Connect with us

Wywiady

Francis Guibernau, Starszy Inżynier Badań Wrogich w AttackIQ – Seria Wywiadów

mm
Published
Updated

Francis Guibernau jest Starszym Inżynierem Badań Wrogich i członkiem Zespołu Badań Wrogich (ART) w AttackIQ. Francis prowadzi dogłębne badania i analizy zagrożeń w celu zaprojektowania i stworzenia wysoko zaawansowanych i realistycznych emulacji wrogich. Koordynuje również projekt Cyber Threat Intelligence (CTI), który koncentruje się na badaniu, analizie, śledzeniu i dokumentowaniu wrogów, rodzin złośliwego oprogramowania oraz incydentów związanych z bezpieczeństwem cybernetycznym. Francis ma rozległe doświadczenie w dziedzinie wywiadu wrogiego, obejmujące zarówno zagrożenia państwowe, jak i eCrime, a także w ocenie i zarządzaniu podatnościami, mając wcześniej pracował w Deloitte i BNP Paribas.

AttackIQ to firma zajmująca się bezpieczeństwem cybernetycznym, która umożliwia organizacjom wykraczanie poza czyste założenia dotyczące ich obrony i przechodzenie do ciągłej, opartej na danych weryfikacji. Poprzez emulację taktyki wrogów przy użyciu modelu MITRE ATT&CK oraz oferowanie zautomatyzowanego, bezpiecznego testowania w środowiskach chmurowych, hybrydowych i lokalnych, firma pomaga ujawniać luki w zabezpieczeniach, procesach i ludziach — umożliwiając liderom priorytetowanie naprawy, uzasadnianie inwestycji i przechodzenie od reaktywnej odpowiedzi na cyberzagrożenia do proaktywnej odporności.

Jak zostałeś częścią branży bezpieczeństwa cybernetycznego, i dlaczego zdecydowałeś się specjalizować w Cyber Threat Intelligence? Jak CTI ukształtowało twoje zrozumienie tego, jak zagrożenia ewoluują w obu ekosystemach państwowych i przestępczych?

Moja ścieżka do bezpieczeństwa cybernetycznego nie była zaplanowana; stało się to przez okazję, a nie projekt. Zaczęło się, gdy dołączyłem do dojrzałej organizacji bezpieczeństwa cybernetycznego, gdzie pracowałem w dwóch kluczowych obszarach: Ocena i Zarządzanie Podatnościami oraz Cyber Threat Intelligence (CTI). Przez Zarządzanie Podatnościami zdobyłem perspektywę obrońcy — zapewniając, że systemy były odpowiednio utrzymane, załatane i odporne na ataki. W ramach CTI przyjąłem mentalność atakującego, analizując ich motywacje, cele i możliwości. To właśnie tam stałem się głęboko zaznajomiony z ramą MITRE ATT&CK, którą wykorzystywałem do dokumentowania taktyki, technik i procedur wrogich oraz definiowania ich podręczników operacyjnych.

To podwójne doświadczenie dało mi kompleksowe zrozumienie, jak obrońcy i atakujący взаимодействują w ciągle ewoluującym ekosystemie. CTI szybko stało się moją osobistą pasją. Jego strategiczny cel, jakim jest zrozumienie, jak wrogowie działają, ewoluują i wpływają na siebie nawzajem, wydawał się prawie przeznaczony. Cieszę się, że mogę nadal pracować w tej dyscyplinie, obserwując i analizując rosnącą złożoność globalnego pejzażu zagrożeń, gdzie państwowe i eCrime wrogowie, pomimo swoich odrębnych motywacji, coraz częściej się przecinają i kształtują wzajemnie swoje operacje.

Spójrzając wstecz, jaki konkretny projekt lub doświadczenie oznaczało punkt zwrotny w twojej karierze i ukształtowało twoją perspektywę w zakresie bezpieczeństwa cybernetycznego? 

Kluczowym momentem było, gdy zacząłem badać i dokumentować techniki i procedury, których używają wrogowie i złośliwe oprogramowanie, aby wykryć i uniknąć kontrolowanych środowisk. To stało się podstawą dla “Świadomości Środowiska“, projektu badawczego, który przeprowadziłem z moim kolegą i przyjacielem Ayelen Torello, z którym teraz mam okazję pracować obok w AttackIQ. Nasze badania koncentrowały się na katalogowaniu różnych metod, których używają wrogowie, aby rozpoznać i uniknąć sandboxowanych lub wirtualizowanych środowisk, pozwalając im pozostać niewykrytymi podczas zautomatyzowanej analizy. Wynikający z tego artykuł został później przyjęty jako podstawa do techniki “T1497 – Unikanie Wirtualizacji/Sandboxu” w ramie MITRE ATT&CK.

Podczas tego śledztwa byłem świadkiem ciągłej ewolucji wrogów, z ich ładunkami stającymi się coraz bardziej zaawansowanymi i ich zdolnością do uniknięcia zautomatyzowanych systemów wykrywania, zwiększając ich szanse na pomyślne naruszenie rzeczywistych celów. To doświadczenie fundamentalnie ukształtowało moje zrozumienie adaptacyjności wrogów i ciągłego cyklu innowacji, który definiuje nowoczesne zagrożenia.

Od czasu dołączenia do AttackIQ w 2021 roku jako Inżynier Badań Wrogich i kierowania utworzeniem inicjatywy Cyber Threat Intelligence, jak twoje odpowiedzialności ewoluowały, i jak balansujesz koordynację projektu CTI, strategiczne badania zagrożeń i rozwój emulacji wrogich? 

Budowanie programu Cyber Threat Intelligence (CTI) w AttackIQ było złożonym zadaniem. Musieliśmy osiągnąć widoczność w szerokim spektrum zagrożeń szybko. Jako dostawca usług, nasz focus nie mógł być ograniczony do jednego sektora, regionu lub państwa. Zamiast tego, potrzebowaliśmy bazy wiedzy obejmującej zarówno wrogów, od państwowych po grupy eCrime, oraz złośliwe oprogramowanie, od komercyjnego po rodziny zbudowane na zamówienie. Gdy tylko podstawa była ustanowiona, zaczęliśmy się koncentrować na tym, co nazywam “Ciężarowcami”: wysoko aktywnymi i wpływowymi podmiotami, które wpływają na wiele sektorów, regionów i państw. Ten podejście pozwala nam priorytetowo traktować zagrożenia najbardziej istotne dla naszej bazy klientów.

Biorąc pod uwagę dynamiczny pejzaż zagrożeń, balansowanie zbierania wywiadu, analizy zagrożeń i emulacji wrogich jest wewnętrznie złożone. Każdy typ emulacji przedstawia odrębne wyzwania. Z jednej strony, emulacje państwowe są zwykle wysoko zaawansowane, dostosowane do konkretnych celów, charakteryzujące się przedłużonym czasem pozostawania i napędzane motywacjami politycznymi. Odtwarzanie ich zachowania wymaga głębokiej analizy, cierpliwości i precyzji, czyniąc je intelektualnie wyzwaniem i satysfakcjonującym do emulacji. Z drugiej strony, emulacje eCrime są dynamiczne i oportunisticzne. Wrogowie ci wprowadzają nowe techniki, działają z krótszym czasem pozostawania i często wpływają na wiele sektorów i regionów. Używają one udostępnionych, gotowych narzędzi i komercyjnego złośliwego oprogramowania, z nakładającymi się TTP wśród grup, co czyni ich podręczniki dynamicznymi i fascynującymi do odtworzenia.

Uderzenie w odpowiednią równowagę jest procesem strategicznym. Wyrównujemy priorytety badań i emulacji z wymogami klientów i globalnymi rozwojami, w tym napięciami geopolitycznymi, nowo ujawnionymi krytycznymi podatnościami oraz zaleceniami z międzynarodowych organizacji, takich jak Cybersecurity and Infrastructure Security Agency (CISA) i National Cyber Security Centre (NCSC). Ostatecznie, ta praca jest wspólnym wysiłkiem. Zespół Badań Wrogich (ART) składa się z niesamowicie utalentowanych osób, których wkład sprawia, że realistyczne i bezpieczne emulacje są możliwe. CTI jest tylko jednym elementem procesu; transformowanie wywiadu w autentyczne, kontrolowane emulacje jest złożonym wyzwaniem, które wymaga współpracy, precyzji i wspólnego zaangażowania.

W ramach Zespołu Badań Wrogich w AttackIQ, jak jest strukturyzowane i priorytetowo traktowane badanie, i jakie były najbardziej znaczące wyzwania w tłumaczeniu wglądu w zagrożenia na działające emulacje wrogie?

Kilka czynników wpływa na to, jak priorytetowo traktujemy badania w Zespole Badań Wrogich w AttackIQ. Nasz podstawowy focus jest na emulowaniu wrogów, którzy stanowią największe ryzyko dla największego segmentu naszych klientów, zapewniając, że zasoby są zoptymalizowane i skoncentrowane na zagrożeniach o szerokim wpływie przed zajmowaniem się wysoko specyficznymi.

Ten zakres obejmuje zarówno wrogów, jak i rodziny złośliwego oprogramowania obserwowane w środowisku. Ciągle śledzimy szeroki zakres podmiotów, z priorytetami napędzanymi potrzebą operacyjną, a nie dyrektywami preskryptywnymi. Pojawiające się zagrożenia często powodują szybką repriorytetację. Eskalujące napięcia geopolityczne, zwiększone raportowanie na temat konkretnych i krytycznych podatności lub skoncentrowane zalecenia CERT szybko podnoszą te tematy na szczyt kolejki.

Jednym z naszych podstawowych wyzwań jest utrzymanie spójnej priorytetacji i balansowanie zasobów, aby dostarczyć realistyczne i zaawansowane emulacje, jednocześnie zapewniając wydajność i skalowalność w całym cyklu rozwoju. Kładziemy silny nacisk na rozwijanie szerokich, wielokrotnego użytku zachowań. Poprzez identyfikację wspólności wśród wrogów i rodzin złośliwego oprogramowania, koncentrujemy się na replikowaniu technik i procedur, które stale pojawiają się w wielu podręcznikach. Mogą one następnie zostać dostosowane i zintegrowane z innymi emulacjami, umożliwiając większą elastyczność i skalowalność. Ten podejście pozwala nam priorytetowo traktować zachowania o wysokiej wielokrotności i operacyjnej istotności, zamiast inwestowania ciężko w wąskie, jednorazowe implementacje. Stała kadencja produkcji, dostarczanie elastycznych, ukierunkowanych i znaczących emulacji.

W Twoim niedawnym badaniu RomCom, jakie były kluczowe punkty zwrotne, które wpłynęły na jego transformację z podstawowego backdoora w wszechstronną platformę wspierającą zarówno szpiegostwo, jak i finansową ekstorsję, i w jakich okolicznościach złośliwe oprogramowanie przechodzi z samodzielnego ładunku w pełnoprawną platformę? 

Przypadek RomCom jest szczególnie fascynujący, ponieważ pojawił się w maju 2022 roku jako stosunkowo prosty backdoor zaprojektowany głównie do zdalnego dostępu i podstawowej eksfiltracji danych. Pierwszy znaczący punkt zwrotny nastąpił zaledwie miesiąc później z wydaniem RomCom 2.0, które wprowadziło znaczące usprawnienia, które odzwierciedlały bardziej dojrzałe, ukierunkowane na stealth narzędzie zoptymalizowane do operacji szpiegowskich i długoterminowej persistence. Te aktualizacje znacznie poprawiły możliwości zbierania i eksfiltracji danych, sygnalizując wyraźny zwrot w kierunku bardziej strategicznego przypadku użycia.

Następny punkt zwrotny nastąpił z wprowadzeniem RomCom 3.0 w lutym 2023 roku, które przyjęło modułową architekturę podzieloną na trzy podstawowe składniki. Reprezentowało to znaczący skok w elastyczności i funkcjonalności, wspierając 42 odrębne polecenia, z których wiele było subtelnych wariacji siebie nawzajem, podkreślając focus operatora na adaptacyjności i operacyjnym doskonaleniu.

Późniejsze wersje kontynuowały koncentrowanie się na doskonaleniu możliwości i zwiększaniu operacyjnej wytrzymałości. Z czasem RomCom ewoluował z backdoora zaprojektowanego do komodity złośliwego oprogramowania wykorzystywanego przez grupy eCrime, które zintegrowały go ze swoimi podręcznikami, aby umożliwić i ułatwić różnorodne operacje przestępcze. Ta ewolucja była udokumentowana przez integrację RomCom z rodzinami ransomware, takimi jak Cuba, Industrial Spy i Underground, wyraźnie wskazując, że stało się ono wbudowane w szerszy wrogi ekosystem jako wspólna infrastruktura. To powszechne przyjęcie nieuchronnie przyciągnęło uwagę państwowych wrogów, szczególnie tych związanych z rosyjskimi interesami, którzy zaczęli wykorzystywać RomCom jako wielofunkcyjną platformę wspierającą operacje szpiegowskie i wpływu strategicznego przeciwko ich celom geopolitycznym.

To zbieżenie potwierdziło naszą ocenę, że granice między eCrime a państwowymi wrogami są coraz bardziej zacierane. Przejście od samodzielnego ładunku do pełnoprawnej platformy występuje dokładnie na tym przecięciu, gdy zaczyna być wykorzystywane do zaawansowanych, strategicznych i intangible celów, które wykraczają poza oportunizm lub finansową korzyść. W tym stadium, przestaje służyć jednemu taktycznemu celowi i zamiast tego umożliwia wiele, czasem sprzecznych, operacyjnych celów. To sugeruje, że operatorzy traktują ładunek jako wielokrotnego użytku infrastrukturę, a nie zaprojektowaną bronią.

Ty obserwowałeś coraz bardziej zacierające się granice między działalnością państwową a wrogami eCrime. Z Twojej perspektywy, jakie są główne motywatory za tą konwergencją, i jak obrońcy powinni myśleć inaczej przy ocenianiu atrybucji i motywacji w tych przypadkach? 

Konwergencja między państwowymi i eCrime operacjami jest głównie napędzana przez czynniki pragmatyczne po obu stronach. Dla państwowych wrogów celem jest szybkie pozyskanie zdolności, które zostały już zwalidowane i udowodnione na polu bitwy. Wykorzystywanie istniejącego toolingu lub infrastruktury pozwala im na uzyskanie operacyjnej elastyczności bez poświęcania ogromnych zasobów na rozwój niestandardowych narzędzi od podstaw. Jeśli ładunek jest wytrzymały, skuteczny i dostępny, po co go odtwarzać? Z drugiej strony, dla operatorów eCrime dostęp do państwowych poziomów zasobów i infrastruktury, w tym wywiadu, danych docelowych i chronionych kanałów dystrybucji, umożliwia szybkie skalowanie zdolności przy gwarantowanym finansowym wsparciu i minimalnym ryzykiem.

RomCom exemplifies tej konwergencji. Początkowo złośliwe oprogramowanie komercyjne zaprojektowane do ułatwienia operacji ransomware, zostało później przyjęte w działaniach związanych z rosyjskimi interesami strategicznymi, celując w instytucje rządowe, jednostki wojskowe, organizacje humanitarne i podmioty związane z NATO. Nasza ocena wskazuje, że RomCom przeszedł od czysto profit-driven tool do narzędzia wykorzystywanego w państwowych operacjach, wspierając zarówno szpiegostwo, jak i operacje zakłócające. Ta ewolucja podkreśla kluczowy princip: niezależnie od tego, czy wróg jest motywowany finansowo czy politycznie, wpływ na ofiarę pozostaje taki sam. W tym kontekście, threat-informed defense staje się niezbedny. Organizacje powinny priorytetowo traktować walidację obron i wytrzymałości przeciwko realistycznym, obserwowanym zachowaniom, zamiast koncentrować się wyłącznie na atrybucji lub przypuszczalnej motywacji.

Czy mógłbyś powiedzieć, co RomCom ujawnia o konwergencji finansowych i geopolitycznych motywacji wśród wrogów? Konkretnie, jak interpretujesz rosnący trend państwowych grup wykorzystujących infrastrukturę eCrime jako instrumenty wpływu lub wiarygodnej nieodwołalności? 

RomCom demonstruje ewolucję grupy przestępczej, która utrzymywała długoterminową spójność operacyjną, jednocześnie stopniowo rozszerzając swoją sieć powiązań. W trakcie swojej aktywności ustanowił wyraźne połączenia z wieloma rodzinami ransomware, w szczególności z Cuba, Industrial Spy i Underground, odzwierciedlając głęboką integrację w ekosystemie eCrime. Z czasem przeszedł od ułatwiania dysruptywnych, ekstorsyjnych działań do wielofunkcyjnej platformy, która umożliwia i wspiera operacje szpiegowskie i wpływu. Jego utrzymanie focusu na ukraińskich instytucjach rządowych, personelu wojskowego, organizacjach humanitarnych pomagających uchodźcom i krajach związanymi z NATO demonstruje operacyjne wyrównanie z rosyjskimi interesami strategicznymi wokół wojny na Ukrainie. To nie jest oportunizm; reprezentuje celowe zbieranie wywiadu i długoterminowy dostęp do operacji. To samo złośliwe oprogramowanie, mechanizmy dostarczania i operacyjne tradecraft teraz wspierają zarówno szpiegostwo, jak i operacje ransomware.

RomCom również podkreśla szerszy wzorzec państwowych grup przyjmujących lub przerabiających infrastrukturę eCrime. Te narzędzia są udowodnione, skuteczne i służą jako wygodne narzędzia dla szerszych celów strategicznych. Rosja pozostaje przykładem: obszerna dokumentacja szczegółowo opisuje rosyjsko związane grupy przestępcze działające jako de facto rozszerzenia operacji państwowych lub będące bezpośrednio wykorzystywane do ich wspierania. Ten dynamiczny wzorzec ujawnia wzajemnie korzystną relację: operatorzy RomCom i ich afiliaci zyskują wpływ i finansowe korzyści, podczas gdy państwa uzyskują dostęp do zdolnych, nieodwołalnych aktywów. W pejzażu eCrime, lojalność jest transakcyjna, zakorzeniona w wpływie i zysku.

Ten model oferuje wyraźne strategiczne korzyści, co jest powodem, dla którego staje się coraz bardziej powszechny. Partnerstwa z przestępczością zapewniają państwom dostęp do zdolności bez bezpośredniej atrybucji, a wynikająca operacyjna niejasność komplikuje dyplomatyczne i prawne odpowiedzi. Rodziny złośliwego oprogramowania skutecznie stały się instrumentami sztuki wojennej, uzupełniając tradycyjne szpiegostwo za pomocą przestępczej infrastruktury, która jest nieodwołalna, skalowalna i samowystarczalna.

Nowoczesne złośliwe oprogramowanie często nie pozostaje ograniczone do jednej branży lub regionu. Co to sugeruje o priorytetach atakujących lub ograniczeniach, i czy są sektory lub geografie, które uważasz za “następne” do cross-domain expansion? 

Chociaż niektórzy wrogowie mogą sami nałożyć ograniczenia, wielu traktuje pilność i kryzysy jako dodatkowe wektory infekcji, przyspieszając infiltracje i wykorzystując rozproszone lub napięte obrony. Motywacja wpływa na celowanie, ale rzadko je ogranicza. Grupy finansowo motywowane priorytetowo traktują cele z wysokim potencjałem korzyści lub operacyjnymi zależnościami, takimi jak finanse, procesory płatności i duże przedsiębiorstwa z surowymi wymogami czasu pracy. Z drugiej strony, państwowe grupy koncentrują się na sektorach, które wspierają cele geopolityczne, w tym rząd, obronę i krytyczną infrastrukturę. Jednakże, nakładanie się motywacji jest coraz bardziej powszechne.

Taktiki “spray-and-pray” i komercjalizacja będą trwać. Modele Ransomware-as-a-Service (RaaS), komercyjne narzędzia i zautomatyzowane skanowanie umożliwiają finansowo motywowanym wrogom agresywnie rozszerzać swoje zestawy celów. Każda narażona, słabo broniona usługa jest potencjalnie w zakresie. Geograficzne rozszerzenie następuje zarówno po okazji, jak i po dojrzałości. Regiony przechodzące szybką transformację cyfrową, ale z ograniczoną dojrzałością cybernetyczną lub zdolnością do reagowania na incydenty, są atrakcyjne dla początkowej kompromitacji i operacji skalowania. Z drugiej strony, wysoko-wartościowe cele w dobrze bronionych regionach są często wpływane poprzez kompromitację łańcucha dostaw lub zewnętrzny dostęp. Patrząc w przyszłość, rozszerzenie jest prawdopodobne w regionach sąsiadujących z aktywnymi konfliktami geopolitycznymi, gdzie zbieranie wywiadu wspiera interesy strategiczne, a dojrzałość obrony wciąż pozostaje w tyle za zaawansowaniem wrogów.

Gdy tworzysz realistyczne emulacje wrogie, jakie są najtrudniejsze wyzwania techniczne, z którymi spotykasz się? Jak walidujesz, że te emulacje są wystarczająco reprezentatywne dla realnych zagrożeń, i czy są zachowania, które pozostają szczególnie trudne do symulacji w sposób niezawodny?

Jednym z najtrudniejszych wyzwań technicznych jest osiągnięcie wierności zachowania bez wprowadzania operacyjnego ryzyka. Emulacje muszą odtworzyć realne zachowania wystarczająco dokładnie, aby zwalidować wykrywanie i zapobieganie kontrolom, przy jednoczesnym pozostawaniu wystarczająco bezpiecznymi, aby mogły być uruchamiane w środowiskach produkcyjnych. To jest stały kompromis. Zbyt agresywne implementacje ryzykują destabilizację systemów lub produkcję niebezpiecznych fałszywych pozytywów/negatywów, podczas gdy zbyt ostrożne tracą wierność i użyteczność. Priorytetowo traktujemy emulowanie “punktów wąskich” wroga, kluczowych zachowań, które determinują, czy infiltracja powiedzie się, czy nie, i gdzie widoczność obronna i odpowiedź mają największe znaczenie. Poprzez skoncentrowanie wierności na tych decydujących zachowaniach, emulacje dostarczają najwyższej wartości zarówno dla pokrycia wykrywania, jak i walidacji wytrzymałości.

Niektóre techniki są celowo ograniczone lub pomijane, ponieważ stanowią niedopuszczalne ryzyko lub nie mogą być wiernie emulowane bez destabilizacji środowiska, które próbujemy chronić. Niepoprawna implementacja może sprawić, że będziesz testował coś, czego wróg nigdy nie robi, lub destabilizujesz system, który próbujesz chronić. Inne wyzwania wynikają z zachowań, które zależą od kontekstu środowiskowego lub wymagają uwierzytelnionego dostępu. Zachowania sieciowe są również ograniczone: na przykład, odtwarzamy wzorce protokołów i zachowania beaconingu dla C2 bez łączenia się z infrastrukturą malweru.

Tworzenie realistycznych emulacji jest więc iteracyjnym procesem inżynierskim: identyfikacja, dokumentacja, implementacja, testowanie, walidacja i doskonalenie. Każda iteracja balansuje wierność, bezpieczeństwo i operacyjną istotność, aby zapewnić, że emulacje są zarówno realistyczne, jak i wdrożone.

Spójrzając trzy do pięciu lat do przodu, jakie trendy w zaawansowaniu złośliwego oprogramowania, metodologii atakujących lub ekosystemach zagrożeń uważasz za najbardziej niepokojące lub interesujące, i jakie podstawowe kroki byś polecił organizacjom rozpoczynającym swoją podróż w threat-informed defense i emulacji wrogiej?

Jednym z najbardziej interesujących i niepokojących trendów jest rosnąca złożoność ekosystemów przestępczych. W ciągu ostatniej dekady, grupy eCrime rozszerzyły swój wpływ dramatycznie.

W poprzednich latach liczba uczestników była ograniczona, a ich wpływ był względnie marginalny. Dziś setki połączonych podmiotów współistnieją i współpracują, każdy wypełniając specjalistyczne role. Ta współzależność tworzy złożony, biznesowy ekosystem, który naśladuje legitymne rynki w strukturze i wydajności. Ekosystem ransomware jest tego doskonałym przykładem: dziesiątki aktywnych rodzin współistnieją, ewoluują i zastępują się nawzajem. Ten ciągły przepływ ujawnia splątane sieci relacji, które stają się coraz trudniejsze do rozplątania.

Innym definiującym trendem jest konwergencja między państwowymi i przestępczymi operacjami. Nie tylko na poziomie operacyjnym, ale również w rozwoju wspólnej infrastruktury i platform złośliwego oprogramowania. RomCom exemplifies tę ewolucję. Przeszedł od czysto profit-driven komercyjnego złośliwego oprogramowania do wielofunkcyjnej platformy wykorzystywanej w państwowych operacjach, wspierając zarówno szpiegostwo, jak i operacje wpływu. Jego celowanie w instytucje rządowe, personel wojskowy, organizacje humanitarne i podmioty związane z NATO demonstruje przesunięcie w kierunku instrumentu sztuki wojennej, wspierając rosyjskie cele wywiadowcze, jednocześnie zachowując swoją elastyczność eCrime.

Dla organizacji nowych w threat-informed defense, podstawowym krokiem jest przyjęcie ramy MITRE ATT&CK jako wspólnego języka do zrozumienia i dyskusji o zachowaniu wroga. ATT&CK zapewnia taksonomię behawioralną, która umożliwia obrońcom mapowanie wykrywania i kontroli bezpośrednio na techniki wrogie, zamiast statycznych wskaźników. Priorytetowo traktuj zachowania wykrywania zamiast podejść opartych na sygnaturach. Wskaźniki kompromitacji zmieniają się ciągle, ale techniki wrogie pozostają względnie stabilne, co jest zasadą ujętą w ramie Pyramid of Pain.

Dziękujemy za szczegółowe odpowiedzi, czytelnicy, którzy chcą dowiedzieć się więcej, powinni odwiedzić AttackIQ.

Related Topics:
mm

Antoine jest wizjonerskim liderem i współzałożycielem Unite.AI, z niezachwianą pasją do kształtowania i promowania przyszłości sztucznej inteligencji i robotyki. Jako serialowy przedsiębiorca, uważa, że sztuczna inteligencja będzie tak samo przełomowa dla społeczeństwa, jak elektryczność, i często zachwycany jest potencjałem technologie przełomowych i AGI. Jako futurysta, poświęca się badaniu, jak te innowacje ukształtują nasz świat. Ponadto jest założycielem Securities.io, platformy skupiającej się na inwestowaniu w najnowocześniejsze technologie, które przeobrażają przyszłość i zmieniają całe sektory.