Tässä kiehtovassa haastattelussa Sherrod DeGrippo, kokenut uhkatietämysasiantuntija, jolla on yli 19 vuoden kokemus, sukeltaa syvälle kybervakoilun maailmaan. Judy Ng ja Sarah Jones, kaksi erinomaista asiantuntijaa, jotka ovat omistautuneet Kiinasta peräisin olevien kyberuhkien monimutkaisen verkoston selvittämiseen, tuovat esiin nykyaikaisen uhkakuvan salaisen toiminnan. Yhdessä he keskustelevat haasteista, joita verkottuneen maailmamme suojelijoilla on edessään. Valmistaudu uppoutumaan näiden digitaalisten etsivien kertomatta jääneisiin tarinoihin ja poikkeukselliseen asiantuntemukseen, kun he liikkuvat Kiinan kybertaistelukentän salaisessa valtakunnassa.
Etulinjassa: Yksityiskohtia kiinalaisten uhkaavien toimijoiden taktiikoista ja tekniikoista
Sarah Jones
Vanhempana uhka-analyytikkona tutkin APT-ryhmiä (edistynyt jatkuva uhka), jotka ovat peräisin Kiinasta ja toimivat Kiinan hallituksen puolesta. Seuraan niiden haittaohjelmien kehitystä ajan mittaan ja tutkin niiden menetelmiä infrastruktuurin luomiseksi ja uhrien verkkojen vaarantamiseksi. Ennen siirtymistäni Microsoft Threat Intelligenceen keskityin pääasiassa Kiinaan, mutta olen työskennellyt myös iranilaisten ja venäläisten ryhmien parissa.
Suurimman osan taustastani, erityisesti urani alkuvaiheessa, työskentelin turvallisuusoperaatiokeskuksissa ja keskityin hallitusten ja yritysten verkkojen sisäiseen turvallisuuteen.
Yksi Kiinan uhkaryhmien tutkimisen hienoista puolista on se, että niitä pystytään seuraamaan niin pitkien ajanjaksojen ajan. On erittäin mielenkiintoista tutkia ryhmiä, jotka muistan 10 vuoden takaa, ja seurata niiden kehitystä ajan myötä.
Judy Ng
Sarahin tavoin olen myös vanhempi uhka-analyytikko, joka hyödyntää geopoliittista analyysia kyberuhka-analyysin lisäksi. Olen seurannut kiinalaisia toimijoita eri näkökulmista viimeiset 15 vuotta urani aikana – muun muassa Yhdysvaltain hallitusta tukevissa tehtävissä, startup-yrityksissä, eri amerikkalaisissa yrityksissä ja tietenkin Microsoftilla, jossa olen ollut vuodesta 2020 lähtien.
Aloitin keskittymään Kiinaan, koska olen aina ollut kiinnostunut siitä. Urani alkuvaiheessa tämä kiinnostus auttoi minua tarjoamaan kontekstia, jota kollegat, jotka eivät ehkä ymmärtäneet Kiinan kielen tai kulttuurin vivahteita, eivät huomanneet.
Luulen, että yksi ensimmäisistä kysymyksistäni oli: "Judy, mikä on lihakana? Mitä lihakana tarkoittaa kiinaksi?"
Vastaus oli bottiverkko. Lihakana oli kiinalaista slangia, jota uhkatoimijat käyttivät verkkofoorumeilla kuvaamaan zombie-bottiverkkoja
Judy Ng
Tässä työssä ei tehdä joka päivä samaa asiaa. Se on innostavaa. Voit hyödyntää kaikki Microsoftin saamat tehokkaat signaalit ja antaa tietojen ohjata sinua.
Täällä oleviin tietojoukkoihin ei kyllästy koskaan. Et koskaan sano: "Ei ole mitään etsittävää". Aina löytyy jotakin kiinnostavaa, ja sitä helpottaa se, että suurin osa tiimikavereistamme Kiinan tiimissä on uteliasta porukkaa.
Olipa kyse sitten itseohjautuvasta etsinnästä tai ryhmätyöskentelystä, on hienoa, että olemme kaikki uteliaita ja voimme kulkea eri teitä pitkin.
Sarah Jones
Olen samaa mieltä Judyn kanssa. Jokainen päivä on uusi ja erilainen ongelmakokonaisuus. Joka päivä saan tietää jostain uudesta teknologiasta tai uudesta ohjelmistosta, jota joku toimija yrittää hyödyntää. Minun on sitten palattava takaisin ja luettava dokumentaatio, jos kyse on teknologiasta tai ohjelmistosta, josta en ole koskaan kuullutkaan. Joskus joudun lukemaan jonkin protokollan RFC:n, koska uhkaavat toimijat manipuloivat tai käyttävät väärin jotakin sen osaa, ja se edellyttää alkuperäisen dokumentaation lukemista.
Nämä asiat ovat minusta todella jännittäviä, ja saan työskennellä niiden parissa joka päivä. Joka päivä pääsen oppimaan uudesta internetin osa-alueesta, josta en ole koskaan kuullutkaan, ja sitten kiirehtimään, jotta saavutan uhkaajat, jotta minusta tulisi asiantuntija siinä asiassa, jota he ovat päättäneet hyödyntää.
Sarah Jones
COVIDin myötä tapahtui paljon muutoksia. Asiakkaiden kannalta maailma on muuttunut. Äkillisesti kaikki menivät kotiin ja yrittivät jatkaa työtään. Näimme monien yritysten joutuvan määrittämään verkkonsa täysin uudelleen, ja näimme työntekijöiden muuttavan työskentelytapojaan, ja tietysti näimme uhkaajien reagoivan tähän kaikkeen.
Kun esimerkiksi kotoa käsin tapahtuvaa työskentelyä koskevia käytäntöjä alettiin ottaa käyttöön, monien organisaatioiden oli mahdollistettava pääsy monista eri paikoista joihinkin erittäin arkaluonteisiin järjestelmiin ja resursseihin, jotka eivät yleensä olleet käytettävissä yrityksen toimistojen ulkopuolella. Tämän jälkeen uhkaavat toimijat yrittivät sulautua hälyyn, tekeytyä etätyöntekijöiksi ja päästä käsiksi näihin resursseihin.
COVIDin alkaessa yritysympäristöjen käyttöoikeuskäytännöt oli laadittava nopeasti, ja joskus ne tehtiin ilman aikaa tutkia ja tarkastella parhaita käytäntöjä. Koska monet organisaatiot eivät ole tarkistaneet näitä käytäntöjä alkuperäisen käyttöönoton jälkeen, näemme nykyään uhkaajien yrittävän löytää ja hyödyntää virheellisiä määrityksiä ja haavoittuvuuksia.
Haittaohjelmien sijoittaminen pöytäkoneisiin ei ole enää yhtä arvokasta. Nyt on kyse salasanojen ja tunnusten hankkimisesta, jotka mahdollistavat pääsyn arkaluonteisiin järjestelmiin samalla tavalla kuin etätyöntekijöillä.
Judy Ng
En tiedä, pääsivätkö uhkaavat toimijat työskentelemään kotoa käsin, mutta meillä on tietoja, jotka antavat jonkin verran tietoa siitä, miten COVIDin aiheuttama sulku vaikutti heidän toimintaansa kaupungeissa, joissa he asuivat. Riippumatta siitä, missä he tekivät työtään, se vaikutti heidän elämäänsä – aivan kuten kaikkien muidenkin elämään.
Joskus pystyimme näkemään koko kaupungin laajuisten sulkujen vaikutuksen siitä, että heidän tietokoneillaan ei ollut toimintaa. Oli mielenkiintoista nähdä kaikkien näiden koko alueen laajuisten sulkujen vaikutus tiedoissamme.
Judy Ng
Minulla on hyvä esimerkki – yksi seuraamistamme uhkaavista toimijoista, Nylon Typhoon. Microsoft ryhtyi toimiin tätä ryhmää vastaan joulukuussa 2021 ja keskeytti infrastruktuurin, jota käytettiin Euroopan, Latinalaisen Amerikan ja Keski-Amerikan kohteisiin.
Arvioimme, että osa uhritoiminnasta liittyi todennäköisesti tiedustelutietojen keruuseen, jonka tarkoituksena oli saada tietoa Kiinan Belt and Road Initiative (BRI) -aloitteeseen osallistuvista kumppaneista Kiinan hallituksen infrastruktuurihankkeita varten eri puolilla maailmaa. Tiedämme, että Kiinan valtion tukemat uhkaavat toimijat harjoittavat perinteistä vakoilua ja talousvakoilua, ja arviomme mukaan tässä toiminnassa oli todennäköisesti kyse molemmista.
Emme ole 100-prosenttisen varmoja, koska meillä ei ole savuavaa asetta. 15 vuoden jälkeen voin kertoa, että savuavan aseen löytäminen on todella vaikeaa. Voimme kuitenkin analysoida tietoja, ottaa asiayhteyden huomioon ja sanoa: "Arvioimme, että se on todennäköistä tästä syystä".
Sarah Jones
Yksi suurimmista suuntauksista on painopisteen siirtäminen käyttäjien päätepisteistä ja räätälöidyistä haittaohjelmista toimijoihin, jotka todella elävät reunalla – resurssien keskittäminen reunalaitteiden hyödyntämiseen ja pysyvyyden ylläpitämiseen. Nämä laitteet ovat mielenkiintoisia, koska jos joku pääsee niihin käsiksi, hän voi olla siellä hyvin pitkään.
Jotkut ryhmät ovat tehneet vaikuttavia syväsukelluksia näihin laitteisiin. He tietävät, miten niiden laiteohjelmisto toimii. He tietävät, mitä haavoittuvuuksia kussakin laitteessa on, ja he tietävät, että monet laitteet eivät tue virusten torjuntaa tai tarkkaa kirjaamista.
Tietenkin toimijat tietävät, että VPN:n kaltaiset laitteet ovat nyt kuin avaimia valtakuntaan. Kun organisaatiot lisäävät tietoturvakerroksia, kuten tunnuksia, monimenetelmäisen todentamisen (MFA) ja käyttöoikeuskäytäntöjä, toimijat osaavat kiertää ne ja päästä puolustuksen läpi.
Luulen, että monet toimijat ovat ymmärtäneet, että jos he pystyvät ylläpitämään pitkäaikaista pysyvyyttä VPN:n kaltaisen laitteen avulla, heidän ei tarvitse levittää haittaohjelmia mihinkään. He voivat vain antaa itselleen käyttöoikeudet, joiden avulla he voivat kirjautua sisään minä tahansa käyttäjänä.
He käytännössä antavat itselleen "jumalatilan" verkossa vaarantamalla nämä reunalaitteet.
Näemme myös suuntauksen, jossa toimijat käyttävät Shodania, Fofaa tai mitä tahansa tietokantaa, joka skannaa internetiä, luetteloi laitteet ja tunnistaa eri päivitystasot.
Näemme myös, että toimijat suorittavat omia skannauksiaan laajoilla internet-alueilla – joskus ennalta laadittujen kohdeluetteloiden perusteella – etsien asioita, joita voidaan hyödyntää. Kun he löytävät jotain, he tekevät toisen skannauksen hyödyntääkseen laitetta ja palaavat myöhemmin käyttämään verkkoa.
Sarah Jones
Molemmat. Se riippuu toimijasta. Jotkin toimijat ovat vastuussa tietystä maasta. Se on heidän kohderyhmänsä, joten he välittävät vain kyseisen maan laitteista. Muilla toimijoilla on kuitenkin toiminnallisia kohderyhmiä, joten ne keskittyvät tiettyihin aloihin, kuten talouteen, energiaan tai teollisuuteen. He ovat laatineet useiden vuosien aikana kohdeluettelon yrityksistä, joista he ovat kiinnostuneita, ja nämä toimijat tietävät tarkalleen, mitä laitteita ja ohjelmistoja heidän kohteensa käyttävät. Jotkut toimijat tutkivat ennalta määriteltyä kohdeluetteloa nähdäkseen, ovatko kohteet korjanneet tietyn haavoittuvuuden.
Judy Ng
Toimijat voivat olla hyvin määrätietoisia, järjestelmällisiä ja tarkkoja, mutta joskus heillä on myös onnea. Meidän on muistettava, että he ovat ihmisiä. Kun he suorittavat skannauksia tai keräävät tietoja kaupallisella tuotteella, joskus heitä vain onnistaa, ja he saavat heti alussa oikeat tiedot, jotka auttavat heitä aloittamaan toimintansa.
Sarah Jones
Se on ehdottomasti se. Oikea puolustus on kuitenkin muutakin kuin pelkkää tiedostojen korjaamista. Tehokkain ratkaisu kuulostaa yksinkertaiselta, mutta on käytännössä hyvin vaikea. Organisaatioiden on ymmärrettävä ja kartoitettava laitteet, jotka ovat alttiina internetille. Heidän on tiedettävä, miltä heidän verkkonsa reuna-alueet näyttävät, ja tiedämme, että tämä on erityisen vaikeaa hybridiympäristöissä, joissa on sekä pilvipalveluja että paikallisia laitteita.
Laitehallinta ei ole helppoa, enkä halua teeskennellä, että se on sitä, mutta tieto verkossa olevista laitteista ja niiden päivitystasoista on ensimmäinen askel, jonka voit ottaa.
Kun tiedät, mitä laitteita sinulla on, voit lisätä niiden kirjaamisominaisuuksia ja telemetriaa. Pyri lokien yksityiskohtaisuuteen. Näitä laitteita on vaikea puolustaa. Verkonpuolustajan paras keino näiden laitteiden puolustamiseen on kirjaaminen ja poikkeamien etsiminen
Judy Ng
Kunpa minulla olisi kristallipallo, joka kertoisi, mitkä ovat Kiinan hallituksen suunnitelmat. Valitettavasti minulla ei ole. Mutta se, mitä voimme nähdä, on luultavasti halu saada tietoa.
Jokaisella valtiolla on halunsa.
Me pidämme myös tiedoistamme. Me pidämme tiedoistamme.
Sarah Jones
Judy on Belt and Road Initiative (BRI) -asiantuntijamme ja geopoliittinen asiantuntija. Luotamme hänen näkemyksiinsä, kun tarkastelemme trendejä, erityisesti kohdentamisessa. Joskus näemme uuden kohteen nousevan, eikä siinä ole mitään järkeä. Se ei sovi yhteen sen kanssa, mitä he ovat aiemmin tehneet, joten viemme asian Judylle, joka kertoo meille: "Tässä maassa järjestetään tärkeä talouskokous tai käydään neuvotteluja uuden tehtaan rakentamisesta tähän paikkaan".
Judy antaa meille arvokkaan ja olennaisen kontekstin siitä, miksi uhkaavat toimijat tekevät mitä tekevät. Me kaikki osaamme käyttää Bing Translate -sovellusta, ja me kaikki osaamme etsiä uutisjuttuja, mutta kun jossakin ei ole järkeä, Judy voi kertoa meille: "Tuo käännös tarkoittaa itse asiassa tätä", ja se voi olla ratkaisevaa.
Kiinalaisten uhkaavien toimijoiden jäljittäminen edellyttää kulttuurista tietämystä siitä, miten heidän hallituksensa on rakennettu ja miten heidän yrityksensä ja instituutionsa toimivat. Judyn työ auttaa selvittämään näiden järjestöjen rakenteen ja antaa meille tietoa siitä, miten ne toimivat, miten ne ansaitsevat rahaa ja ovat vuorovaikutuksessa Kiinan hallituksen kanssa.
Judy Ng
Kuten Sarah sanoi, kyse on viestinnästä. Teams-keskustelu on aina käytössä. Jaamme aina telemetriasta saamiamme oivalluksia, jotka auttoivat meitä tekemään mahdollisia johtopäätöksiä.
Judy Ng
Miten onnistun? Vietän paljon aikaa internetissä ja luen. Vakavasti puhuen, mielestäni yksi arvokkaimmista asioista on yksinkertaisesti osata käyttää eri hakukoneita.
Pidän Bingistä, mutta myös Baidusta ja Yandexista.
Tämä johtuu siitä, että eri hakukoneet tuottavat erilaisia tuloksia. En tee mitään erityistä, mutta osaan etsiä erilaisia tuloksia eri lähteistä, jotta voin analysoida tietoja sieltä käsin.
Kaikki tiimin jäsenet ovat erittäin asiantuntevia. Kaikilla on supervoimia – täytyy vain tietää, keneltä kysyä. Ja on hienoa, että työskentelemme tiimissä, jossa kaikkien on helppo kysyä toisiltaan kysymyksiä, eikö niin? Sanomme aina, ettei tyhmiä kysymyksiä ole.
Sarah Jones
Tämä paikka toimii tyhmien kysymysten voimalla.
Sarah Jones
Nyt on täydellinen aika ryhtyä IT-tietoturvan pariin. Kun aloitin, ei ollut paljon kursseja, resursseja tai tapoja tutustua aiheeseen. Nyt on olemassa perustutkinto- ja maisteriohjelmia! Nyt ammattiin pääsee monella tavalla. Kyllä, on polkuja, jotka voivat maksaa paljon rahaa, mutta on myös halvempia ja ilmaisia polkuja.
Yhden ilmaisen tietoturvakoulutusresurssin ovat kehittäneet Simeon Kakpovi ja Greg Schloemer, kollegamme Microsoft Threat Intelligence -yksiköstä. Tämän työkalun, jonka nimi on KC7, avulla kuka tahansa voi tutustua tietoturvaan, ymmärtää verkko- ja isäntätapahtumia ja etsiä toimijoita.
Nyt on myös mahdollista altistua kaikenlaisille eri aiheille. Kun aloitin urani, piti työskennellä yrityksessä, jolla oli miljoonien dollareiden budjetti, jotta tällaisiin työkaluihin olisi ollut varaa. Monille se oli este alalle pääsylle. Mutta nyt kuka tahansa voi analysoida haittaohjelmanäytteitä. Ennen oli vaikea löytää haittaohjelmanäytteitä ja pakettikaappauksia. Nämä esteet ovat kuitenkin poistumassa. Nykyään on niin paljon ilmaisia ja verkossa olevia työkaluja ja resursseja, joiden avulla voit oppia itse omaan tahtiisi.
Neuvoni on selvittää, mikä on se kapea ala, joka saa sinut kiinnostumaan. Haluatko tehdä haittaohjelmatutkimusta? Digitaalinen rikostekniikka? Uhkatietämys? Keskity suosikkiaiheisiisi ja hyödynnä julkisesti saatavilla olevia resursseja ja opi niistä niin paljon kuin mahdollista.
Judy Ng
Tärkeintä on olla utelias, eikö niin? Uteliaisuuden lisäksi sinun on työskenneltävä hyvin muiden kanssa. On muistettava, että tämä on joukkueurheilua – kukaan ei voi tehdä kyberturvallisuutta yksin.
On tärkeää pystyä työskentelemään tiimissä. On tärkeää olla utelias ja avoin oppimaan uutta. Sinun on osattava kysyä kysymyksiä ja keksittävä tapoja työskennellä tiimitovereidesi kanssa.
Sarah Jones
Se on ehdottomasti totta. Haluan korostaa, että Microsoft Threat Intelligence tekee yhteistyötä monien Microsoftin kumppanitiimien kanssa. Luotamme vahvasti kollegojemme asiantuntemukseen, joka auttaa meitä ymmärtämään, mitä toimijat tekevät ja miksi he tekevät sitä. Emme voisi tehdä työtämme ilman heitä.
Seuraa Microsoft Securitya