grėsmių sukelėjo. Kai kurie grėsmių sukelėjai yra atsakingu už jiems paskirtą šalį. Jie turi nustatytą tikslą, dėl to jiems svarbiausia pasirūpinti tos šalies įrenginiais. Tačiau grėsmių sukelėjai turi ir funkcinių tikslų, dėl to jie domisi konkrečiais sektoriais, pvz., finansais, energija arba gamyba. Per keletą metų jie sudaro taikinių sąrašą, kuriuo vadovaujasi, tad šie grėsmių sukelėjai tiksliai žino, kokiais įrenginiais ir programine įranga naudojasi jų aukos. Pastebime, kad kai kurie grėsmių sukelėjai nuskaito iš anksto sudarytą taikinių sąrašą, kad nustatytų, ar jų aukos užlopė atitinkamas pažeidžiamas vietas.
Judy Ng
Grėsmių sukelėjai gali turėti labai konkrečius tikslus, būti labai metodiški ir preciziški, bet kartais jiems pristinga sėkmės. Nereikia pamiršti, kad jie taip pat yra žmonės. Nuskaitant arba renkant duomenis komerciniais produktais jiems kartais pasiseka nuo pat pradžių gauti reikiamą informaciją, kad jie galėtų imtis savo veiklos.
Sarah Jones
Būtent. Tačiau tinkama apsauga nėra vien pataisų diegimas. Veiksmingiausias sprendimas skamba labai paprastai, bet, iš tiesų, yra sunkiai įgyvendinamas. Organizacijos privalo išmanyti ir stebėti savo įrenginius, kurie pasiekiami internetu. Jos privalo žinoti, kaip atrodo jų interneto parametrai, tačiau mes suprantame, kad tai be galo sudėtinga hibridinėje aplinkoje, naudojant tiek debesį, tiek vietinius įrenginius.
Nemeluosiu, valdyti įrenginius nėra paprasta, bet pirmiausia reikia žinoti, kokie įrenginiai naudojami jūsų tinkle ir koks jų pataisų lygis.
Išmanant šiuos dalykus galima didinti prisijungimo pajėgumus ir šių įrenginių telemetriją. Reikia didinti žurnalų detalumą. Šiuos įrenginius sunku apsaugoti. Patikimiausias tinklo sargybos ginklas yra žurnalų registravimas ir anomalijų paieška
Judy Ng
Norėčiau turėti krištolinį rutulį, kuris atskleistų Kinijos vyriausybės planus. Tačiau aš jo neturiu. Bet plika akimi matosi, kad ji turi nepasotinamą apetitą prieigai prie informacijos.
Šiuo apetitu nesiskundžia nė viena šalis.
Mes irgi mėgstame informaciją. Mums patinka duomenys.
Sarah Jones
Judy yra mūsų „Juostos ir kelio“ iniciatyvos (BRI) ekspertė ir geopolitikos ekspertė. Stebėdami tendencijas, ypač taikymosi tendencijas, pasitelkiame jos įžvalgas. Kartais pastebime naują taikinį, kurio svarba mums visiškai neaiški. Jis absoliučiai nesutampa su ankstesniu, todėl kreipiamės į Judy, kuris iškart sumoja: „A, šioje šalyje vyksta svarbus ekonominis suvažiavimas arba kad vyksta derybos dėl naujos gamyklos statybos šioje vietovėje“.
Judy pasidalija su mumis vertingu kontekstu – būtinu kontekstu –kuris padeda suprasti, kuo užsiima grėsmių sukelėjai. Visi mokame naudotis „Bing“ vertimu ir visi mokame ieškoti naujų straipsnių, bet kai susiduriame su neaiškumais, Judy gali mums paaiškinti: „Na, šis vertimas reiškia tai ir tai“ ir tai gali viską paaiškinti.
Sekti Kinijos grėsmių sukelėjus būtinos kultūrinės žinios apie jos valdžios sanklodą ir kaip veikia jos įmonės ir įstaigos. Judy padeda mums perprasti šių organizacijų struktūrą ir suprasti, kaip jos veikia – kaip jos uždirba pinigus ir sąveikauja su Kinijos vyriausybe.
Judy Ng
Kaip jau minėjo Sarah, viskas yra grįsta komunikacija. Mes nuolat naudojamės „Teams“ pokalbiais. Nuolat dalijamės įžvalgomis, kurių pasisemiame iš telemetrijos, kuri mums padėjo susidaryti galimas išvadas.
Judy Ng
Kokia mano gudrybė? Labai daug laiko praleidžiu internete ir skaitydama. Kalbant rimčiau, manau, svarbiausia mokėti naudotis skirtingais paieškos įrankiais.
Dažniausiai naudojuosi „Bing“, bet praverčia ir „Baidu“ bei „Yandex“.
Taip yra dėl to, kad skirtingi paieškos įrankiai pateikia skirtingus rezultatus. Tai nėra sudėtinga, bet aš suprantu, kad būtina ieškoti rezultatų iš skirtingų šaltinių, kad galėčiau analizuoti jų duomenis.
Visi mūsų komandos nariai žino be galo daug. Visi turi supergalių, tereikia žinoti, kieno paklausti. Puiku, kad dirbame komandoje, kurioje galima drąsiai kreiptis į vienas kitą, ar ne? Visada sakome, kad kvailų klausimų nebūna.
Sarah Jones
Kvaili klausimai yra mūsų komandos varomoji jėga.
Sarah Jones
Dabar pats metas pasikalbėti apie IT saugą. Kai pradėjau dirbti, beveik nebuvo paskaitų, išteklių ar būdų ieškoti informacijos. Dabar turime ištisas bakalauro ir magistro studijų programas! Dabar yra be daugybė būdų įsitraukti į šią profesiją. Taip, kai kurie būdai kainuoja daug pinigų, bet yra ir nebrangių arba nemokamų būdų.
Vieną nemokamą mokymosi priemonę sukūrė Simeon Kakpovi ir Greg Schloemer, mūsų kolegos iš „Microsoft“ grėsmių žvalgybos. Šis įrankis, vadinamas KC7, suteikia galimybę kiekvienam perprasti IT saugą, suprasti, kad yra tinklas, kaip rengti įvykius ir kaip medžioti grėsmių sukelėjus.
Dabar galima susipažinti su įvairiomis temomis. Kai pradėjau dirbti, kad galėtum naudotis tokiais įrankiais, turėjai dirbti daugiamilijoninio biudžeto įmonėje. Daugeliui tai tapdavo kliūtimi įsidarbinti šioje srityje. Tačiau dabar kenkėjiškų programų mėginius gali analizuoti bet kas. Anksčiau būdavo sunku rasti kenkėjiškų programų mėginių ir paketų. Tačiau šios kliūtys nyksta. Šiandien turime gausybę nemokamų internetinių įrankių ir išteklių, kuriais galima mokyti savo tempu.
Mano patarimas – atrasti sritį, kuri jus domina. Norite tyrinėti kenkėjiškas programas? Atlikti skaitmeninę teisminę ekspertizę? Grėsmių analizę? Susitelkite į savo mėgstamas temas ir išnaudokite viešai pasiekiamus išteklius ir kuo daugiau jomis domėkitės.
Judy Ng
Svarbiausia būti smalsiam, ar ne? Be smalsumo, taip pat reikia gebėti dirbti su kitais. Būtina nepamiršti, kad tai komandinis žaidimas – vienas negali užtikrinti kibernetinės saugos.
Labai svarbu mokėti dirbti komandoje. Svarbu būti smalsiam ir norėti mokytis. Reikia nebijoti užduoti klausimus ir atrasti būdą bendradarbiauti su komandos nariais..
Sarah Jones
Gryniausia tiesa. Noriu pabrėžti, kad „Microsoft“ grėsmių žvalgyba dirba su daugybe partnerių komandų iš visos „Microsoft“. Dažnai pasitelkiame savo kolegų žinias, kad suprastume, ką darbo grėsmių sukelėjai ir kodėl jie tai daro. Be jų negalėtume atlikti savo darbo.
Stebėkite „Microsoft“ saugą