Black Hat 2022‑ Cyberdefense in een tijdperk van wereldwijde bedreigingen

Toen de eerste dag van Black Hat USA 2022 ten einde liep, vroeg iemand mij: "Wat is jouw conclusie van de conferentie van vandaag?" Er zijn verschillende interessante presentaties geweest, en zoals verwacht werd in een aantal daarvan gedetailleerd ingegaan op de cyberoorlog in Oekraïne, waaronder de presentatie door Robert Lipovsky en Anton Cherepanov van ESET zelf – Industroyer2: Sandworm's cyberoorlog richt zich opnieuw op het elektriciteitsnet van Oekraïne .

Maar er is voor mij één opvallend moment van de dag, een eenvoudig moment waarop alle vermeldingen van Oekraïne en de gedetailleerde analyse van de cyberincidenten die het land heeft doorstaan ​​in perspectief werden geplaatst. Juan Andres Guerrero en Thomas Hegel van SentinelOne presenteerden Echte ‘cyberoorlog’: spionage, DDoS, lekken en ruitenwissers tijdens de Russische invasie van Oekraïne, een gedetailleerde tijdlijn van de cyberaanvallen die verband houden met het conflict. Zoals alle presentaties met betrekking tot de oorlog, ging deze open voor een volle zaal met meer dan duizend aanwezigen; Juan klikte op de eerste dia en herinnerde het publiek eraan dat, terwijl we hier zijn om te praten over cyberaanvallen die verband houden met de oorlog, we niet mogen vergeten dat er een oorlog is – een echte oorlog – een oorlog die op straat plaatsvindt en die de levens van mensen beïnvloedt (of woorden daartoe).

Dit moment herinnerde ons er scherp aan dat, hoewel de cyberbeveiligingsindustrie verenigd is in het stoppen van aanvallen in Oekraïne, wij dit op afstand doen terwijl er mensen ter plaatse zijn in een daadwerkelijk oorlogsgebied. De rest van de presentatie door Juan en Thomas was een fascinerende tijdlijn van de aanvallen en hoe talloze cyberbeveiligingsbedrijven en -organisaties samen zijn gekomen om een ​​ongekende samenwerking tot stand te brengen, inclusief het delen van onderzoek en inlichtingen. Op een dia werden de belangrijkste bijdragers genoemd: CERT-UA, United States Cyber ​​Command, Cybersecurity and Infrastructure Security Agency (CISA), SentinelLabs, Microsoft Threat Intelligence Center, TALOS, Symantec, Mandiant, Inquest Labs, Red Canary en ESET . De lijst laat zien hoe bedrijven die normaal gesproken concurreren in het bedrijfsleven verenigd zijn in deze missie, en zelfs onder normale omstandigheden – als er zoiets bestaat in de cyberbeveiligingsindustrie – samenwerken om de digitale omgeving waarop we vertrouwen veilig en toegankelijk te houden.

De ESET-presentatie van Robert en Anton gaf gedetailleerde informatie over de recente poging van aanvallers die bekend staan ​​als Sandworm, een groep die wordt toegeschreven aan cyberagentschappen van verschillende landen, waaronder de Amerikaanse CISA en de Britse NCSC, als onderdeel van de Russische GRU, met het ontketenen van een cyberaanval op de energie-infrastructuur. De gecombineerde inspanningen en kennis van eerdere aanvallen op industriële controlesystemen (ICS) die in elektriciteitsdistributiefabrieken werden gebruikt, gaven cyberdefenders binnen het energiebedrijf CERT-UA en ondersteund door experts van ESET de mogelijkheid om de potentiële aanval te dwarsbomen. Deze aanval, bekend als Industroyer2, is een van de vele die gericht zijn op het veroorzaken van ontwrichting en vernietiging, en toont aan dat cyberaanvallen nu zijn uitgegroeid tot een niveau waarop ze een bezit, een wapen zijn, beschikbaar voor degenen die oorlog willen voeren.

Samenvattend is mijn conclusie van de dag: trots om lid te zijn van de cyberbeveiligingsindustrie, en nog belangrijker: we moeten de toegewijde cyberdefensieteams erkennen en bedanken die zich hebben ingezet om systemen en infrastructuur tegen een agressor te beschermen.