V tomto pútavom rozhovore sa Sherrod DeGrippo, skúsená expertka na analýzu hrozieb s vyše 19-ročnými skúsenosťami, púšťa do podrobného preskúmania sveta kybernetickej špionáže. Spolu s Judy Ng a Sarah Jones, dvomi impozantnými odborníčkami venujúcimi sa rozpletaniu zložitej siete kybernetických hrozieb s pôvodom v Číne, prinášajú do centra pozornosti tajné aktivity v rámci modernej panorámy hrozieb. Spoločne diskutujú o výzvach, ktorým čelia ľudia chrániaci náš prepojený svet. Pripravte sa ponoriť do tajomných príbehov a mimoriadne zaujímavých odborných poznatkov týchto digitálnych detektívok počas ich rozprávania o skrytom svete čínskeho kybernetického bojiska.
V prednej línii: taktiky a techniky dešifrovania čínskych aktérov hrozieb
Sarah Jones
Ako vysokopostavená analytička hrozieb skúmam skupiny APT (rozšírené trvalé hrozby) s pôvodom v Číne, ktoré pracujú v mene čínskej vlády. Sledujem, ako v priebehu času vyvíjajú škodlivé softvéry, a skúmam ich metódy vytvárania infraštruktúry a sietí na kompromitovanie obetí. Pred tým, ako som sa pridala k tímu Microsoft Analýza hrozieb, som sa primárne zameriavala na Čínu, pracovala som však aj na iránskych a ruských skupinách.
Počas väčšiny môjho pôsobenia, najmä na začiatku kariéry, som pracovala v centrách bezpečnostných operácií a sústredila sa na internú bezpečnosť vládnych a korporátnych sietí.
Jednou z úžasných vecí na štúdiu čínskych skupín aktérov hrozieb je možnosť sledovať ich počas tak dlhých období. Je veľmi zaujímavé môcť skúmať skupiny, ktoré si pamätám spred desiatich rokov, a pozorovať ich vývoj v priebehu času.
Judy Ng
Podobne ako Sarah som takisto vysokopostavená analytička hrozieb, pričom popri analýze kybernetických hrozieb využívam geopolitickú analýzu. Posledných 15 rokov svojej kariéry sledujem aktérov v Číne z rôznych hľadísk. Zahŕňa to úlohy podporujúce vládu USA, funkcie v startupoch, rôzne pozície v amerických korporáciách a samozrejme v Microsofte, v ktorom pôsobím od roku 2020.
So zameraním sa na Čínu som začala preto, že som sa o ňu vždy zaujímala. Na začiatku kariéry mi tento záujem pomohol poskytovať kontext, ktorý chýbal kolegom, ktorí nemuseli rozumieť niektorým nuansám čínskeho jazyka alebo kultúry.
Myslím, že jednou z prvých otázok bolo „Judy, čo je to ‚kuracina‘? Čo znamená ‚kuracina‘ v čínštine?“
Odpoveď bola „botnet“. „Kuracina“ je čínsky slang, ktorý aktéri hrozieb používajú na online fórach na označenie zombie botnetov.
Judy Ng
Pri tejto práci nerobíte jednu vec dookola každý deň. Vždy prináša niečo nové a vzrušujúce. Môžete sa chopiť všetkých mocných signálov, ktoré dostáva Microsoft, a jednoducho nechať tieto údaje, aby vás viedli.
Naša množina údajov vás nikdy nezačne nudiť. Nikdy si nepoviete „Och, nemám v čom vyhľadávať“. Vždy existuje niečo zaujímavé a pomáha aj to, že väčšina členov nášho tímu pre Čínu je jednoducho zvedavá partia.
Či už ide o individuálne vyhľadávanie hrozieb alebo skupinové úsilie pri zaoberaní sa istou témou, je jednoducho skvelé, že všetci sme zvedaví a môžeme kráčať vlastnými cestami.
Sarah Jones
Musím súhlasiť s Judy. Dennodenne sa zistí nový a odlišný problém. Každý deň sa učím o novej technológii alebo novom softvéri, ktorý sa aktér snaží zneužiť. V takom prípade, ak ide o technológiu alebo softvérový program, o ktorom som nikdy nepočula, musím urobiť krok vzad a prečítať príslušnú dokumentáciu. Niekedy musím prečítať RFC (žiadosť o pripomienky) na účely protokolu, pretože aktéri hrozieb manipulujú alebo zneužívajú niektoré jej aspekty, v dôsledku čoho sa treba vrátiť k pôvodnej dokumentácii a prečítať si ju.
Tieto veci sú pre mňa naozaj vzrušujúce a môžem na nich pracovať každý deň. Denne mám možnosť dozvedieť sa o novom aspekte internetu, o ktorom som nikdy nepočula, a následne sa pustiť do pretekov s aktérmi hrozieb, aby som sa mohla stať odborníčkou na vec, ktorú sa rozhodli zneužiť.
Sarah Jones
Počas COVID-u sme boli svedkami mnohých zmien. Svet sa pre zákazníkov zmenil. Zo dňa na deň išli všetci domov a snažili sa naďalej pracovať. Pozorovali sme mnoho spoločností, ktoré museli úplne prekonfigurovať svoje siete, a videli sme, ako zamestnanci zmenili spôsob práce. Zároveň sme pozorovali, ako naši aktéri hrozieb reagovali na toto všetko.
Napríklad pri prvom zavádzaní politík práce z domu mnoho organizácií muselo umožniť prístup z viacerých rôznych lokalít k niektorým veľmi citlivým systémom a zdrojom, ktoré neboli bežne dostupné mimo kancelárií podnikov. Videli sme, ako sa aktéri hrozieb následne pokúšali nepozorovane infiltrovať predstierajúc, že sú zamestnanci pracujúci na diaľku, a získať prístup k týmto zdrojom.
Keď sa COVID začal prvýkrát šíriť, politiky prístupu pre podnikové prostredia sa museli vytvoriť rýchlo, niekedy bez času na výskum a preskúmanie najlepších postupov. Keďže sa mnohé organizácie k týmto politikám od ich prvotného zavedenia nevrátili, vidíme, ako sa aktéri hrozieb dnes pokúšajú objavovať a zneužívať zlé konfigurácie a zraniteľné miesta.
Zavádzanie škodlivých softvérov do počítačov sa už toľko neoplatí. V súčasnosti ide aktérom o získanie hesiel a tokenov umožňujúcich získať prístup k citlivým systémom rovnako, ako to robia zamestnanci pracujúci na diaľku.
Judy Ng
Neviem, či aktéri hrozieb mali možnosť pracovať z domu, máme však údaje poskytujúce určité informácie o tom, ako obmedzenia počas COVID-u ovplyvnili ich aktivitu v mestách, v ktorých žili. Bez ohľadu na to, kde pracovali, ich životy boli ovplyvnené – rovnako ako všetkých ostatných.
Niekedy sme mohli na základe zníženej aktivity na ich počítačoch pozorovať účinok obmedzení v rámci celých miest. Bolo veľmi zaujímavé vidieť v našich údajoch vplyv všetkých týchto obmedzení zavádzaných na úrovni okresov.
Judy Ng
Mám skvelý príklad – jeden z aktérov hrozieb, ktorých sledujeme, Nylon Typhoon. Microsoft podnikol kroky proti tejto skupine v decembri 2021 a narušil infraštruktúru používanú na zameranie aktivít proti Európe, Latinskej Amerike a Strednej Amerike.
Vyhodnotili sme, že istá aktivita týkajúca sa obetí pravdepodobne spočívala v operáciách zberu spravodajských informácií, ktorých účelom bolo získať poznatky o partneroch zapojených do čínskej iniciatívy Jedno pásmo, jedna cesta pre projekty infraštruktúry vedené čínskou vládou na celom svete. Vieme, že aktéri hrozieb sponzorovaní čínskym štátom vykonávajú tradičnú špionáž a ekonomickú špionáž, a na základe našich posúdení sa domnievame, že táto aktivita sa pravdepodobne týkala oboch druhov.
Nie sme si úplne istí, keďže nemáme priamy dôkaz. Po 15 rokoch vám môžem povedať, že nájdenie takéhoto dôkazu je skutočne náročné. Čo však môžeme robiť, je analyzovať informácie, začleniť kontext a povedať „Vyhodnocujeme s takouto úrovňou spoľahlivosti a domnievame sa, že je to pravdepodobne z tohto dôvodu“.
Sarah Jones
Jeden z najväčších trendov spočíva v presmerovaní zamerania z používateľských koncových bodov a škodlivých softvérov šitých na mieru na aktérov skutočne žijúcich na okraji, t. j. sústredenie zdrojov na zneužívanie okrajových zariadení a zachovávanie vytrvalosti. Tieto zariadenia sú zaujímavé, pretože ak niekto získa prístup, môže v nich zostať prítomný veľmi dlho.
Niektorým skupinám sa podarilo preniknúť pozoruhodne hlboko do týchto zariadení. Vedia, ako funguje ich firmvér. Poznajú zraniteľné miesta každého zariadenia a vedia, že mnohé zariadenia nepodporujú antivírus ani podrobné zapisovanie do denníka.
Aktéri samozrejme vedia, že pomôcky ako VPN sú dnes ako kľúče od kráľovstva. Zatiaľ čo organizácie pridávajú vrstvy zabezpečenia ako tokeny, viacfaktorové overovanie (MFA) a prístupové politiky, aktéri sú pri obchádzaní a preliezaní ochranných prvkov čoraz rafinovanejší.
Myslím si, že veľa aktérov si uvedomilo, že ak sa im podarí zachovať dlhodobú vytrvalosť pomôckami ako VPN, v skutočnosti už nemusia nikde zavádzať škodlivé softvéry. Môžu si jednoducho zabezpečiť prístup, ktorý im umožní prihlásiť sa ako ktorýkoľvek používateľ.
Zneužitím týchto okrajových zariadení si v podstate v rámci siete zaistia neobmedzené možnosti.
Takisto pozorujeme trend, keď aktéri používajú Shodan, Fofa alebo akýkoľvek druh databázy, ktorá skenuje internet, katalóguje zariadenia a identifikuje rôzne úrovne opráv.
Pozorujeme aj aktérov vykonávajúcich vlastné skeny rozsiahlych častí internetu – niekedy z už existujúcich zoznamov cieľov – pri hľadaní niečoho, čo by sa dalo zneužiť. Keď niečo nájdu, urobia ďalší sken v záujme samotného zneužitia zariadenia, a neskôr sa vrátia, aby získali prístup k sieti.
Sarah Jones
Oboje. Záleží na konkrétnom aktérovi. Niektorí majú na starosť určitú krajinu. Tá predstavuje súbor ich cieľov, čiže sa zaujímajú výlučne o zariadenia v danej krajine. Iní aktéri však majú funkčné súbory cieľov – v takom prípade sa zameriavajú na konkrétne sektory, ako sú financie, energetika alebo výroba. V priebehu rokov vypracovali zoznam cieľových spoločností, o ktoré sa zaujímajú, pričom títo aktéri vedia presne, aké zariadenia a softvér tieto ciele prevádzkujú. Pri niektorých aktéroch teda pozorujeme, ako skenujú vopred stanovený zoznam cieľov, aby zistili, či opravili konkrétnu zraniteľnosť.
Judy Ng
Aktéri môžu byť veľmi zameraní, metodickí a dôkladní, no niekedy môžu mať šťastie. Nesmieme zabúdať, že sú to iba ľudia. Keď sa púšťajú do svojich skenov alebo si privlastňujú údaje pomocou komerčného produktu, niekedy majú len šťastie a získajú správny súbor informácií hneď na začiatku, čo im pomôže spustiť svoju operáciu.
Sarah Jones
Rozhodne. Správna ochrana však spočíva vo viac ako len opravách. Najúčinnejšie riešenie znie jednoducho, no v praxi je veľmi náročné. Organizácie musia rozumieť svojim zariadeniam, ktoré sú vystavené internetu, a vytvárať ich inventáre. Musia vedieť, ako vyzerajú ich nárazníkové siete, pričom si uvedomujeme, že toto je mimoriadne ťažké realizovať v hybridných prostrediach s cloudovými, ako aj lokálnymi zariadeniami.
Správa zariadení nie je ľahká, ani nechcem predstierať, že by bola, avšak nadobudnutie informácií o zariadeniach vo vašej sieti – a úrovniach opráv každého z nich – je prvý krok, ktorý môžete podniknúť.
Keď budete vedieť, s čím pracujete, budete môcť zvýšiť kapacitu zapisovania a telemetriu z týchto zariadení. Snažte sa o podrobnosť zápisov. Tieto zariadenia sa ťažko chránia. Najlepším riešením pre ochrancu siete s cieľom chrániť tieto zariadenia je zapisovanie do denníka a hľadanie anomálií.
Judy Ng
Kiežby som mala krištáľovú guľu a mohla predvídať plány čínskej vlády. Žiaľ ju nemám. Čo však môžeme badať, je zjavný apetít na prístup k informáciám.
Takýto apetít má každý národ.
My takisto máme radi naše informácie. Máme radi naše údaje.
Sarah Jones
Judy je naša expertka na iniciatívu Jedno pásmo, jedna cesta a geopolitická odborníčka. Spoliehame sa na jej poznatky, keď sa zaoberáme trendmi, a to najmä pokiaľ ide o výber cieľov. Niekedy spozorujeme nový cieľ, ktorý však naozaj nedáva žiadny zmysel. Nezodpovedá doterajším aktivitám, preto sa obrátime na Judy, ktorá nám povie „Jasné, v tejto krajine sa koná dôležité ekonomické stretnutie alebo v tejto lokalite prebiehajú rokovania o výstavbe novej továrne“.
Judy nám poskytuje cenný kontext – zásadný kontext – dôvodov konania aktérov hrozieb. Všetci vieme používať Bing Translate a všetci si vieme vyhľadať novinové články, keď však niečo nedáva zmysel, Judy nám môže povedať „Tento preklad v skutočnosti znamená toto“, čo môže byť mimoriadne prínosné.
Sledovanie čínskych aktérov hrozieb si vyžaduje kultúrne znalosti o štruktúre ich vlády a spôsobe fungovania ich spoločností a inštitúcií. Práca Judy pomáha rozpliesť štruktúru týchto organizácií a vďaka nej vieme, ako fungujú – ako zarábajú peniaze a interagujú s čínskou vládou.
Judy Ng
Ako uviedla Sarah, ide o komunikáciu. Neustále chatujeme cez Teams. Vždy sa delíme o poznatky, ktoré sme mohli spozorovať z telemetrie a ktoré nám pomohli dopracovať sa k možnému záveru.
Judy Ng
Môj trik? Trávim veľa voľného času na internete a čítaním. Ale vážne, myslím si, že jednou z najhodnotnejších vecí je jednoducho vedieť, ako používať rôzne vyhľadávače.
Dobre sa mi pracuje s Bing, ale aj Baidu a Yandex.
Dôvodom je, že rôzne vyhľadávače poskytujú rôzne výsledky. Nerobím nič špeciálne, viem však hľadať rozličné výsledky z rôznych zdrojov, aby som mohla analyzovať údaje odtiaľ.
Každý v tíme má veľmi dobrý rozhľad. Všetci majú superschopnosti – stačí len vedieť, koho sa spýtať. A je skvelé, že pracujeme v tíme, v ktorom nikto nemá ostych pri vzájomnom kladení otázok, však? Vždy hovoríme, že hlúpe otázky neexistujú.
Sarah Jones
Toto miesto stojí na hlúpych otázkach.
Sarah Jones
Teraz je ideálny čas začať pôsobiť v IT bezpečnosti. Keď som prvý raz začínala ja, neexistovalo veľa kurzov, zdrojov ani spôsobov objavovania. V súčasnosti existujú bakalárske a magisterské programy! Teraz je mnoho spôsobov, ako začať profesiu v tejto oblasti. Áno, niektoré možnosti môžu stáť veľa peňazí, existujú však aj nízkonákladové a bezplatné spôsoby.
Jeden bezplatný materiál odbornej prípravy v oblasti bezpečnosti vypracovali Simeon Kakpovi a Greg Schloemer, naši kolegovia v centre Microsoft Analýza hrozieb. Vďaka tomuto nástroju, nazývanému KC7, je začatie pôsobenia v IT bezpečnosti, chápanie sieťových a hostiteľských udalostí, ako aj vyhľadávanie aktérov prístupné pre všetkých.
Ľudia teraz zároveň majú možnosť dostávať informácie o všetkých druhoch rôznych tém. Keď som prvýkrát začínala, museli ste pracovať pre spoločnosť s niekoľko miliónovým rozpočtom, aby ste si mohli dovoliť tieto nástroje. Pre mnohých to bola prekážka vstupu. Teraz však môže analyzovať vzorky škodlivého softvéru ktokoľvek. Kedysi bolo náročné nájsť vzorky škodlivého softvéru a paketové záznamy. Tieto prekážky však zanikajú. Dnes existuje veľké množstvo bezplatných a online nástrojov a zdrojov, kde sa môžete samovzdelávať vlastným tempom.
Mojou radou je zistiť, ktorá špecifická oblasť motivuje váš záujem. Chcete skúmať škodlivý softvér? Digitálna forenzná analýza? Analýza hrozieb? Zamerajte sa na svoje obľúbené témy, využite verejne dostupné zdroje a čo najviac sa pomocou nich vzdelávajte.
Judy Ng
Najdôležitejším prvkom je zvedavosť, všakže? Popri zvedavosti musíte vedieť dobre pracovať s ostatnými. Musíte pamätať na to, že ide o tímový šport – nikto nedokáže pracovať na kybernetickej bezpečnosti sám.
Je dôležité mať schopnosť pracovať v tíme. Je dôležité mať zvedavosť a otvorenosť k učeniu sa. Nesmiete sa báť klásť otázky a hľadať spôsoby spolupráce s členmi tímu.
Sarah Jones
To je rozhodne dozaista pravda. Chcem zdôrazniť, že Microsoft Analýza hrozieb pracuje s mnohými partnerskými tímami v Microsofte. Značne sa spoliehame na odborné znalosti našich kolegov, aby nám pomohli pochopiť, čo aktéri robia a prečo to robia. Bez nich by sme našu prácu nemohli robiť.
Sledujte zabezpečenie od spoločnosti Microsoft