Black Hat 2022‑ La cyberdéfense à l'ère des menaces mondiales

Alors que le premier jour de Black Hat USA 2022 touchait à sa fin, quelqu'un m'a demandé : "Que retenez-vous de la conférence d'aujourd'hui ?" Il y a eu plusieurs présentations intéressantes et, comme prévu, un certain nombre d'entre elles ont détaillé la cyberguerre en Ukraine, y compris la présentation de Robert Lipovsky et Anton Cherepanov d'ESET - Industroyer2 : la cyberguerre de Sandworm cible à nouveau le réseau électrique ukrainien .

Mais, il y a un moment marquant de la journée pour moi, un moment simple où toutes les mentions de l'Ukraine et l'analyse détaillée des cyberincidents que le pays a subis ont été mises en perspective. Juan Andres Guerrero et Thomas Hegel de SentinelOne ont présenté Véritable « cyberguerre » : espionnage, DDoS, fuites et essuie-glaces lors de l'invasion russe de l'Ukraine, une chronologie détaillée des cyberattaques liées au conflit. Comme toutes les présentations relatives à la guerre, cela s'est ouvert à une salle pleine de plus d'un millier de participants; Juan a cliqué sur la première diapositive et a rappelé au public que pendant que nous sommes ici pour parler des cyberattaques liées à la guerre, nous devons nous rappeler qu'il y a une guerre - une vraie guerre - qui se déroule dans les rues et affecte la vie des gens (ou les mots à cet effet).

Le moment a été un rappel brutal que si l'industrie de la cybersécurité est unie pour arrêter les attaques qui se produisent en Ukraine, nous le faisons à distance alors qu'il y a des gens sur le terrain dans une véritable zone de guerre. Le reste de la présentation de Juan et Thomas était une chronologie fascinante des attaques et de la façon dont de nombreuses entreprises et organisations de cybersécurité se sont réunies pour fournir une coopération sans précédent, y compris le partage de la recherche et du renseignement. Une diapositive appelant les principaux contributeurs les répertorie comme suit : CERT-UA, United States Cyber ​​Command, Cybersecurity and Infrastructure Security Agency (CISA), SentinelLabs, Microsoft Threat Intelligence Center, TALOS, Symantec, Mandiant, Inquest Labs, red canary et ESET . La liste montre comment les entreprises qui sont normalement en concurrence dans les affaires sont unies dans cette mission, et même dans des conditions normales - s'il y a une telle chose dans l'industrie de la cybersécurité - travaillent ensemble pour garder l'environnement numérique sur lequel nous comptons sûr et accessible.

La présentation ESET donnée par Robert et Anton a détaillé la récente tentative d'attaquants connus sous le nom de Sandworm, un groupe attribué par les cyberagences de différents pays, y compris la CISA américaineet le NCSC britannique, comme faisant partie du GRU russe, en déclenchant une cyberattaque contre l'infrastructure électrique. Les efforts combinés et la connaissance des attaques précédentes contre les systèmes de contrôle industriels (ICS) utilisés dans les centrales de distribution électrique ont fourni aux cyberdéfenseurs au sein de la société de services publics d'électricité, CERT-UA et soutenus par des experts d'ESET, la capacité de contrecarrer l'attaque potentielle. Cette attaque, connue sous le nom d'Industroyer2, est l'une des nombreuses visant à provoquer des perturbations et des destructions, et démontre que les cyberattaques ont maintenant mûri à un niveau où elles sont un atout, une arme, à la disposition de ceux qui souhaitent faire la guerre.

Pour résumer, ma conclusion du jour est la fierté d'être membre de l'industrie de la cybersécurité, et plus important encore, nous devons reconnaître et remercier les équipes dédiées à la cyberdéfense qui se sont mobilisées pour protéger les systèmes et l'infrastructure d'un agresseur.