Polityka i prawo
Państwa i hakerzy działają tak samo
Granice między działaniami państw a cyberprzestępcami staje się coraz bardziej rozmyta. Hakerzy stosują narzędzia używane przez rządy i odwrotnie. To stwarza konieczność opracowania nowego podejścia wobec ryzyka w zakresie cyberbezpieczeństwa.
Analiza zagrożeń i podejrzanych zachowań w 4400 firmach sporządzona przez jednostkę ds. bezpieczeństwa Counter Secureworks (CTU) wykazała, że wszelkie założenie o odrębności działań sponsorowanych przez rząd względem zaawansowanych zagrożeń cyberbeprzestępczych jest błędne. Innymi słowy, granica pomiędzy państwami a hakerami zaciera się coraz bardziej.
Specjaliści sporządzający „Raport o stanie cyberprzestępczości w 2018 roku” (www.secureworks.com) stwierdzili, że stosunkowo niewielka część podmiotów przestępczych jest faktycznie odpowiedzialna za większość szkód związanych z incydentami komputerowymi. Wskazano również, że hakerzy stosują narzędzia i techniki tak wyrafinowane, ukierunkowane oraz złożone, jak większość aktorów państwowych.
Równocześnie podmioty sponsorowane przez rządy narodowe coraz częściej używają tych samych metod oraz sposobów działania co cyberprzestępcy. Na przykład analiza kampanii Gandcrab wykazała, że za incydent odpowiada grupa ściśle związana Pjongjangiem. W przeszłości firma SC Media UK twierdziła, że Gandcrab jest zasobem oprogramowania typu „malware-as-a-service” i należy go kojarzyć z działalnością cyberprzestępców zainteresowanych sektorem finansowym. Obecnie to się zmieniło.
Powszechnie występuje przekonanie, że bardziej wyrafinowane metodologie socjotechniczne, szczegółowe rozpoznanie, wysoce zaawansowane złośliwe oprogramowania oraz wyspecjalizowane metody włamań sieciowych widoczne w poszczególnych atakach są domeną podmiotów państwowych. Tego typu myślenie jest błędne i współcześnie należy uznać za nieprawdziwe.
Mike McLellan, specjalista ds. bezpieczeństwa w Secureworks, zauważył, że: „Wiedza o tym, kto atakuje może pomóc w zrozumieniu motywacji (…) czy napastnik atakuje ze względów finansowych; czy ze względu na informacje; a może ze względu na moją pozycję”. Dla wyjaśnienia problematyki odwołał się do przykładu ataku wymierzonego w sektor kryptowalut. „Jeśli wiesz, że napastnikiem była państwowa grupa, to możesz wnioskować, że ich głównym celem jest prawdopodobnie kradzież informacji, a wydobycie kryptowaluty było tylko działaniem wtórnym” – tłumaczył Mike McLellan.
„Atrybucja jest ważna dla rządu, aby pomóc w lepszym zrozumieniu obrazu zagrożenia, a następnie w podejmowaniu decyzji dotyczących ewentualnej odpowiedzi” – podkreśliła Suzanne Spaulding, była Sekretarz Departamentu Bezpieczeństwa Wewnętrznego USA, obecnie doradca Nozomi Networks. Wiedza na temat źródła ataku umożliwia wnioskowanie na temat potencjalnych celów napastnika, a tym samym pozwala na odkrycie luk i słabości własnych systemów.
Największą pułapką jest ignorowanie działań cyberprzestępczych. Jak wskazuje Bas Alberts, wiceprezes ds. cyberbezpieczeństwa w Cyxtera, podejście bazujące na myśleniu „nie jestem ich celem” samo w sobie stanowi ogromne zagrożenie. Stając się obiektem ataku, nie można mieć wpływu na logikę podejmowania decyzji przez atakującego.
Haertle: Każdego da się zhakować
Materiał sponsorowany