הגבול בין מדינות הלאום לפשעי סייבר מיטשטש, אלו חדשות רעות עבור באנר של סיסוס

הגבול בין מדינות לאום לפשעי סייבר מיטשטש: אלו חדשות רעות עבור CISOs

כולם מרגישים יותר מודאגים מהסיכון הגיאופוליטי בימים אלה. זה נובע בעיקר מהכאוס שאופף את וושינגטון, אם כי המתיחות העולמית הולכת וגוברת כבר זמן מה. הפורום הכלכלי העולמי האחרון (WEF) דו"ח סיכונים גלובליים, למשל, טוען שהסיכון "הסביר ביותר שיציג משבר מהותי בקנה מידה עולמי בשנת 2025" הוא "סכסוך מזוין מבוסס מדינה". זה מצטרף ל"חוסר ביטחון סייבר" ו"אינפורמציה שגויה ודיסאינפורמציה" ברשימת 10 הסיכונים הגדולים ביותר לטווח קצר.

סייבר יהיה תחום מפתח עבור היריבות הכוחנית הגדולה שתגדיר את העשורים הקרובים. עם זאת, קשה יותר ויותר להגדיר את הסיכונים הנלווים עבור CISOs וארגונים. הסיבה לכך היא שהתיחום שהיה פעם ברור בין מדינת לאום לפעילות פשיעה סייבר מתחילה להיטשטש. מנהיגי אבטחה יצטרכו להסתמך על שיטות עבודה מומלצות בתעשייה כדי לנווט במים הלא ידועים הללו בבטחה.

הכללים משתנים

גם מיקרוסופט וגם גוגל מנדיאנט תיעדו לאחרונה את ההצלבה ההולכת וגוברת בין קמפיינים של מדינות לאום ופשעי סייבר. במובנים רבים, זו לא תופעה חדשה. עם זאת, האירועים האחרונים מחריפים את הבעיה. ה הערות לדיווח של גוגל כי "הרמה המוגברת של פעילות הסייבר בעקבות מלחמת רוסיה באוקראינה הראתה שבעתות צורך מוגבר, ניתן לשלם או לכפות על מאגר הכישרונות הסמוי של פושעי סייבר כדי לתמוך ביעדי המדינה".

ישנם מספר היבטים לכך:

1. מדינות לאום משתמשות בכלים ושירותים של פשעי סייבר מהמדפים

יש לזה כמה יתרונות לממשלות. השימוש בכלי פשע סייבר מובנים מראש הוא זול יותר מאשר פיתוח חלופות מותאמות אישית בתוך הבית. זה עוזר לטשטש את המקור האמיתי או הכוונה של התקפות. וכלים כאלה "ניתנים להפעלה בהתראה קצרה ללא קישורים מיידיים לפעולות קודמות", לפי גוגל.

קבוצות הנתמכות על ידי המדינה עשויות לקנות או לשכור תוכנות זדוניות וניצולים, אישורים, תשתית בוטנט, מידע גנוב, גישה ראשונית או הצעות אחרות הממוקמות בקלות על מחתרת פשעי הסייבר. לְדוּגמָה:

  • מיקרוסופט טענה פנימה בדצמבר 2024, כי קבוצת טורלה הרוסית (סופת שלגים סודית) השתמשה בתוכנה זדונית בוט של Amadey המקושרת לפעילות פשעי סייבר, במטרה לפגוע בישויות צבאיות אוקראיניות
  • במאי 2024, גוגל זיהתה קבוצה איראנית, UNC5203, המשתמשת בדלת האחורית RADTHIEF במבצע המכוון לתעשיית המחקר הגרעיני הישראלית.

הקבוצה הסינית UNC2286 השתמשה בתוכנת כופר של STEAMTRAIN ובפתק כופר המשויך לקבוצת DarkSide כדי להסתיר מה היה קמפיין ריגול סייבר, אומרת גוגל

2. שיתוף פעולה של קבוצות פשעי סייבר

מדינות הלאום גם פונות לפושעי סייבר באופן אישי כדי לגייס את עזרתם. שוב, זה יכול להפחית עלויות, לשחרר צוות פנימי לעבוד על יעדים אסטרטגיים יותר ולשפר את ההכחשה הסבירה. אנחנו יכולים לראות את זה עם:

  • קבוצת ה-FSB הרוסית Aqua Blizzard אשר "העבירה" גישה ל-34 מכשירים אוקראינים שנפגעו לקבוצת פשעי הסייבר Storm-0593 לצורך עבודה לאחר ניצול, לפי מיקרוסופט
  • כנופיית פשעי הסייגר סיגר (RomCom), שניהלה "פעולות ריגול" נגד ממשלת אוקראינה מאז 2022, אומרת גוגל
  • חברת אבטחת הסייבר של המגזר הפרטי הסינית i-Soon, אשר ארה"ב קיבל סנקציה לאחרונה, וככל הנראה ניהל פעולות פריצה להשכרה עבור בייג'ין בין השנים 2016-23, גבה 10,000-75,000 דולר לכל תיבת דואר אלקטרוני שנפרצה, וגם הרוויח כסף בהכשרת רשויות החוק הממשלתיות.

3. מתן אפשרות להאקרים ממלכתיים לאור ירח

  • יש מספר הולך וגדל של דוגמאות שבהן מותר לקבוצות שלכאורה בחסות המדינה להרוויח כסף מהצד. לפי גוגל, "זה יכול לאפשר לממשלה לקזז עלויות ישירות שיידרשו כדי לשמור על קבוצות עם יכולות חזקות". דוגמאות כוללות:
  • קבוצת האיומים הסינית הפורה APT41, בעלת "היסטוריה ארוכה" של פעילות מונעת כלכלית, לפי גוגל. זה כולל תוכנות כופר המכוונות למגזר משחקי הווידאו ואפילו את גניבה של כספי סיוע לקורונה.
  • קבוצת איראן UNC757, שהתגלה בשנה שעברה, בשיתוף פעולה עם שותפים של תוכנות כופר מ-NoEscape, RansomHouse ו-ALPHV.

4. מדינות לאום מתנהגות כמו קבוצות של פשעי סייבר

  • זה מתייחס כמעט אך ורק לצפון קוריאה, המכוונת לחברות פיננסיות וקריפטו כדי לקבל כספים לתמיכה בתוכניות הגרעין והטילים שלה. לאחרונה:
  • האקרים של מדינות צפון קוריאה האשימו לשוד הסייבר הגדול ביותר אי פעם כאשר 1.5 מיליארד דולר בקריפטו נגנב מ-Bybit.
  • מגמה גוברת של עובדי IT צפון קוריאנים התעוררה הטעיית חברות מערביות להעסיק אותן. כשהם במקום ועובדים מרחוק, הם שולחים את המשכורות שלהם בחזרה לפיונגיאנג. הרמאים יכולים גם להשתמש בגישה מועדפת כדי לגנוב מידע רגיש ו/או לסחוט את מעסיקיהם לשעבר לאחר סיום תפקידם. זהו איום שיגדל ככל שה-AI יקל על יצירת פרסונות מזויפות משכנעות.

מה CISOs יכולים לעשות

מגמות אלו מציפות ל-CISO אתגרים מרובים.

"זה מקשה על חיזוי התנהגות התוקף ומגביר את הסיכון לנזק נלווה", מזהיר מייסד Bugcrowd, קייסי אליס, את ISMS.online. "לדוגמה, התקפת תוכנת כופר עשויה להיראות בתחילה ממניעים פיננסיים, אך עלולה לחשוף מאוחר יותר כוונה גיאופוליטית. CISOs חייבים כעת לתת מענה למגוון רחב יותר של יריבים, שלכל אחד מהם רמות שונות של תחכום, משאבים ויעדים. נוסף על כך, לקבוצות עברייניות סייבר ולצוותי עבירות ממשלתיים יש שוויון שונה מאוד על הרצון או הניצחון שלהם על מה שהם עושים, מה שהם עושים".

ללא ייחוס ברור, גם CISOs עלולים להיפגע בתגובתם, הוא מוסיף,

"היגיינת אבטחת סייבר חזקה - כמו זיהוי נכסים, ניהול פגיעות ותכנון תגובה לאירועים - נותרה בסיסית. עם זאת, הבנת מי תוקף אותך יכולה לחדד את ההגנות שלך", טוען אליס.

"לדוגמה, איום בחסות המדינה עשוי לכוון לקניין רוחני, בעוד שקבוצת פושעי סייבר עשויה להתמקד ברווח כספי. ייחוס מודיע גם על שיתוף פעולה עם רשויות אכיפת חוק וסוכנויות מודיעין, ועוזר לטפל בבעיות מערכתיות כמו מקלט בטוח לתוקפים."

אם הם יכולים להבין מי תוקף אותם ומדוע, CISOs יכולים להתחיל ליצור תגובה יעילה, אומר Fenix24 CISO Heath Renfrow ל-ISMS.online.

"אם מדובר בפושעי סייבר, ההתמקדות צריכה להיות בלימה מהירה, מיגור והקשחת הגנות כדי למנוע התקפות חוזרות. אבל במקרה של שחקנים של מדינות לאום, מאמצי התגובה עשויים לדרוש מעקב ממושך, טקטיקות מודיעין נגד ותיאום עם סוכנויות ממשלתיות", הוא מסביר. "איומים היברידיים דורשים הגנה רב-שכבתית - המשלבת אפס אמון, מודיעין איומים בזמן אמת ואסטרטגיות חוסן לאחר תקרית".

בינתיים, AI ואוטומציה יהפכו חשובים יותר עבור CISOs ככל שהאיומים יתפתחו, טוען Deepwatch CISO, Chad Cragle.

"זיהוי איומים מונע בינה מלאכותית ותגובה אוטומטית עוזרים לצוותי אבטחה להתרחב מול יריבים שפועלים במהירות ובנפח. בסופו של דבר, אסטרטגיות אבטחה חייבות להיות אגנוסטיות לאיומים וניתנות להתאמה", הוא אומר ל-ISMS.online.

"ככל שהקווים בין פשיעת סייבר ופעילות מדינת לאום ימשיכו להיטשטש, תוכניות אבטחה נוקשות ומושתקות יתקשו לעמוד בקצב. ארגונים המתעדפים חוסן, הסתגלות והגנה מונעת מודיעין יהיו במצב הטוב ביותר לצמצם סיכונים - לא משנה מי עומד מאחורי המתקפה".

למנהיגי אבטחה העוקבים אחר תקנים כמו ISO 27001 יהיה קל יותר לאמץ את השיטות המומלצות הללו. והם יהיו צודקים לעשות זאת. א דטנטה לכאורה בין ארה"ב לרוסיה לא סביר שישנה את נוף האיומים ארוכי הטווח. תכנן טוב יותר כעת לעתיד מורכב יותר, אטום ומסוכן יותר.

מְחַבֵּר

פיל מונקסטר

פיל מונקאסטר הוא עיתונאי IT כבר 20 שנה. הוא התחיל את דרכו ככתב בארגון IT Week בשם IT Week בשנת 2005 והתקדם לתפקיד עורך חדשות לפני שעזב כדי להמשיך בקריירה עצמאית. מאז, פיל כתב עבור כותרים כולל The Register, שם עבד ככתב אסיה בזמן שהתבסס בהונג קונג במשך יותר משנתיים, MIT Technology Review, SC Magazine, Infosecurity Magazine ואחרים.

צפה בכל הפוסטים של פיל מונקאסטר

פוסטים קשורים

SOC 2 כבר כאן! חזקו את האבטחה שלכם ובנו את אמון הלקוחות עם פתרון התאימות החזק שלנו היום!