Die lyn tussen nasiestate en kubermisdaad vervaag: dit is slegte nuus vir CISO's
Almal voel deesdae meer bekommerd oor geopolitieke risiko's. Dit is grootliks te wyte aan die chaos wat Washington verswelg, hoewel wêreldwye spanning al 'n geruime tyd opbou. Die mees onlangse Wêreld Ekonomiese Forum (WEF) Globale Risikoverslag, byvoorbeeld, beweer dat die risiko "wat waarskynlik 'n wesenlike krisis op 'n wêreldskaal in 2025 sal bied" 'n "staatsgebaseerde gewapende konflik is." Dit sluit aan by "kuberonsekerheid" en "waninligting en disinformasie" op die lys van top 10 grootste korttermynrisiko's.
Kuber sal 'n sleuteldomein wees vir die groot kragmededinging wat die komende dekades sal bepaal. Tog word die gepaardgaande risiko's vir CISO's en hul organisasies toenemend moeilik om te definieer. Dit is omdat die eens duidelike afbakening tussen nasiestaat en kubermisdaadaktiwiteit begin vervaag. Sekuriteitsleiers sal op die beste praktyke in die industrie moet staatmaak om hierdie ongekarteerde waters veilig te navigeer.
Die Reëls Verander
Beide Microsoft en Google Mandiant het onlangs die groeiende kruising tussen nasionale veldtogte en kubermisdaad gedokumenteer. In baie opsigte is dit nie 'n nuwe verskynsel nie. Onlangse gebeure vererger egter die probleem. Die Google rapporteer notas dat “die verhoogde vlak van kuberaktiwiteit ná Rusland se oorlog in die Oekraïne getoon het dat, in tye van verhoogde nood, die latente talentpoel van kubermisdadigers betaal of gedwing kan word om staatsdoelwitte te ondersteun”.
Daar is verskeie aspekte hieraan:
1. Nasiestate wat kubermisdaadhulpmiddels en -dienste van die rak gebruik
Dit hou verskeie voordele vir regerings in. Die gebruik van voorafgeboude kubermisdaadinstrumente is goedkoper as om persoonlike alternatiewe in die huis te ontwikkel. Dit help om die ware oorsprong of bedoeling van aanvalle te verdoesel. En sulke instrumente "kan op kort kennisgewing geoperasionaliseer word sonder onmiddellike skakels na vorige bedrywighede", volgens Google.
Staatsondersteunde groepe kan dalk wanware en uitbuitings, geloofsbriewe, botnet-infrastruktuur, gesteelde inligting, aanvanklike toegang of ander aanbiedinge koop of huur wat maklik op die kubermisdaad ondergronds geleë is. Byvoorbeeld:
- Microsoft het in geëis Desember 2024 dat die Russiese Turla (Secret Blizzard)-groep Amadey-bot-wanware gebruik wat aan kubermisdaadaktiwiteit gekoppel is, om Oekraïense militêre entiteite te teiken
- In Mei 2024 het Google 'n Iranse groep, UNC5203, geïdentifiseer wat die RADTHIEF-agterdeur gebruik in 'n operasie wat die Israeliese kernnavorsingsbedryf teiken.
Die Chinese groep UNC2286 het STEAMTRAIN losprysware en 'n losprysnota wat met die DarkSide-groep geassosieer word gebruik om te verberg wat 'n kuberspioenasieveldtog was, sê Google
2. Koöptering van kubermisdaadgroepe
Nasiestate reik ook persoonlik uit na kubermisdadigers om hul hulp in te roep. Weereens kan dit koste verminder, interne personeel vrymaak om aan meer strategiese doelwitte te werk en geloofwaardige ontkenbaarheid verbeter. Ons kan dit sien met:
- Russiese FSB-groep Aqua Blizzard wat Volgens Microsoft het toegang tot 34 gekompromitteerde Oekraïense toestelle aan die kubermisdaadgroep Storm-0593 vir post-uitbuitingswerk "oorhandig"
- Die Cigar (RomCom) kubermisdaadbende, wat sedert 2022 “spioenasie-operasies” teen die Oekraïense regering uitgevoer het, sê Google
- Chinese privaatsektor kuberveiligheidsfirma i-Soon, wat die VSA onlangs goedgekeur, en het blykbaar tussen 2016-23 inbraak-vir-huur-operasies vir Beijing uitgevoer, $10,000-$75,000 per gekompromitteerde e-posbus gehef, en ook geld verdien om regeringswetstoepassers op te lei.
3. Laat staatkrakers maanlig toe
- Daar is 'n groeiende aantal voorbeelde waar oënskynlik staatsgeborgde groepe toegelaat word om geld aan die kant te maak. Volgens Google "kan dit 'n regering toelaat om direkte koste te verreken wat nodig sou wees om groepe met robuuste vermoëns in stand te hou". Voorbeelde sluit in:
- Die produktiewe Chinese bedreigingsgroep APT41, wat 'n "lang geskiedenis" van finansieel gemotiveerde aktiwiteite het, volgens Google. Dit sluit losprysware in wat die videospeletjiesektor en selfs die diefstal van COVID-hulpfondse.
- Iran groep UNC757, wat verlede jaar ontdek is, wat saamwerk met losprysware-affiliasies van NoEscape, RansomHouse en ALPHV.
4. Nasiestate wat soos kubermisdaadgroepe optree
- Hierdie een verwys byna uitsluitlik na Noord-Korea, wat finansiële en kripto-firmas teiken vir fondse om sy kern- en missielprogramme te ondersteun. Mees onlangs:
- Noord-Koreaanse staatkrakers is geblameer vir die grootste kuberroof ooit toe $1.5 miljard se kripto by Bybit gesteel is.
- N groeiende tendens van Noord-Koreaanse IT-werkers Westerse maatskappye mislei om hulle in diens te neem, het na vore gekom. Sodra hulle in plek is en op afstand werk, stuur hulle hul salarisse terug na Pyongyang. Die bedrieërs kan ook bevoorregte toegang gebruik om sensitiewe inligting te steel en/of hul voormalige werkgewers af te pers sodra hul rol beëindig is. Dit is 'n bedreiging wat sal toeneem namate KI dit makliker maak om oortuigende vals personas te skep.
Wat CISO's kan doen
Hierdie neigings beland CISO's met veelvuldige uitdagings.
"Dit maak dit moeiliker om aanvallergedrag te voorspel en verhoog die risiko van kollaterale skade," waarsku Casey Ellis, stigter van Bugcrowd, ISMS.online. "Byvoorbeeld, 'n losprysaanval kan aanvanklik finansieel gemotiveerd lyk, maar kan later geopolitieke bedoeling openbaar. CISO's moet nou verantwoordelik wees vir 'n breër reeks teenstanders, elk met verskillende vlakke van gesofistikeerdheid, hulpbronne en doelwitte. Boonop het kuber-misdadige groepe en regeringsoortredingspanne baie verskillende onvoorwaardelikhede oor wat hulle sal of oorwin."
Sonder duidelike toeskrywing kan CISO's ook in hul reaksie belemmer word, voeg hy by,
"Sterk kuberveiligheidshigiëne - soos bate-identifikasie, kwesbaarheidsbestuur en voorvalreaksiebeplanning - bly fundamenteel. Om egter te verstaan wie jou aanval, kan jou verdediging verfyn," argumenteer Ellis.
"Byvoorbeeld, 'n staatsgesteunde bedreiging kan intellektuele eiendom teiken, terwyl 'n kubermisdadige groep dalk op finansiële gewin konsentreer. Erkenning lig ook samewerking met wetstoepassing en intelligensie-agentskappe in, wat help om sistemiese kwessies soos veilige hawens vir aanvallers aan te spreek."
As hulle kan verstaan wie hulle aanval en hoekom, kan CISO's 'n effektiewe reaksie begin skep, vertel Fenix24 CISO Heath Renfrow aan ISMS.online.
"As dit kubermisdadigers is, moet die fokus op vinnige inperking, uitwissing en verharding van verdediging wees om herhaalde aanvalle te voorkom. Maar in die geval van nasiestaat-akteurs kan reaksiepogings uitgebreide monitering, teen-intelligensietaktieke en koördinering met regeringsagentskappe vereis," verduidelik hy. "Habried dreigemente vereis 'n veelvlakkige verdediging - wat Zero Trust, intydse bedreigingsintelligensie en na-voorval veerkragtigheidstrategieë kombineer."
Intussen sal KI en outomatisering toenemend belangrik word vir CISO's namate bedreigings ontwikkel, argumenteer Deepwatch CISO, Chad Cragle.
"KI-gedrewe bedreigingsopsporing en outomatiese reaksie help sekuriteitspanne om te skaal teen teenstanders wat teen spoed en volume werk. Uiteindelik moet sekuriteitstrategieë bedreiging-agnosties en aanpasbaar wees," sê hy aan ISMS.online.
"Terwyl die lyne tussen kubermisdaad en nasie-staataktiwiteite aanhou vervaag, sal rigiede, gesmoorde sekuriteitsprogramme sukkel om tred te hou. Organisasies wat veerkragtigheid, aanpasbaarheid en intelligensie-gedrewe verdediging prioritiseer, sal die beste geposisioneer wees om risiko te versag - maak nie saak wie agter die aanval sit nie."
Sekuriteitsleiers wat standaarde soos ISO 27001 volg, sal dit makliker vind om hierdie beste praktyke te omhels. En hulle sal reg wees om dit te doen. An skynbare ontspanning tussen die VSA en Rusland is onwaarskynlik om die langtermyn-bedreigingslandskap te verander. Beplan nou beter vir 'n meer komplekse, ondeursigtige en gevaarlike toekoms.
