raja kansallisvaltioiden ja kyberrikollisuuden välillä hämärtyy, mikä on huono uutinen cisos-bannerille

Kansavaltioiden ja tietoverkkorikollisuuden välinen raja hämärtyy: se on huono uutinen CISO:lle

Kaikki ovat nykyään enemmän huolissaan geopoliittisesta riskistä. Tämä johtuu suurelta osin Washingtonin vallitsevasta kaaoksesta, vaikka maailmanlaajuiset jännitteet ovat kasvaneet jo jonkin aikaa. Viimeisin Maailman talousfoorumi (WEF) Globaalit riskit -raporttiesimerkiksi väittää, että riski "todennäköisimmin aiheuttaa merkittävän kriisin maailmanlaajuisessa mittakaavassa vuonna 2025" on "valtiopohjainen aseellinen konflikti". Se liittyy "kyberturvallisuuden" ja "desinformaation ja disinformaation" joukkoon kymmenen suurimman lyhyen aikavälin riskin listalla.

Cyber ​​tulee olemaan keskeinen alue suurvaltakilpailulle, joka määrittää tulevina vuosikymmeninä. Silti niihin liittyviä riskejä CISO:lle ja niiden organisaatioille on yhä vaikeampi määritellä. Tämä johtuu siitä, että kerran selkeä raja kansallisvaltion ja tietoverkkorikollisuuden välillä alkaa hämärtyä. Turvallisuusjohtajien on turvattava alan parhaisiin käytäntöihin navigoidakseen näillä kartoittamattomilla vesillä turvallisesti.

Säännöt muuttuvat

Sekä Microsoft että Google Mandiant ovat äskettäin dokumentoineet kansallisvaltioiden kampanjoiden ja tietoverkkorikollisuuden kasvavan risteyksen. Monella tapaa tämä ei ole uusi ilmiö. Viimeaikaiset tapahtumat kuitenkin pahentavat ongelmaa. The Googlen raportin huomautukset että "Venäjän Ukrainan sodan jälkeinen kohonnut kyberaktiviteetti on osoittanut, että kohonneen tarpeen aikana kyberrikollisten piilevä lahjakkuuspankki voidaan maksaa tai pakottaa tukemaan valtion tavoitteita".

Asiassa on useita näkökohtia:

1. Kansallisvaltiot käyttävät valmiita kyberrikollisuuden työkaluja ja palveluita

Tästä on useita etuja hallituksille. Valmiiksi rakennettujen kyberrikollisuuden työkalujen käyttö on halvempaa kuin räätälöityjen vaihtoehtojen kehittäminen talon sisällä. Se auttaa hämärtämään hyökkäysten todellisen alkuperän tai tarkoituksen. Ja sellaiset työkalut "voidaan ottaa käyttöön lyhyellä varoitusajalla ilman välittömiä linkkejä aiempaan toimintaan", Googlen mukaan.

Valtion tukemat ryhmät voivat ostaa tai vuokrata haittaohjelmia ja hyväksikäyttöjä, valtuustietoja, botnet-infrastruktuuria, varastettuja tietoja, alkupääsyjä tai muita tarjouksia, jotka löytyvät helposti tietoverkkorikollisuudesta maan alla. Esimerkiksi:

  • Microsoft väitti joulukuuta 2024, että venäläinen Turla (Secret Blizzard) -ryhmä käytti Amadey bot -haittaohjelmia, jotka liittyvät kyberrikollisuuteen, kohdistaakseen Ukrainan sotilasyksiköitä
  • Toukokuussa 2024 Google tunnisti iranilaisen UNC5203-ryhmän, joka käytti RADTHIEF-takaovea Israelin ydintutkimusteollisuudelle suunnatussa operaatiossa.

Kiinalainen ryhmä UNC2286 käytti STEAMTRAIN-lunnasohjelmaa ja DarkSide-ryhmään liittyvää lunnaita piilottaakseen kybervakoilukampanjan, Google sanoo.

2. Kyberrikollisryhmien yhteiskäyttö

Kansallisvaltiot ottavat myös yhteyttä kyberrikollisiin henkilökohtaisesti saadakseen heidän apuaan. Tämä voi jälleen kerran vähentää kustannuksia, vapauttaa sisäistä henkilöstöä työskentelemään strategisempien tavoitteiden parissa ja lisätä uskottavuutta. Voimme nähdä tämän seuraavasti:

  • Venäläinen FSB-ryhmä Aqua Blizzard joka Microsoftin mukaan "annoi" pääsyn 34 vaarantuneeseen ukrainalaiseen laitteeseen verkkorikollisryhmälle Storm-0593 hyväksikäytön jälkeistä työtä varten.
  • Cigar (RomCom) kyberrikollisjengi, joka on harjoittanut "vakoiluoperaatioita" Ukrainan hallitusta vastaan ​​vuodesta 2022 lähtien, Google sanoo
  • Kiinalainen yksityisen sektorin kyberturvallisuusyritys i-Soon, jonka Yhdysvallat äskettäin seuraamuksia, ja ilmeisesti johti hakkerointia Pekingissä vuosina 2016–23, veloittaen 10,000 75,000–XNUMX XNUMX dollaria jokaisesta vaarantuneesta sähköpostilaatikosta, ja ansaitsi myös rahaa hallituksen lainvalvojien kouluttamisesta.

3. Valtion hakkereiden salliminen kuunvalossa

  • On yhä enemmän esimerkkejä, joissa näennäisesti valtion tukemien ryhmien annetaan tehdä rahaa sivussa. Googlen mukaan "tämä voi antaa hallitukselle mahdollisuuden kompensoida suoria kustannuksia, joita vaadittaisiin vahvan kyvyn omaavien ryhmien ylläpitämiseksi". Esimerkkejä:
  • Googlen mukaan tuottelias kiinalainen uhkaryhmä APT41, jolla on "pitkä historia" taloudellisesti motivoidusta toiminnasta. Tämä sisältää lunnasohjelmia, jotka on kohdistettu videopelialalle ja jopa COVID-apurahastojen varastaminen.
  • Iran-ryhmä UNC757, joka löydettiin viime vuonna, tekee yhteistyötä NoEscapen, RansomHousen ja ALPHV:n ransomware-tytäryhtiöiden kanssa.

4. Kansavaltiot käyttäytyvät kuin tietoverkkorikollisryhmät

  • Tämä koskee lähes yksinomaan Pohjois-Koreaa, joka kohdistaa rahoitus- ja kryptoyhtiöiltä varoja ydin- ja ohjusohjelmiensa tukemiseen. Viimeksi:
  • Pohjois-Korean valtion hakkerit syytettiin kaikkien aikojen suurimmasta kyberryöstöstä, kun Bybitiltä varastettiin 1.5 miljardia dollaria kryptoa.
  • Kasvava trendi Pohjois-Korean IT-työntekijät länsimaisten yritysten huijaaminen työllistämään niitä on ilmaantunut. Kun he ovat paikalla ja työskentelevät etänä, he lähettävät palkkansa takaisin Pjongjangille. Huijarit voivat myös käyttää etuoikeutettua pääsyä varastaakseen arkaluonteisia tietoja ja/tai kiristääkseen entisiä työnantajiaan, kun heidän roolinsa on irtisanottu. Se on uhka, joka kasvaa, kun tekoäly helpottaa vakuuttavien väärennettyjen henkilöiden luomista.

Mitä CISO:t voivat tehdä

Nämä suuntaukset tuovat CISO:lle useita haasteita.

"Se vaikeuttaa hyökkääjien käyttäytymisen ennustamista ja lisää sivuvaurioiden riskiä", Bugcrowdin perustaja Casey Ellis varoittaa ISMS.onlinea. "Esimerkiksi lunnasohjelmahyökkäys saattaa aluksi vaikuttaa taloudellisesti motivoituneelta, mutta se voi myöhemmin paljastaa geopoliittisen tarkoituksen. CISO:n on nyt otettava huomioon laajempi joukko vastustajia, joilla kullakin on eri tasoisia, resursseja ja tavoitteita. Tämän lisäksi kyberrikollisryhmillä ja valtion rikostiimilla on hyvin erilaisia ​​tekijöitä, jotka lisäävät tai vaikuttavat siihen, mitä he tekevät."

Ilman selkeää tekijää CISO:t voivat myös olla tukossa vastauksessaan, hän lisää,

"Vahva kyberturvallisuushygienia – kuten omaisuuden tunnistaminen, haavoittuvuuksien hallinta ja häiriötilanteiden reagointisuunnittelu – on edelleen perustavanlaatuinen. Kuitenkin sen ymmärtäminen, kuka hyökkää kimppuun, voi parantaa puolustusta", Ellis väittää.

"Esimerkiksi valtion tukema uhka voi kohdistua immateriaalioikeuksiin, kun taas kyberrikollisryhmä voi keskittyä taloudelliseen hyötyyn. Attribuutio antaa myös tietoa yhteistyöstä lainvalvontaviranomaisten ja tiedusteluviranomaisten kanssa, mikä auttaa ratkaisemaan systeemisiä ongelmia, kuten turvasatamaa hyökkääjille."

Jos he ymmärtävät, kuka hyökkää heidän kimppuunsa ja miksi, CISO:t voivat alkaa kehittää tehokasta vastausta, Fenix24 CISO Heath Renfrow kertoo ISMS.onlinelle.

"Jos kyse on kyberrikollisista, painopisteen tulee olla nopeassa hillitsemisessä, hävittämisessä ja suojelun koventamisessa toistuvien hyökkäysten estämiseksi. Mutta kansallisvaltioiden toimijoiden tapauksessa torjuntatoimet voivat vaatia laajennettua valvontaa, vastatiedustelutaktiikkaa ja koordinointia valtion virastojen kanssa", hän selittää. "Hybridiuhat vaativat monikerroksista puolustusta, jossa yhdistyvät Zero Trust, reaaliaikainen uhkien tiedustelu ja tapahtuman jälkeiset sietokykystrategiat."

Samaan aikaan tekoäly ja automaatio tulevat yhä tärkeämmiksi CISO:lle uhkien kehittyessä, väittää Deepwatch CISO, Chad Cragle.

"Tekoälylähtöinen uhkien havaitseminen ja automaattinen reagointi auttavat tietoturvatiimejä skaalatautumaan vastustajia vastaan, jotka toimivat nopeudella ja määrällä. Viime kädessä turvallisuusstrategioiden on oltava uhkiagnostisia ja mukautuvia", hän kertoo ISMS.online-sivustolle.

"Kun rajat kyberrikollisuuden ja kansallisvaltion toiminnan välillä hämärtyvät, jäykät, hillityt turvallisuusohjelmat eivät pysty pysymään perässä. Organisaatiot, jotka asettavat etusijalle joustavuuden, sopeutumiskyvyn ja tiedusteluvetoisen puolustuksen, ovat parhaimmassa asemassa vähentämään riskejä riippumatta siitä, kuka on hyökkäyksen takana."

ISO 27001:n kaltaisia ​​standardeja noudattavien tietoturvajohtajien on helpompi omaksua nämä parhaat käytännöt. Ja he olisivat oikeassa tehdä niin. An ilmeinen lievennys Yhdysvaltojen ja Venäjän välinen suhde ei todennäköisesti muuta pitkän aikavälin uhkakuvaa. Parempi suunnitelma nyt monimutkaisempaa, läpinäkymättömämpää ja vaarallisempaa tulevaisuutta varten.

kirjailija

Phil Muncaster

Phil Muncaster on ollut IT-toimittaja 20 vuotta. Hän aloitti IT-viikon toimittajana vuonna 2005 ja eteni uutistoimittajaksi ennen kuin hän lähti jatkamaan freelance-uraa. Siitä lähtien Phil on kirjoittanut nimikkeisiin, mukaan lukien The Register, jossa hän työskenteli Aasian kirjeenvaihtajana työskennellessään Hongkongissa yli kaksi vuotta, MIT Technology Review, SC Magazine, Infosecurity Magazine ja muut.

Näytä kaikki Phil Muncasterin viestit

Aiheeseen liittyvät julkaisut

SOC 2 on täällä! Vahvista turvallisuuttasi ja rakenna asiakkaiden luottamusta tehokkaalla vaatimustenmukaisuusratkaisullamme jo tänään!