Cum poate fi conceput un dialog public-privat, eficient și permanent, multi-stakeholder pentru...

Cum poate fi conceput un dialog public-privat, eficient și permanent, multi-stakeholder pentru o lume digitală mai sigură?

Battista Cagnoni, Security Expert - FireEye
Battista Cagnoni, Security Expert – FireEye

autor: Battista Cagnoni

Mi se întâmplă destul de des, atunci când întâlnesc clienţi, să fiu întrebat, într-un mod mai mult sau mai puţin direct cum abordează alte organizaţii cerinţele stricte derivând din ameninţări avansate, așa-numitele Cyber Threat. Dincolo de curiozitatea înnăscută și necesară a oamenilor care se ocupă cu securitatea cibernetică, precum și de strategiile și procesele legate de acest lucru, observăm că de foarte multe ori organizaţiile au puţine, chiar prea puţine momente de împărtășire a experienţelor lor.

Un prim aspect pe care organizaţiile ar trebui să îl abordeze este clasificarea informaţiilor deoarece, înainte de a lua în considerare posibilitatea de a le împărtăși, ele trebuie să aibă o clasificare pentru a ști dacă o informaţie este sau nu de împărtășit. Un alt aspect pe care îl consider important este o analiză detaliată a informaţiilor, în scopul de a înţelege care sunt de fapt datele confidenţiale. De exemplu, redarea unui e-mail utilizat într-un atac de tip spear phishing este clasificat ca fiind „Confidential”,
deoarece conţine destinatari și unele metadate despre infrastructura internă a poștei electronice. Corect! O revizuire atentă a acestor informaţii, împreună cu o anonimizare adecvată v-ar permite să le partajaţi cu alte organizaţii. Cine sunt destinatarii unui e-mail de spear phishing și de ce ei au fost aleși este în mod clar o problemă care necesită confidenţialitate, precum și lipsa de interes de împărtășire. Din contră, conţinutul e-mailului, eventualele imagini, adrese IP și domenii legate de expeditor pot ajuta alte organizaţii să detecteze o ameninţare care se profilează la orizont. Acesta este un exemplu simplu legat de aspecte operaţionale, dar o abordare similară poate fi realizată la un nivel superior atât strategic cât și tactic.

Sectoarele public și privat sunt evident diferite, prin însăși natura lor. Dar când vine vorba de securitate cibernetică, abordarea pentru detectare, contracarare și sensibilizare în general îndeplinesc, în principal, aceleași criterii. În această optică, un model care privește în aceeași măsură atât companiile private de masă cât și organizaţiile publice implicate în aspecte de partajare de Cyber Threat comune este aplicabil și are beneficii multiple și reciproce. Sectorul public, în acest caz, a construit mai multe entităţi care pot aduce o contribuţie de suport considerabil. Entităţi precum poliţia, ministerele și centrele CERT naţionale pot aduce o mare valoare pentru schimbul de informaţii în domeniul Cyber Threat în principal datorită poziţiei privilegiate pe care aceste instituţii o deţin în ceea ce privește vizibilitatea lor publică.

În sectorul public este mai înrădăcinată cultura partajării, există exemple de platforme de partajare între ministere, sau între diferitele organisme ale forţelor armate. Centrele CERT naţionale, în special, au rolul de a coordona și distribui informaţiile. Pe de altă parte, companiile private au capacitatea de a împărtăși aspecte legate de atacurile de tip ţintă care de foarte multe ori sunt dependente de grupuri foarte specializate și axate pe anumite industrii. Grupurile APT au demonstrat amplu interesul atât pentru organizaţiile publice, cât și pentru companiile private și au tendinţa de a utiliza TTP (tactici, tehnici și proceduri), care le diferenţiază și de multe ori sunt un indicator destul de exact al matricei unui atac.

Există grupuri care tind să utilizeze malware cât mai puţin posibil prin limitarea utilizării sale la prima fază de atac, de obicei, pentru compromiterea a una sau două gazde (host), pentru a trece apoi la metode mai convenţionale și mai puţin vizibile cum ar fi instrumentele folosite de ad-inistratorii de sistem, de exemplu Sysinternal Tools¹ sau WMI² pentru a se “da deoparte” și a ajunge la date pentru a le proteja. Alte grupuri care nu se folosesc de malware au obţinut date de identificare valide prin inginerie socială în detrimentul acelorași administratori de sistem pentru a configura și autonom conturi VPN complet identice cu cele legitime.

Schimbul punctual și constant despre ceea ce este detectat de către fiecare dintre actorii așezaţi la o masă de schimb și de îmbogăţire reciprocă aduce cu siguranţă un avantaj substanţial. Este un plus, faţă de faptul că dacă s-a ajuns la această situaţie, atunci s-au creat deja canale de comunicare eficiente între diferiţi interlocutori, lucru fundamental într-o situaţie de criză. Spre exemplu, vom considera cazul în care mai multe companii private descoperă că au fost victima unui atac și că nu există implicarea poliţiei și a centrelor CERT naţionale – firmele care au deja stabilite relaţii instituţionale și personale pot fi de mare ajutor în a face mai eficient procesul de răspuns la incidente.

Este de neconceput, cu toate acestea, o masă la care să se așeze împreună actori din diferite medii cu diferite sarcini, cu responsabilităţi prea diferite între ei. De pildă, dacă punem un director executiv în haine de Policy Maker împreună cu strategi și experţi cu roluri foarte tehnice, pentru a discuta, nu obţinem un mod mai eficient de operare, pentru că neînţelegerile între părţi ar împiedica obţinerea unui rezultat și în consecinţă ar arăta că efortul făcut a fost inutil. Modelul în care cred este de tip organizaţie non-profit, al cărei scop principal este schimbul și diseminarea de modele de guvernare care pot defini o politică clară cu privire la Cyber Defense, niște procese care descriu o abordare tactică agilă și eficientă și abilităţi operaţionale.

Toate acestea, la diferite nivele, trebuie să fie dezvoltate având clar în vedere că grupurile APT au abilităţi tehnice de cel mai înalt nivel, sunt organizate într-un mod foarte eficient și au un potenţial financiar considerabil. Asociaţia ar trebui să organizeze de mai multe ori pe an – ideal la fiecare două luni – o zi de activităţi cu o scurtă sesiune plenară de actualizare si mai multe sesiuni paralele pe trei direcţii: strategică, tactică și operaţională pentru a permite să se facă schimb de tendinţe, abilităţi și experienţe. Tot ce a apărut în aceste zile de schimb ar trebui să se consolideze în câteva pagini concise distribuite membrilor asociaţiei. În același timp, statutul ar trebui să prevadă câteva reguli simple, dar care consacră contribuţia obligatorie, pentru a evita ca mulţi să beneficieze doar de experienţa câtorva. De mare valoare ar fi, de asemenea, un eveniment anual deschis specialiștilor din industrie pentru a avea punc tul de vedere al celor care sunt în prima linie de combatere a ameninţărilor cibernetice și în a ajuta organizaţiile să își îmbunătăţească postura.

Un aspect care nu poate fi uitat este valoarea pe care universităţile ar putea să o dea unui model de acest gen. Există multe avantaje într-o apropiere mai mare între mediul academic și de cercetare cu realitatea trăită în organizaţii. Universităţile ar putea avea acces la studii de caz reale de la care să înceapă să furnizeze răspunsuri atât tehnologice cât și manageriale. Studenţii au posibilitatea de a vedea aplicate abilităţile lor în stagii în cadrul companiei. Organizaţiile ar avea la dispoziţie noi absolvenţi pe care să îi poată integra și să îi facă să crească.

Acest articol atinge doar superficial principalele aspecte ale unui model care poate fi cultivat de diferiţii actori în direcţia schimbului de experienţă și, acolo unde este posibil, a informaţiilor. În acest context, este fundamentală crearea unei culturi de partajare pentru a crea un front comun pentru Cyber Threat. Iar în calitate de expert sper că organizaţiile sunt deschise acestui tip de dialog beneficiind de experienţa celorlalţi, prin crearea în cadrul naţiunilor a unor platforme de dialog eficiente.


Note:
1 https://technet.microsoft.com/en-us/sysinternals/bb545021.aspx
2 https://msdn.microsoft.com/en-us/library/aa384642(v=vs.85).aspx