Datatrusselinformasjon i en geopolitisk kontekst

Fanta, som nå er direktør for informasjonsanalyse hos Microsoft Threat Analysis Center (MTAC), og teamet gjennomfører strategisk analyse av statlig cybertrusselaktivitet, ved å plassere cybertrusselinformasjon i en geopolitisk kontekst for å avdekke mulige årsaker bak aktiviteten.

Ved å identifisere og kommunisere årsaken til en bestemt trusselaktør -kampanje, kan vi bedre forberede oss og beskytte kunder som kan være sårbare mål, forklarer Fanta. I opptakten til Russlands omfattende invasjon av Ukraina i 2022 identifiserte Microsofts trusselinformasjonsteam ukrainske kunder i risikosonen for cyberangrep i tilfelle konflikten eskalerte, basert på hvilke sektorer en nasjon i krig ønsker ramme for å svekke fienden, og lokasjonene til ikke-oppdaterte og sårbare systemer. Det å etablere overvåkingspraksis og tipse ukrainske partnere om sårbarheter i forkant hjalp trusseljaktteamene med å styrke sårbarhetene, få øye på uvanlig aktivitet og fremskynde beskyttelsen av produkter.

Å se nærmere på potensielle årsaker bak statlige inntrenginger innebærer at vi tar opp det vi vet om geopolitisk utvikling, historikk, utenrikspolitiske mål og pågående hendelser, diskusjoner om cybertaktikk, -teknikker og -prosedyrer (TTP-er), og viktimologi. En vanlig dag for Fanta involverer å følge de siste internasjonale og cybersikkerhetsrelaterte nyhetene og gjennomgå de nyeste funnene innen microsoft trusselinformasjon med sine trusseljaktende kolleger, som bidrar med ulike perspektiver i etterforskningen.

Fanta og teamet har i det siste observert en rask utvikling innen cyberkrigføringstaktikk på ukrainske slagmarker (for ekstra innsikt i hybride krigføringstrender i Ukraina, kan du se 7 fremvoksende hybride krigføringstrender fra Russlands cyberkrig.

«Dette er første gang vi har sett distribusjonen av cyberangrep som en del av en større krigføring i dette omfanget», sier hun. «Og vi var ikke forberedt på hvor stor rolle ikke-statlige aktører – cyber-frivillige, hacktivister og privat sektor – kom til å spille i denne konflikten.»

For å illustrere deler Fanta hvordan nye partnerskap mellom offentlige og private enheter har hjulpet Ukraina med å forsvare nettverk og informasjonsområder. Ved å jakte på trusselaktivitet, skrive kode for å forsterke sikkerhetsprodukter og blogging for å øke bevisstheten rundt ondsinnede indikatorer på brudd (IOC-er), og taktikk, teknikker og prosedyrer (TTP-er), har det kollektive arbeidet til ukrainske cybersikkerhetsansatte og internasjonale offentlige og private fellesskap gjort jobben vanskeligere for trusselaktører som angriper ukrainske nettverk.