Black Hat 2022 – Cyberobrona w erze globalnych zagrożeń

Gdy pierwszy dzień na Black Hat USA 2022 dobiegł końca, ktoś zapytał mnie: „Jaki jest twój wniosek z dzisiejszej konferencji?” Odbyło się kilka interesujących prezentacji, a zgodnie z oczekiwaniami wiele z nich szczegółowo opisywało cyberwojnę na Ukrainie, w tym prezentację autorstwa Roberta Lipowskiego i Antona Czerepanowa z ESET: Industroyer2: Cyberwojna Sandworma ponownie atakuje ukraińską sieć energetyczną .

Ale jest dla mnie jeden wyjątkowy moment dnia, prosty moment, w którym wszystkie wzmianki o Ukrainie i szczegółowa analiza cyberincydentów, które przeżył ten kraj, zostały przedstawione w odpowiedniej perspektywie. Juan Andres Guerrero i Thomas Hegel z SentinelOne zaprezentowali się Prawdziwa „cyberwojna”: szpiegostwo, ataki DDoS, przecieki i wycieraczki w rosyjskiej inwazji na Ukrainę, szczegółowy harmonogram cyberataków związanych z konfliktem. Podobnie jak wszystkie prezentacje związane z wojną, ta została otwarta dla pełnej sali ponad tysiąca uczestników; Juan kliknął pierwszy slajd i przypomniał publiczności, że skoro jesteśmy tutaj, aby porozmawiać o cyberatakach związanych z wojną, powinniśmy pamiętać, że jest wojna – prawdziwa wojna – która dzieje się na ulicach i wpływa na życie ludzi (lub słowa w tym celu).

Ten moment był wyraźnym przypomnieniem, że podczas gdy branża cyberbezpieczeństwa jest zjednoczona w powstrzymywaniu ataków na Ukrainie, robimy to zdalnie, podczas gdy ludzie znajdują się na ziemi w rzeczywistej strefie wojny. Pozostała część prezentacji Juana i Thomasa była fascynującym harmonogramem ataków i tego, jak wiele firm i organizacji zajmujących się cyberbezpieczeństwem połączyło siły, aby zapewnić bezprecedensową współpracę, w tym dzielenie się badaniami i danymi wywiadowczymi. Na slajdzie wymieniano głównych współpracowników: CERT-UA, United States Cyber ​​Command, Cybersecurity and Infrastructure Security Agency (CISA), SentinelLabs, Microsoft Threat Intelligence Center, TALOS, Symantec, Mandiant, Inquest Labs, red canary i ESET . Lista pokazuje, w jaki sposób firmy, które normalnie konkurują w biznesie, są zjednoczone w tej misji i nawet w normalnych warunkach – jeśli coś takiego istnieje w branży cyberbezpieczeństwa – współpracują, aby zapewnić bezpieczeństwo i dostępność cyfrowego środowiska, na którym polegamy.

Prezentacja ESET przedstawiona przez Roberta i Antona szczegółowo opisuje niedawną próbę ataku osób znanych jako Sandworm, grupy przypisywanej przez cyberagencje z różnych krajów, w tym amerykańska CISA, brytyjski NCSC, jako część rosyjskiego GRU, z rozpętaniem cyberataku na infrastrukturę energetyczną. Połączone wysiłki i wiedza na temat wcześniejszych ataków na przemysłowe systemy sterowania (ICS) stosowane w zakładach dystrybucji energii zapewniły cyberobrońcom w przedsiębiorstwie energetycznym CERT-UA i wspieranym przez ekspertów z firmy ESET możliwość udaremnienia potencjalnego ataku. Atak ten, znany jako Industroyer2, jest jednym z wielu, których celem jest wywołanie zakłóceń i zniszczeń, i pokazuje, że cyberataki dojrzały do ​​poziomu, w którym są atutem, bronią dostępną dla tych, którzy chcą prowadzić wojnę.

Podsumowując, mój wniosek dnia to powód do dumy z bycia członkiem branży cyberbezpieczeństwa, a co ważniejsze, że musimy docenić i podziękować oddanym zespołom ds. cyberobrony, które podjęły kroki, aby chronić systemy i infrastrukturę przed agresorem.