Connect with us

Francis Guibernau, Engenheiro de Pesquisa de Adversários Sênior na AttackIQ – Série de Entrevistas

Entrevistas

Francis Guibernau, Engenheiro de Pesquisa de Adversários Sênior na AttackIQ – Série de Entrevistas

mm
Published
Updated

Francis Guibernau é um Engenheiro de Pesquisa de Adversários Sênior e membro da Equipe de Pesquisa de Adversários (ART) da AttackIQ. Francis realiza pesquisas e análises de ameaças em profundidade para projetar e criar emulações de adversários altamente sofisticadas e realistas. Ele também coordena o projeto de Inteligência de Ameaças Cibernéticas (CTI), que se concentra em pesquisar, analisar, rastrear e documentar adversários, famílias de malware e incidentes de segurança cibernética. Francis tem experiência extensa em inteligência de adversários, abrangendo tanto ameaças de Estado quanto de crime cibernético, bem como em avaliação e gerenciamento de vulnerabilidades, tendo trabalhado anteriormente na Deloitte e no BNP Paribas.

AttackIQ é uma empresa de segurança cibernética que permite que as organizações vá além de meras suposições sobre suas defesas para uma validação contínua e baseada em dados. Ao emular táticas de adversários usando o modelo MITRE ATT&CK® e oferecer testes automatizados e seguros em produção em ambientes de nuvem, híbridos e locais, a empresa ajuda a revelar lacunas de segurança nos controles, processos e pessoas — permitindo que os líderes priorizem a remediação, justifiquem investimentos e mudem de uma resposta cibernética reativa para uma resiliência proativa.

Como você se tornou parte do campo de segurança cibernética, e por que você escolheu se especializar em Inteligência de Ameaças Cibernéticas? Como a CTI moldou sua compreensão de como as ameaças evoluem em ambos os ecossistemas de Estado e crime?

Minha entrada no campo de segurança cibernética não foi planejada; aconteceu por oportunidade em vez de design. Começou quando eu me juntei a uma organização de segurança cibernética madura, onde trabalhei em duas áreas-chave: Avaliação e Gerenciamento de Vulnerabilidades, e Inteligência de Ameaças Cibernéticas (CTI). Através do Gerenciamento de Vulnerabilidades, eu ganhei uma perspectiva de defensor — garantindo que os sistemas fossem mantidos, corrigidos e resilientes contra ataques. Dentro da CTI, eu adotei a mentalidade do atacante, analisando suas motivações, objetivos e capacidades. Foi aqui que me tornei profundamente familiarizado com o Quadro de Trabalho MITRE ATT&CK, que usei para documentar Táticas, Técnicas e Procedimentos (TTPs) de adversários e definir seus playbooks operacionais.

Essa experiência dupla me deu uma compreensão abrangente de como os defensores e os atacantes interagem dentro de um ecossistema em constante evolução. A CTI rapidamente se tornou uma paixão pessoal. Seu propósito estratégico de entender como os adversários operam, evoluem e influenciam uns aos outros sentiu-se quase predestinado. Estou grato por continuar trabalhando dentro dessa disciplina, observando e analisando a complexidade crescente do cenário de ameaças globais, onde os adversários patrocinados pelo Estado e o crime cibernético, apesar de suas motivações distintas, cada vez mais se intersectam e moldam as operações uns dos outros.

Olhando para trás, qual projeto ou experiência específica marcou um ponto de inflexão em sua carreira e moldou sua perspectiva em segurança cibernética? 

Um momento crucial veio quando comecei a pesquisar e documentar as TTPs que os adversários e o malware usam para detectar e evitar ambientes controlados. Esse esforço se tornou a base para “Conscientização Ambiental“, um projeto de pesquisa que conduzi com meu colega e amigo Ayelen Torello, com quem agora tenho a oportunidade de trabalhar ao lado na AttackIQ. Nossa pesquisa se concentrou em catalogar os diferentes métodos que os adversários empregam para reconhecer e evitar ambientes sandbox ou virtualizados, permitindo que permaneçam indetectados durante a análise automatizada. O whitepaper resultante foi posteriormente adotado como a base para a técnica “T1497 – Evasão de Virtualização/Sandbox” no Quadro de Trabalho MITRE ATT&CK.

Durante essa investigação, testemunhei a evolução contínua dos adversários, com suas cargas se tornando cada vez mais sofisticadas e sua capacidade de evadir sistemas de detecção automatizados melhorando, aumentando suas chances de comprometer com sucesso alvos reais. Essa experiência fundamentalmente moldou minha compreensão da adaptabilidade do adversário e do ciclo de inovação contínua que define ameaças modernas.

Desde que se juntou à AttackIQ em 2021 como Engenheiro de Pesquisa de Adversários e liderou o estabelecimento da iniciativa de Inteligência de Ameaças Cibernéticas, como suas responsabilidades evoluíram, e como você equilibra a coordenação do projeto CTI, pesquisa de ameaças estratégica e desenvolvimento de emulações de adversários? 

Construir o programa de Inteligência de Ameaças Cibernéticas (CTI) na AttackIQ foi uma tarefa complexa. Necessitávamos alcançar visibilidade em um amplo espectro de ameaças rapidamente. Como provedor de serviços, nosso foco não podia ser limitado a um único setor, região ou nação. Em vez disso, precisávamos de uma base de conhecimento que abrangesse tanto adversários, desde patrocinados pelo Estado até grupos de crime cibernético, quanto malware, desde commodity até famílias personalizadas. Uma vez que a fundação foi estabelecida, começamos a nos concentrar no que eu chamo de “Peso-Pesados”: entidades altamente ativas e impactantes que influenciam múltiplos setores, regiões e nações. Essa abordagem nos permite priorizar ameaças mais relevantes para nossa base de clientes.

Dada a paisagem de ameaças em rápida evolução, equilibrar coleta de inteligência, análise de ameaças e emulação de adversários é intrinsicamente complexo. Cada tipo de emulação apresenta desafios distintos. Por um lado, emulações de nações-estado são tipicamente altamente sofisticadas, personalizadas para objetivos específicos, caracterizadas por tempos de permanência estendidos e impulsionadas por motivações políticas. Reproduzir seu comportamento requer análise profunda, paciência e precisão, tornando-as intelectualmente desafiadoras e gratificantes para emular. Por outro lado, emulações de crime cibernético são rápidas e oportunistas. Esses adversários introduzem novas técnicas, operam com tempos de permanência mais curtos e frequentemente impactam múltiplos setores e regiões. Seu uso de ferramentas compartilhadas, personalizadas e malware commodity, com TTPs sobrepostos entre grupos, torna seus playbooks dinâmicos e fascinantes para reproduzir.

Encontrar o equilíbrio certo é um processo estratégico. Alinhamos prioridades de pesquisa e emulação com requisitos do cliente e desenvolvimentos globais, incluindo tensões geopolíticas, vulnerabilidades críticas recentemente divulgadas e avisos de organizações internacionais, como a Agência de Segurança Cibernética e Infraestrutura (CISA) e o Centro Nacional de Segurança Cibernética (NCSC). Em última análise, esse trabalho é um esforço de equipe. A Equipe de Pesquisa de Adversários (ART) é composta por indivíduos incrivelmente talentosos cujas contribuições tornam emulações realistas e seguras possíveis. A CTI é apenas uma peça do processo; transformar inteligência em emulações autênticas e controladas é um desafio complexo que requer colaboração, precisão e compromisso compartilhado.

Dentro da Equipe de Pesquisa de Adversários da AttackIQ, como a pesquisa é estruturada e priorizada, e quais foram os principais desafios em traduzir insights de inteligência de ameaças em emulações de adversários ações?

Vários fatores influenciam como priorizamos a pesquisa dentro da Equipe de Pesquisa de Adversários da AttackIQ. Nosso foco principal é emular adversários que representam o maior risco para o maior segmento de nossos clientes, garantindo que os recursos sejam otimizados e concentrados em ameaças de impacto amplo antes de abordar ameaças altamente específicas.

Esse escopo inclui tanto adversários quanto famílias de malware observadas no mundo real. Continuamente rastreamos uma ampla gama de entidades, com priorização impulsionada por necessidade operacional em vez de diretrizes prescritas. Ameaças emergentes frequentemente promovem uma rápida repriorização. Tensões geopolíticas crescentes, aumento de relatórios sobre uma vulnerabilidade específica e crítica, ou avisos concentrados de CERT rapidamente elevam tópicos ao topo da fila.

Um de nossos principais desafios é manter a priorização consistente e equilibrar recursos para entregar emulações realistas e sofisticadas, garantindo eficiência e escalabilidade em ciclos de desenvolvimento. Colocamos forte ênfase no desenvolvimento de comportamentos amplos e reutilizáveis. Ao identificar semelhanças entre adversários e famílias de malware, nos concentramos em replicar técnicas e procedimentos que consistentemente aparecem em múltiplos playbooks. Esses podem então ser adaptados e integrados em outras emulações, permitindo maior flexibilidade e escalabilidade. Essa abordagem nos permite priorizar comportamentos com alta reutilização e relevância operacional em vez de investir pesadamente em implementações estreitas e de uso único. produção constante, entregando emulações flexíveis, direcionadas e significativas.

Em sua pesquisa recente sobre RomCom, quais foram os principais pontos de inflexão que influenciaram sua transformação de uma porta dos fundos básica em uma plataforma versátil que suporta tanto espionagem quanto extorsão financeira, e sob quais circunstâncias o malware transita de uma carga standalone para uma plataforma totalmente desenvolvida? 

O caso de RomCom é particularmente fascinante porque apareceu pela primeira vez em maio de 2022 como uma porta dos fundos relativamente simples projetada principalmente para acesso remoto e exfiltração de dados básica. O primeiro ponto de inflexão importante ocorreu apenas um mês depois com o lançamento de RomCom 2.0, que introduziu melhorias substanciais que refletiam uma ferramenta mais madura e orientada à furtividade, otimizada para operações de espionagem e persistência de longo prazo. Essas atualizações melhoraram significativamente as capacidades de coleta e exfiltração de dados, sinalizando uma mudança clara para um uso mais estratégico.

O próximo ponto de inflexão veio com a introdução de RomCom 3.0 em fevereiro de 2023, que adotou uma arquitetura modular estruturada em três componentes principais. Representou um salto significativo em flexibilidade e funcionalidade, suportando 42 comandos distintos, muitos dos quais eram variações sutis uns dos outros, destacando o foco do operador na adaptabilidade e refinamento operacional.

Versões subsequentes continuaram a se concentrar em refinar capacidades e melhorar a resiliência operacional. Com o tempo, RomCom evoluiu de uma porta dos fundos personalizada para uma plataforma de malware de commodity utilizada por grupos de crime cibernético, que a integraram em seus playbooks para permitir e facilitar operações criminais diversas. Essa evolução foi evidenciada pela integração de RomCom com as operações de ransomware Cuba, Industrial Spy e Underground, claramente indicando que havia se tornado infraestrutura compartilhada dentro de um ecossistema adversário mais amplo. Essa adoção generalizada inevitavelmente atraiu a atenção de adversários alinhados com o Estado, particularmente aqueles alinhados com interesses russos, que começaram a usar RomCom como uma plataforma polivalente que suporta operações de espionagem e influência estratégica contra seus objetivos geopolíticos.

Essa convergência confirmou nossa avaliação de que as fronteiras entre adversários de crime cibernético e Estado estão cada vez mais desfocadas. A transição de uma carga standalone para uma plataforma totalmente desenvolvida ocorre exatamente nessa interseção, quando começa a ser utilizada para objetivos operacionais sofisticados, estratégicos e intangíveis que vão além do oportunismo ou do ganho financeiro. Nesse estágio, deixa de servir a um único propósito tático e, em vez disso, permite múltiplos, às vezes contraditórios, objetivos operacionais. Isso sugere que os operadores veem a carga como uma infraestrutura reutilizável em vez de uma arma personalizada.

Você observou fronteiras cada vez mais desfocadas entre a atividade do Estado e os adversários de crime cibernético. Do seu ponto de vista, quais são os principais impulsionadores por trás dessa convergência, e como os defensores devem pensar de forma diferente ao avaliar a atribuição e a motivação nesses casos? 

A convergência entre as operações do Estado e do crime cibernético é impulsionada principalmente por fatores pragmáticos em ambos os lados. Para os adversários patrocinados pelo Estado, o objetivo é adquirir rapidamente capacidades já validadas e comprovadas no campo de batalha. Utilizar ferramentas ou infraestrutura existentes permite que obtenham flexibilidade operacional sem dedicar recursos extensivos para desenvolver ferramentas personalizadas do zero. Se uma carga é resiliente, eficaz e disponível, por que reinventá-la? Por outro lado, para os operadores de crime cibernético, o acesso a recursos e infraestrutura de nível estatal, incluindo inteligência, dados de destino e canais de distribuição protegidos, permite a escalada rápida de capacidades enquanto recebem financiamento garantido com mínimo risco.

RomCom exemplifica essa convergência. Inicialmente, um malware de commodity projetado para facilitar operações de ransomware, mais tarde foi adotado em atividades alinhadas com interesses estratégicos russos, visando instituições governamentais ucranianas, pessoal militar, organizações humanitárias e entidades alinhadas com a OTAN. Nossa avaliação indica que RomCom transitou de uma ferramenta impulsionada puramente por ganho financeiro para uma utilidade utilizada em operações do Estado, apoiando tanto objetivos de espionagem quanto de interrupção.

Essa evolução destaca um princípio-chave: independentemente de o adversário ser motivado financeiramente ou politicamente, o impacto na vítima permanece o mesmo. Nesse contexto, a defesa informada por ameaças se torna essencial. As organizações devem priorizar a validação de defesas e resiliência contra comportamentos realistas e observados, em vez de se concentrar exclusivamente na atribuição ou motivação presumida.

O que RomCom revela sobre a convergência de motivações financeiras e geopolíticas entre os adversários? Especificamente, como você interpreta a tendência crescente de grupos alinhados com o Estado que utilizam infraestruturas de crime cibernético como instrumentos de influência ou deniabilidade plausível? 

RomCom demonstra a evolução de um grupo de crime cibernético que manteve consistência operacional de longo prazo, enquanto expandia continuamente sua rede de afiliações. Ao longo de sua atividade, estabeleceu conexões claras com várias famílias de ransomware, especificamente Cuba, Industrial Spy e Underground, refletindo uma integração profunda dentro do ecossistema de crime cibernético. Com o tempo, transitou de um facilitador de atividades disruptivas e baseadas em extorsão para uma plataforma polivalente capaz de apoiar operações de influência geopolítica. Sua foco contínuo em instituições governamentais ucranianas, pessoal militar, organizações humanitárias que assistem refugiados e países alinhados com a OTAN demonstra operacionalmente alinhamento com interesses estratégicos russos em torno da guerra na Ucrânia. Isso não é crime oportunista; representa coleta de inteligência deliberada e operações de acesso de longo prazo. A mesma carga, mecanismos de entrega e tradecraft operacional agora suportam tanto atividades de espionagem quanto de ransomware.

RomCom também destaca um padrão mais amplo de adversários alinhados com o Estado adotando ou reutilizando ferramentas de crime cibernético. Essas ferramentas são comprovadas, eficazes e servem como facilitadores convenientes para objetivos estratégicos mais amplos. A Rússia permanece um exemplo primário: relatórios extensivos detalham grupos criminais russos operando como extensões de facto de operações estatais ou sendo diretamente utilizados para apoiá-las. Isso permite que os estados terceirizem operações deniáveis, particularmente aquelas de natureza disruptiva ou destrutiva, para atores criminais, ou absorvam sua infraestrutura e ferramentas. Em última análise, essa dinâmica revela uma relação mutuamente benéfica: os operadores de RomCom e seus afiliados ganham influência e recompensas financeiras, enquanto os estados obtêm acesso a ativos capazes e deniáveis. No cenário de crime cibernético, a lealdade é transacional, enraizada na influência e no lucro.

Esse modelo oferece vantagens estratégicas claras, o que é por que está se tornando cada vez mais comum. Parcerias criminais fornecem aos estados acesso e capacidade sem atribuição direta, e a resultante ambiguidade operacional complica respostas diplomáticas e legais. Famílias de malware efetivamente se tornaram instrumentos de estado, aumentando, em vez de substituir, espionagem tradicional por meio de infraestrutura criminal deniável, escalável e auto-sustentável.

Malware moderno frequentemente não se limita a uma indústria ou região. O que isso sugere sobre as prioridades ou restrições do atacante, e há setores ou geografias que você acredita que são “próximas” para expansão transdomínio? 

Embora alguns adversários possam impor restrições a si mesmos, muitos tratam a urgência e as crises como vetores de infecção adicionais, acelerando intrusões e explorando defesas distraídas ou estressadas. A motivação influencia o direcionamento, mas raramente o limita. Grupos motivados financeiramente priorizam objetivos com alto potencial de pagamento ou dependência operacional, como finanças, processadores de pagamento e grandes empresas com requisitos de uptime estritos. Em contraste, grupos alinhados com o Estado se concentram em setores que avançam objetivos geopolíticos, incluindo governo, defesa e infraestrutura crítica. No entanto, a sobreposição entre essas motivações é cada vez mais comum.

Táticas de “spray-and-pray” e a commoditização persistirão. Modelos de Ransomware como Serviço (RaaS), ferramentas de commodity e varreduras automatizadas permitem que adversários motivados financeiramente ampliem seus conjuntos de alvos agressivamente. Qualquer serviço exposto, mal defendido, é potencialmente em escopo. A expansão geográfica segue tanto a oportunidade quanto as lacunas de maturidade. Regiões que passam por uma transformação digital rápida, mas com capacidade de resposta a incidentes e maturidade cibernética limitadas, são atraentes para comprometimento inicial e operações de escalonamento. Por outro lado, alvos de alto valor em regiões bem defendidas são frequentemente impactados por meio de comprometimento de cadeia de suprimentos ou acesso terceirizado. Olhando para o futuro, a expansão é provável em regiões adjacentes a conflitos geopolíticos ativos, onde a coleta de inteligência apoia interesses estratégicos e a maturidade defensiva ainda é superada pela sofisticação do adversário.

Quando criando emulações de adversários realistas, quais são os desafios técnicos mais difíceis que você encontra? Como você valida que essas emulações são suficientemente representativas de ameaças do mundo real, e há comportamentos que permanecem especialmente difíceis de simular de forma confiável?

Um dos desafios técnicos mais difíceis é alcançar fidelidade de comportamento sem introduzir risco operacional. As emulações devem replicar comportamentos do mundo real com precisão suficiente para validar controles de detecção e prevenção, enquanto permanecem seguras o suficiente para serem executadas em ambientes de produção. Essa troca é constante. Implementações excessivamente agressivas arriscam desestabilizar sistemas ou produzir falsos positivos/negativos perigosos, enquanto implementações excessivamente cautelosas perdem fidelidade e utilidade. Priorizamos emular os “pontos de estrangulamento” do adversário, os comportamentos críticos que determinam se uma intrusão tem sucesso ou falha, e onde a visibilidade e a resposta defensiva importam mais. Ao focar a fidelidade nesses comportamentos decisivos, as emulações entregam o maior valor tanto para cobertura de detecção quanto para validação de resiliência.

Algumas técnicas são intencionalmente limitadas ou omitidas porque representam um risco inaceitável ou não podem ser emuladas com fidelidade sem danificar o ambiente. Se uma implementação for ligeiramente errada, você estará testando algo que o adversário nunca realmente faz ou desestabilizando o sistema que você está tentando proteger. Outros desafios surgem de comportamentos que dependem do contexto ambiental ou exigem acesso autenticado. Comportamentos em rede também são constrangidos: por exemplo, reproduzimos padrões de protocolo e comportamentos de sinalização para C2 sem conectar a infraestrutura maliciosa.

Criar emulações realistas é, portanto, um processo de engenharia iterativo: identificar, documentar, implementar, testar, validar e refinar. Cada iteração equilibra fidelidade, segurança e relevância operacional para garantir que as emulações sejam tanto realistas quanto implantáveis.

Olhando três a cinco anos à frente, quais tendências em sofisticação de malware, metodologia de atacante ou ecossistemas de ameaças você acha mais preocupantes ou intrigantes, e quais passos fundamentais você recomendaria para organizações que estão começando sua jornada em defesa informada por ameaças e emulação de adversários?

Uma das tendências mais intrigantes e preocupantes é o aumento da sofisticação dos ecossistemas de crime cibernético. Ao longo da última década, atores de crime cibernético expandiram sua influência dramaticamente.

Nos anos anteriores, o número de participantes era limitado, e sua influência era comparativamente marginal. Hoje, centenas de entidades interconectadas coexistem e colaboram, cada uma desempenhando papéis especializados. Essa interdependência forma um ecossistema complexo, business-oriented, que espelha mercados legítimos em estrutura e eficiência. O ecossistema de ransomware exemplifica isso perfeitamente: dezenas de famílias ativas coexistem, evoluem e sucedem umas às outras. Essa constante mudança revela uma teia complexa de relacionamentos que é cada vez mais difícil de desembaralhar.

Outra tendência definidora é a convergência entre operações de Estado e crime cibernético. Não apenas no nível operacional, mas também no desenvolvimento de infraestrutura e plataformas de malware compartilhadas. RomCom exemplifica essa evolução. Transitou de uma commodity puramente impulsionada por lucro para uma utilidade versátil utilizada em operações do Estado, apoiando tanto objetivos de espionagem quanto de influência estratégica, enquanto reteve sua versatilidade de crime cibernético.

Para organizações mais novas na defesa informada por ameaças, o passo fundamental é adotar o Quadro de Trabalho MITRE ATT&CK como a linguagem compartilhada para entender e discutir comportamento de adversários. O ATT&CK fornece uma taxonomia comportamental que permite que os defensores mapeiem detecções e controles diretamente para técnicas de atacantes, em vez de indicadores estáticos. Priorize detecção comportamental em vez de abordagens baseadas em assinatura. Indicadores de comprometimento mudam constantemente, mas as técnicas de adversários permanecem relativamente estáveis, um princípio capturado no framework da Pirâmide de Dor.

mm

Antoine é um líder visionário e sócio-fundador da Unite.AI, impulsionado por uma paixão inabalável em moldar e promover o futuro da IA e da robótica. Um empreendedor serial, ele acredita que a IA será tão disruptiva para a sociedade quanto a eletricidade, e é frequentemente pego falando sobre o potencial das tecnologias disruptivas e da AGI. Como um futurista, ele está dedicado a explorar como essas inovações moldarão nosso mundo. Além disso, ele é o fundador da Securities.io, uma plataforma focada em investir em tecnologias de ponta que estão redefinindo o futuro e remodelando setores inteiros.