Когда Тимо Стеффенс получил свою первую работу в области анализа угроз более десяти лет назад в Федеральном управлении информационной безопасности Германии (BSI), он имел лишь поверхностные знания о продвинутых постоянных группах угроз и других хакерских концепциях, в которых он теперь является экспертом.
Его опыт был в области искусственного интеллекта, и агентство, которое отвечает за кибербезопасность правительства Германии, работало над системой раннего предупреждения для обнаружения компьютерных червей. Перед интервью он прочитал две книги по кибербезопасности, которые пробудили страсть к выслеживанию противников. С тех пор он написал свою собственную книгу о том, как выявлять продвинутых постоянных угроз, стоящих за пресловутыми кампаниями кибершпионажа.
The Record недавно встретился со Стеффенсом, чтобы поговорить о последних достижениях в области охоты за угрозами и о том, почему он считает, что это похоже на такие дисциплины, как история искусства и криминология. Он также обсудил, почему вся концепция APT-групп - термин, который профессионалы по безопасности часто используют для классификации национальных государств или поддерживаемых государством хакерских операций - является упрощением, от которого отрасли, возможно, придется отказаться. Приведенная ниже беседа была слегка отредактирована для большей ясности.
Тимо Стеффенс.
В чем преимущество атрибуции? Что можно получить, зная, кто напал на вас?
Тимо Стеффенс: Когда вы смотрите на выгоду, все зависит от вас. Когда вы разговариваете с службами безопасности, они имеют другие преимущества, чем политики и правительственные учреждения.
Я думаю, что это также общий психологический феномен, когда люди просто хотят знать, кто что-то сделал. Я проработал довольно много лет обработчиком инцидентов, и когда я приходил на сайты и разговаривал с жертвами, одним из первых вопросов всегда было, кто это и почему они это делают - технические средства и то, как они попали в сеть. часто вторичный. И в этой роли было полезно знать, кто могут быть действующими лицами, и делать выводы о мотивации и о том, что им нужно в сети… В реальном мире у вас ограниченный набор людей и денег, и вам нужно расставить приоритеты. Если вы знаете, что стратегически преследуют некоторые страны, и ваша компания создает совместное предприятие в каком-то регионе, атрибуция, безусловно, влияет на ваши решения о том, как расставить приоритеты для ваших мер безопасности.
Последнее, что касается дипломатии и правительств. Атрибуция - обязательное условие и необходимое для любой дипломатии.
Вы можете подробнее рассказать о том, как атрибуция повлияет на решения? Если бы вы узнали, что атака была осуществлена такой группой, как APT29, чем она будет отличаться от другой группы?
ТС: Когда вы занимаетесь обработкой инцидентов и разговариваете с людьми и компаниями, менеджеры очень нервничают, что их производственные сети и сети [операционных технологий] каким-то образом находятся в опасности. Если вы можете сказать, что [индикаторы компрометации], которые у нас есть, похожи на определенную группу APT, и эта группа занимается шпионажем, и страна, к которой они принадлежат, действительно никогда не проявляла интереса к саботажу, вы действительно можете их успокоить. Шпионаж - это плохо, они могут украсть вашу интеллектуальную собственность, но они, вероятно, не уничтожат ваши сети ОТ… по крайней мере, специально!
Как бы вы сравнили атрибуцию, проводимую частным сектором и государственными учреждениями?
ТС: Думаю, они дополняют друг друга в методах и, прежде всего, в источниках. Я часто говорю, что при атрибуции есть три основные проблемы: первая - это данные, вторая - данные, а третья - данные. Источники действительно являются наиболее важными, и разница в том, что правоохранительные и государственные органы могут видеть некоторые серверы и запрашивать данные из социальных сетей и тому подобное. С другой стороны, у частного сектора есть сокровище телеметрии - конечно же, сигналы и обратная связь от их продуктов безопасности. Таким образом, они дополняют друг друга, но любое формальное сотрудничество между ними затруднено, потому что у всех есть ограничения на то, какими данными они могут делиться. У частного сектора есть свои условия и положения, и он не может делиться данными о клиентах с остальными. У правительства свои правила. Но даже если нет официального сотрудничества,
Другое отличие состоит в том, что частный сектор действительно хорошо обнаруживает новые атаки и грубо группирует группы и вредоносное ПО. Они часто информируют агентства, которые изучают определенные вещи.
Аналитики и охранные компании занимаются так называемой непрерывной атрибуцией ... их основная задача - не атрибуция, а защита клиентов, написание подписей, улучшение своих продуктов безопасности. Но время от времени они натыкаются на что-то, что может быть полезно для атрибуции. Подход правоохранительных органов отличается - у них действительно есть четкая цель установить атрибуцию. Это то, за что им платят, это то, что они должны делать каждый день. Обычно они рассматривают конкретные инциденты, когда у вас есть конкретное дело, определенная жертва, и они не могут остановиться, если у них есть конкретная страна - обвинительные заключения могут быть вынесены только против отдельных лиц. Таким образом, у них другие цели и процессы из частного сектора.
Как вы думаете, нужно ли что-то изменить в том, как взаимодействуют государственный и частный секторы?
ТС: Я думаю, что в лучшем из миров есть много возможностей для сотрудничества. Но основные ограничения - это обмен данными. Так что, в конце концов, все работает нормально, между государственным и частным секторами нет жестких границ… может быть, вы не всегда обмениваетесь данными об атрибуции, но вы делитесь вещами, связанными с вредоносным ПО, инфраструктурой и тому подобным. В последних обвинительных заключениях агентства США, казалось, нашли способ работать вместе с некоторыми действительно хорошими аналитиками из компаний, но я не знаю точно, как выглядят эти договоренности, и я думаю, что это будет происходить в каждом конкретном случае в будущем. сотрудничество.
Когда дело доходит до атрибуции и именования, у вас есть FireEye, дающий группам номера, CrowdStrike делает животных, Microsoft делает элементы ... Как вы думаете, мы когда-нибудь дойдем до точки, когда у нас будет единая система, в которой мы все знаем, что каждый про другое говорит?
ТС: На мой взгляд, кластеризация и определение групп APT - это то место, где происходит волшебство и где идут дебаты. Если вы посмотрите на атрибуцию, всегда ведутся споры о том, какие инциденты принадлежат той или иной группе. Так что это не просто наименование, это на самом деле основные определения.
Я думаю, что моя основная мысль заключается в том, что вся концепция APT-групп - это просто упрощение. Она работает как модель, так же как ядерная модель работает в физике, но все знают, что в действительности все намного сложнее. Когда мы говорим о группах, это не похоже на фиксированный набор людей, работающих вместе в офисе в течение многих лет. Реальность намного сложнее. И для некоторых из этих схем, даже если бы у вас были полные знания, я не думаю, что было бы концептуально ясно, какое было бы лучшее или правильное определение групп. У вас есть люди, которые разрабатывают вредоносное ПО, а затем предоставляют его операторам, и для следующей работы могут взять часть этого и передать кому-то другому. Тогда возникает вопрос: это одна и та же группа? Со временем группы меняются - люди стареют, у них есть семьи, они находят другую работу или получают повышение. Очень сложно втиснуть эту очень сложную реальность в группы APT, поэтому нам придется жить с этой проблемой, когда каждая охранная компания думает, что их понимание этой группы правильное, а все остальные ошибаются. Это, безусловно, продлится долгое время, если мы не выясним лучшую модель или теоретическую концепцию того, как описывать эти APT-ландшафты.
Как вы думаете, насколько точна большая часть атрибуции?
ТС: Я думаю, что в целом индустрия в настоящее время чувствует себя хорошо. У них действительно есть определенный набор методов, и большинство людей имеют общее представление о том, насколько сильна атрибуция при наличии доказательств. Если вы посмотрите на обвинительные заключения, выпущенные агентствами США, на мой взгляд, я им доверяю и не подозреваю о каких-либо больших неожиданностях. Все, что говорилось в обвинительном заключении, соответствовало тому, что отрасль опубликовала заранее.
Большинство компаний соглашаются, по крайней мере, в атрибуции стран, но все по-другому, если вы посмотрите на атрибуцию организациям или отдельным лицам. Обвинительные заключения всегда содержат что-то новое, потому что частному сектору действительно сложно приписать отдельных лиц или организации, и, возможно, это даже не их мотивация для этого. Итак, я думаю, что современное состояние таково, что мы хороши в атрибуции на уровне страны, но это действительно сложно на уровне организации или даже на индивидуальном уровне.
Как вы думаете, APT-группы лучше заметают следы?
ТС: Произошло несколько событий, которые усложняют атрибуцию. Группы передают свои инструменты и методы на аутсорсинг, поэтому может быть очень сложно определить, является ли атака APT10 или новой группой. Это определенно проблема. И создание групп становится более сложным, или, может быть, мы только сейчас понимаем сложность объединения всех этих возможностей в одну группу.
С одной стороны, по мере того, как состояние атрибуции прогрессирует, мы получаем очень много знаний о группах и странах, а также о том, чего они добиваются - своих целей и того, как они управляют своими APT-группами. Это помогает, поскольку вам не нужно начинать с нуля каждый раз, когда вы хотите сделать атрибуцию. Но с другой стороны, иногда это уже существующее знание является проблемой, потому что мы занимаемся этой атрибуцией в течение десяти или более лет, и группа, атаковавшая десять лет назад, вероятно, не состоит из тех же людей, организации, подрядчиков или возможно, даже не то же самое агентство, которое им управляет сегодня. Нам нужно найти некоторые правила или методы, когда лучше просто отказаться от определений APT и не пытаться сопоставить инциденты с группами, которые вы видели десять лет назад.
Вы много писали о ложных флагах. Какие из них наиболее распространены и как их идентифицировать?
ТС: Фальшивые флаги - действительно захватывающая концепция, и не только потому, что актеры так хорошо их применяют. Проблема в существовании самой концепции. Все, что вы найдете, может быть ложным флагом. Если вы посмотрите на настоящие фальшивые флаги, которые мы наблюдали, большинство из них очень похожи. Одна вещь, которую сегодня большинство людей даже не назовет ложным флагом, - это в основном регистрационные данные домена - они всегда фальшивые. На самом деле никто не считает это ложным флагом, но в целом это так. Другой распространенный фальшивый флаг - это что-то написанное на иностранном языке, но часто это делается так плохо, потому что люди, которые устанавливают эти фальшивые флаги, не говорят на этом языке. Вы обнаруживаете грамматические ошибки и плохие переводы Google, так что временами это действительно забавно.
Но могут быть и очень сложные ложные флаги. Был известный и умный случай с вредоносным ПО Olympic Destroyer, когда аналитик Kaspersky обнаружил, что они скопировали расширенный заголовок, чтобы он выглядел как известная, вероятно, северокорейская группа. Это было действительно сложно, но если вы воспользуетесь некоторыми методами, можно сделать вывод, что это может быть ложный флаг. Вредоносные программы - не единственный аспект, на который вам нужно обратить внимание - вам нужно изучить инфраструктуру, регистрацию доменов, телеметрию и все, что вы можете найти на управляющих серверах. Мне не известны группы угроз, которые действительно постоянно ставят ложные флажки во всех этих аспектах своих кампаний - они могут сосредоточиться на одном или двух, часто на самом вредоносном ПО, потому что отрасль часто уделяет этому внимание.
Сейчас атрибуция - это что-то вроде искусства. Вы можете говорить о превращении этого в науку?
ТС: Моя цель - сделать атрибуцию общепринятой дисциплиной, как криминология. Нет никакой гарантии, что вы сможете найти убийцу или преступника, но есть определенный набор методов, процессов и стандартов для того, как представить свои результаты и установить уверенность в гипотезах. Я думаю, было бы действительно полезно, если бы мы смогли достичь этого уровня атрибуции. Конечно, это немного сдерживается тем фактом, что мы говорим в основном о шпионаже, и поэтому не все данные могут быть прозрачными и общедоступными. Сделать атрибуцию дисциплиной сложно, но я действительно думаю, что мы должны стремиться к этому. Один из шагов - систематизировать методы и процессы в документе, например в книге. Если вы задокументировали эти вещи, их не нужно начинать с нуля, они могут начинаться с этого.
Вы также упомянули, что относитесь к атрибуции как к истории искусства. Вы можете рассказать об этом подробнее?
ТС: Я думаю, это действительно странно, что когда вы работаете в нашей области, вам всегда приходится оставаться в режиме разведки угроз. Мне очень нравится ходить в художественные музеи, и когда я там, я не могу не думать, как аналитик разведки угроз. На одной выставке я понял, что история искусства имеет ту же проблему, что и атрибуция. У вас есть артефакты, и вам нужно выяснить, кто за ними стоит. Они пытаются найти художника или художника, а мы пытаемся найти разработчика.
В истории искусства есть задокументированные случаи, когда они пытаются выяснить, была ли картина написана определенным художником или нет, и они могут сказать, что часть картины выполнена не так хорошо, как обычно сделал бы художник. Итак, они застряли. Только когда они понимают, что художник не писал все картины сам - у них была мастерская, где они могли сделать набросок, а помощник нарисовал фон, - тогда они смогли приписать это определенному художнику. Это та же проблема, что и с APT-группами. У них не обязательно есть фиксированный набор людей - кто-то уходит, кто-то присоединяется, они могут поделиться вредоносным ПО или идеей эксплойта с другой группой - поэтому мы должны отказаться от нашей идеи, что все является фиксированным набором APT-групп, и понять что весь пейзаж более динамичный, как мастерская.
Какую группу, по вашему мнению, легко отследить, и как она соотносится с группой, которая доставляет вам головную боль?
ТС: Все шутят о Гамаредоне. Каждый может легко их отследить, но, тем не менее, они очень активны и достигают своих целей. Так что, в конце концов, не важно, можно ли вас обнаружить и приписать, а важно, справитесь ли вы со своей работой. Они сильно отличаются от таких групп, как APT29 - они переоснащаются, попадают в поле зрения, и может быть трудно вернуться к их отслеживанию. Как только вы их найдете, вы можете распутать это, и тогда все будет в порядке.
Как вы порекомендуете молодому аналитику изучить ремесло вокруг атрибуции?
ТС: Я фанат книг. У меня был опыт работы с искусственным интеллектом, и когда я проходил собеседование с моим первым работодателем, я не знал многих концепций кибербезопасности. Я купил две книги и просмотрел их. Поэтому я думаю, что первое - это получить хорошие рекомендации для общих обзорных книг, а затем придерживаться того, что вам больше всего интересно, и практиковать это. Постарайтесь получить отзывы о своем анализе. Вы потерпите неудачу, вы получите множество людей, говорящих вам, что вы могли бы добиться большего успеха, но отзывы очень ценны, и есть много хороших людей, и большинство из них готовы помогать, обучать и учить.
Как бы вы порекомендовали поделиться методами отслеживания групп, чтобы не давать злоумышленникам знать сейчас, когда личные конференции не подходят?
ТС: Я думаю, что в сообществе уже установлено, что у нас есть несколько близких групп и доверенных корпораций, и вы должны попытаться поделиться своими мыслями сначала с этими группами, которые затем могут помочь общественности и более широкому сообществу. Не взрывайте все в Твиттере. И также не говорите об атрибуции, если у вас нет информации и данных из первых рук.
Как вы попали в этот вид работы?
ТС: Мой опыт работы в области искусственного интеллекта, и я также посещал много уроков по психологии, потому что меня действительно интересовало, как работает человеческий разум, как работает решение человеческих проблем, и можно ли смоделировать это с помощью компьютеров. Когда я был студентом, искусственный интеллект был больше связан с пониманием человеческого мозга и созданием чего-то вроде данных - андроида из «Звездного пути». Сегодня это больше похоже на обработку данных ...
Моя докторская диссертация была посвящена изучению поведения соперников в роботизированном футболе. Я разработал несколько алгоритмов и подходов для предсказания ходов вашего оппонента. Затем меня наняли для работы над системами раннего предупреждения - для прогнозирования поведения компьютерных червей. Тогда, 10-12 лет назад, компьютерные черви были действительно большой проблемой. Да, у нас был WannaCry несколько лет назад, но до этого компьютерные черви действительно были мертвы. Я думаю, что это урок о том, как ландшафт угроз меняется циклически, и мне любопытно, о чем мы будем говорить через пять лет.
Что побудило вас сместить акцент на атрибуцию?
ТС: Хороший вопрос. Думаю, это было побочным продуктом того, что когда я работал обработчиком инцидентов, люди постоянно спрашивали меня, кто стоит за атакой. Это также соответствует моим интересам в прошлом. Когда я сказал, что меня интересует человеческий разум, меня интересует, как думает и работает противник, поэтому я просто пытаюсь подобраться как можно ближе к людям, стоящим за атаками.
Его опыт был в области искусственного интеллекта, и агентство, которое отвечает за кибербезопасность правительства Германии, работало над системой раннего предупреждения для обнаружения компьютерных червей. Перед интервью он прочитал две книги по кибербезопасности, которые пробудили страсть к выслеживанию противников. С тех пор он написал свою собственную книгу о том, как выявлять продвинутых постоянных угроз, стоящих за пресловутыми кампаниями кибершпионажа.
The Record недавно встретился со Стеффенсом, чтобы поговорить о последних достижениях в области охоты за угрозами и о том, почему он считает, что это похоже на такие дисциплины, как история искусства и криминология. Он также обсудил, почему вся концепция APT-групп - термин, который профессионалы по безопасности часто используют для классификации национальных государств или поддерживаемых государством хакерских операций - является упрощением, от которого отрасли, возможно, придется отказаться. Приведенная ниже беседа была слегка отредактирована для большей ясности.
Тимо Стеффенс.
В чем преимущество атрибуции? Что можно получить, зная, кто напал на вас?
Тимо Стеффенс: Когда вы смотрите на выгоду, все зависит от вас. Когда вы разговариваете с службами безопасности, они имеют другие преимущества, чем политики и правительственные учреждения.
Я думаю, что это также общий психологический феномен, когда люди просто хотят знать, кто что-то сделал. Я проработал довольно много лет обработчиком инцидентов, и когда я приходил на сайты и разговаривал с жертвами, одним из первых вопросов всегда было, кто это и почему они это делают - технические средства и то, как они попали в сеть. часто вторичный. И в этой роли было полезно знать, кто могут быть действующими лицами, и делать выводы о мотивации и о том, что им нужно в сети… В реальном мире у вас ограниченный набор людей и денег, и вам нужно расставить приоритеты. Если вы знаете, что стратегически преследуют некоторые страны, и ваша компания создает совместное предприятие в каком-то регионе, атрибуция, безусловно, влияет на ваши решения о том, как расставить приоритеты для ваших мер безопасности.
Последнее, что касается дипломатии и правительств. Атрибуция - обязательное условие и необходимое для любой дипломатии.
Вы можете подробнее рассказать о том, как атрибуция повлияет на решения? Если бы вы узнали, что атака была осуществлена такой группой, как APT29, чем она будет отличаться от другой группы?
ТС: Когда вы занимаетесь обработкой инцидентов и разговариваете с людьми и компаниями, менеджеры очень нервничают, что их производственные сети и сети [операционных технологий] каким-то образом находятся в опасности. Если вы можете сказать, что [индикаторы компрометации], которые у нас есть, похожи на определенную группу APT, и эта группа занимается шпионажем, и страна, к которой они принадлежат, действительно никогда не проявляла интереса к саботажу, вы действительно можете их успокоить. Шпионаж - это плохо, они могут украсть вашу интеллектуальную собственность, но они, вероятно, не уничтожат ваши сети ОТ… по крайней мере, специально!
Как бы вы сравнили атрибуцию, проводимую частным сектором и государственными учреждениями?
ТС: Думаю, они дополняют друг друга в методах и, прежде всего, в источниках. Я часто говорю, что при атрибуции есть три основные проблемы: первая - это данные, вторая - данные, а третья - данные. Источники действительно являются наиболее важными, и разница в том, что правоохранительные и государственные органы могут видеть некоторые серверы и запрашивать данные из социальных сетей и тому подобное. С другой стороны, у частного сектора есть сокровище телеметрии - конечно же, сигналы и обратная связь от их продуктов безопасности. Таким образом, они дополняют друг друга, но любое формальное сотрудничество между ними затруднено, потому что у всех есть ограничения на то, какими данными они могут делиться. У частного сектора есть свои условия и положения, и он не может делиться данными о клиентах с остальными. У правительства свои правила. Но даже если нет официального сотрудничества,
Другое отличие состоит в том, что частный сектор действительно хорошо обнаруживает новые атаки и грубо группирует группы и вредоносное ПО. Они часто информируют агентства, которые изучают определенные вещи.
Аналитики и охранные компании занимаются так называемой непрерывной атрибуцией ... их основная задача - не атрибуция, а защита клиентов, написание подписей, улучшение своих продуктов безопасности. Но время от времени они натыкаются на что-то, что может быть полезно для атрибуции. Подход правоохранительных органов отличается - у них действительно есть четкая цель установить атрибуцию. Это то, за что им платят, это то, что они должны делать каждый день. Обычно они рассматривают конкретные инциденты, когда у вас есть конкретное дело, определенная жертва, и они не могут остановиться, если у них есть конкретная страна - обвинительные заключения могут быть вынесены только против отдельных лиц. Таким образом, у них другие цели и процессы из частного сектора.
Как вы думаете, нужно ли что-то изменить в том, как взаимодействуют государственный и частный секторы?
ТС: Я думаю, что в лучшем из миров есть много возможностей для сотрудничества. Но основные ограничения - это обмен данными. Так что, в конце концов, все работает нормально, между государственным и частным секторами нет жестких границ… может быть, вы не всегда обмениваетесь данными об атрибуции, но вы делитесь вещами, связанными с вредоносным ПО, инфраструктурой и тому подобным. В последних обвинительных заключениях агентства США, казалось, нашли способ работать вместе с некоторыми действительно хорошими аналитиками из компаний, но я не знаю точно, как выглядят эти договоренности, и я думаю, что это будет происходить в каждом конкретном случае в будущем. сотрудничество.
Когда дело доходит до атрибуции и именования, у вас есть FireEye, дающий группам номера, CrowdStrike делает животных, Microsoft делает элементы ... Как вы думаете, мы когда-нибудь дойдем до точки, когда у нас будет единая система, в которой мы все знаем, что каждый про другое говорит?
ТС: На мой взгляд, кластеризация и определение групп APT - это то место, где происходит волшебство и где идут дебаты. Если вы посмотрите на атрибуцию, всегда ведутся споры о том, какие инциденты принадлежат той или иной группе. Так что это не просто наименование, это на самом деле основные определения.
Я думаю, что моя основная мысль заключается в том, что вся концепция APT-групп - это просто упрощение. Она работает как модель, так же как ядерная модель работает в физике, но все знают, что в действительности все намного сложнее. Когда мы говорим о группах, это не похоже на фиксированный набор людей, работающих вместе в офисе в течение многих лет. Реальность намного сложнее. И для некоторых из этих схем, даже если бы у вас были полные знания, я не думаю, что было бы концептуально ясно, какое было бы лучшее или правильное определение групп. У вас есть люди, которые разрабатывают вредоносное ПО, а затем предоставляют его операторам, и для следующей работы могут взять часть этого и передать кому-то другому. Тогда возникает вопрос: это одна и та же группа? Со временем группы меняются - люди стареют, у них есть семьи, они находят другую работу или получают повышение. Очень сложно втиснуть эту очень сложную реальность в группы APT, поэтому нам придется жить с этой проблемой, когда каждая охранная компания думает, что их понимание этой группы правильное, а все остальные ошибаются. Это, безусловно, продлится долгое время, если мы не выясним лучшую модель или теоретическую концепцию того, как описывать эти APT-ландшафты.
Как вы думаете, насколько точна большая часть атрибуции?
ТС: Я думаю, что в целом индустрия в настоящее время чувствует себя хорошо. У них действительно есть определенный набор методов, и большинство людей имеют общее представление о том, насколько сильна атрибуция при наличии доказательств. Если вы посмотрите на обвинительные заключения, выпущенные агентствами США, на мой взгляд, я им доверяю и не подозреваю о каких-либо больших неожиданностях. Все, что говорилось в обвинительном заключении, соответствовало тому, что отрасль опубликовала заранее.
Большинство компаний соглашаются, по крайней мере, в атрибуции стран, но все по-другому, если вы посмотрите на атрибуцию организациям или отдельным лицам. Обвинительные заключения всегда содержат что-то новое, потому что частному сектору действительно сложно приписать отдельных лиц или организации, и, возможно, это даже не их мотивация для этого. Итак, я думаю, что современное состояние таково, что мы хороши в атрибуции на уровне страны, но это действительно сложно на уровне организации или даже на индивидуальном уровне.
Как вы думаете, APT-группы лучше заметают следы?
ТС: Произошло несколько событий, которые усложняют атрибуцию. Группы передают свои инструменты и методы на аутсорсинг, поэтому может быть очень сложно определить, является ли атака APT10 или новой группой. Это определенно проблема. И создание групп становится более сложным, или, может быть, мы только сейчас понимаем сложность объединения всех этих возможностей в одну группу.
С одной стороны, по мере того, как состояние атрибуции прогрессирует, мы получаем очень много знаний о группах и странах, а также о том, чего они добиваются - своих целей и того, как они управляют своими APT-группами. Это помогает, поскольку вам не нужно начинать с нуля каждый раз, когда вы хотите сделать атрибуцию. Но с другой стороны, иногда это уже существующее знание является проблемой, потому что мы занимаемся этой атрибуцией в течение десяти или более лет, и группа, атаковавшая десять лет назад, вероятно, не состоит из тех же людей, организации, подрядчиков или возможно, даже не то же самое агентство, которое им управляет сегодня. Нам нужно найти некоторые правила или методы, когда лучше просто отказаться от определений APT и не пытаться сопоставить инциденты с группами, которые вы видели десять лет назад.
Вы много писали о ложных флагах. Какие из них наиболее распространены и как их идентифицировать?
ТС: Фальшивые флаги - действительно захватывающая концепция, и не только потому, что актеры так хорошо их применяют. Проблема в существовании самой концепции. Все, что вы найдете, может быть ложным флагом. Если вы посмотрите на настоящие фальшивые флаги, которые мы наблюдали, большинство из них очень похожи. Одна вещь, которую сегодня большинство людей даже не назовет ложным флагом, - это в основном регистрационные данные домена - они всегда фальшивые. На самом деле никто не считает это ложным флагом, но в целом это так. Другой распространенный фальшивый флаг - это что-то написанное на иностранном языке, но часто это делается так плохо, потому что люди, которые устанавливают эти фальшивые флаги, не говорят на этом языке. Вы обнаруживаете грамматические ошибки и плохие переводы Google, так что временами это действительно забавно.
Но могут быть и очень сложные ложные флаги. Был известный и умный случай с вредоносным ПО Olympic Destroyer, когда аналитик Kaspersky обнаружил, что они скопировали расширенный заголовок, чтобы он выглядел как известная, вероятно, северокорейская группа. Это было действительно сложно, но если вы воспользуетесь некоторыми методами, можно сделать вывод, что это может быть ложный флаг. Вредоносные программы - не единственный аспект, на который вам нужно обратить внимание - вам нужно изучить инфраструктуру, регистрацию доменов, телеметрию и все, что вы можете найти на управляющих серверах. Мне не известны группы угроз, которые действительно постоянно ставят ложные флажки во всех этих аспектах своих кампаний - они могут сосредоточиться на одном или двух, часто на самом вредоносном ПО, потому что отрасль часто уделяет этому внимание.
Сейчас атрибуция - это что-то вроде искусства. Вы можете говорить о превращении этого в науку?
ТС: Моя цель - сделать атрибуцию общепринятой дисциплиной, как криминология. Нет никакой гарантии, что вы сможете найти убийцу или преступника, но есть определенный набор методов, процессов и стандартов для того, как представить свои результаты и установить уверенность в гипотезах. Я думаю, было бы действительно полезно, если бы мы смогли достичь этого уровня атрибуции. Конечно, это немного сдерживается тем фактом, что мы говорим в основном о шпионаже, и поэтому не все данные могут быть прозрачными и общедоступными. Сделать атрибуцию дисциплиной сложно, но я действительно думаю, что мы должны стремиться к этому. Один из шагов - систематизировать методы и процессы в документе, например в книге. Если вы задокументировали эти вещи, их не нужно начинать с нуля, они могут начинаться с этого.
Вы также упомянули, что относитесь к атрибуции как к истории искусства. Вы можете рассказать об этом подробнее?
ТС: Я думаю, это действительно странно, что когда вы работаете в нашей области, вам всегда приходится оставаться в режиме разведки угроз. Мне очень нравится ходить в художественные музеи, и когда я там, я не могу не думать, как аналитик разведки угроз. На одной выставке я понял, что история искусства имеет ту же проблему, что и атрибуция. У вас есть артефакты, и вам нужно выяснить, кто за ними стоит. Они пытаются найти художника или художника, а мы пытаемся найти разработчика.
В истории искусства есть задокументированные случаи, когда они пытаются выяснить, была ли картина написана определенным художником или нет, и они могут сказать, что часть картины выполнена не так хорошо, как обычно сделал бы художник. Итак, они застряли. Только когда они понимают, что художник не писал все картины сам - у них была мастерская, где они могли сделать набросок, а помощник нарисовал фон, - тогда они смогли приписать это определенному художнику. Это та же проблема, что и с APT-группами. У них не обязательно есть фиксированный набор людей - кто-то уходит, кто-то присоединяется, они могут поделиться вредоносным ПО или идеей эксплойта с другой группой - поэтому мы должны отказаться от нашей идеи, что все является фиксированным набором APT-групп, и понять что весь пейзаж более динамичный, как мастерская.
Какую группу, по вашему мнению, легко отследить, и как она соотносится с группой, которая доставляет вам головную боль?
ТС: Все шутят о Гамаредоне. Каждый может легко их отследить, но, тем не менее, они очень активны и достигают своих целей. Так что, в конце концов, не важно, можно ли вас обнаружить и приписать, а важно, справитесь ли вы со своей работой. Они сильно отличаются от таких групп, как APT29 - они переоснащаются, попадают в поле зрения, и может быть трудно вернуться к их отслеживанию. Как только вы их найдете, вы можете распутать это, и тогда все будет в порядке.
Как вы порекомендуете молодому аналитику изучить ремесло вокруг атрибуции?
ТС: Я фанат книг. У меня был опыт работы с искусственным интеллектом, и когда я проходил собеседование с моим первым работодателем, я не знал многих концепций кибербезопасности. Я купил две книги и просмотрел их. Поэтому я думаю, что первое - это получить хорошие рекомендации для общих обзорных книг, а затем придерживаться того, что вам больше всего интересно, и практиковать это. Постарайтесь получить отзывы о своем анализе. Вы потерпите неудачу, вы получите множество людей, говорящих вам, что вы могли бы добиться большего успеха, но отзывы очень ценны, и есть много хороших людей, и большинство из них готовы помогать, обучать и учить.
Как бы вы порекомендовали поделиться методами отслеживания групп, чтобы не давать злоумышленникам знать сейчас, когда личные конференции не подходят?
ТС: Я думаю, что в сообществе уже установлено, что у нас есть несколько близких групп и доверенных корпораций, и вы должны попытаться поделиться своими мыслями сначала с этими группами, которые затем могут помочь общественности и более широкому сообществу. Не взрывайте все в Твиттере. И также не говорите об атрибуции, если у вас нет информации и данных из первых рук.
Как вы попали в этот вид работы?
ТС: Мой опыт работы в области искусственного интеллекта, и я также посещал много уроков по психологии, потому что меня действительно интересовало, как работает человеческий разум, как работает решение человеческих проблем, и можно ли смоделировать это с помощью компьютеров. Когда я был студентом, искусственный интеллект был больше связан с пониманием человеческого мозга и созданием чего-то вроде данных - андроида из «Звездного пути». Сегодня это больше похоже на обработку данных ...
Моя докторская диссертация была посвящена изучению поведения соперников в роботизированном футболе. Я разработал несколько алгоритмов и подходов для предсказания ходов вашего оппонента. Затем меня наняли для работы над системами раннего предупреждения - для прогнозирования поведения компьютерных червей. Тогда, 10-12 лет назад, компьютерные черви были действительно большой проблемой. Да, у нас был WannaCry несколько лет назад, но до этого компьютерные черви действительно были мертвы. Я думаю, что это урок о том, как ландшафт угроз меняется циклически, и мне любопытно, о чем мы будем говорить через пять лет.
Что побудило вас сместить акцент на атрибуцию?
ТС: Хороший вопрос. Думаю, это было побочным продуктом того, что когда я работал обработчиком инцидентов, люди постоянно спрашивали меня, кто стоит за атакой. Это также соответствует моим интересам в прошлом. Когда я сказал, что меня интересует человеческий разум, меня интересует, как думает и работает противник, поэтому я просто пытаюсь подобраться как можно ближе к людям, стоящим за атаками.
