Connect with us

Interviuri

Francis Guibernau, Inginer Senior de Cercetare a Adversarilor la AttackIQ – Seria de Interviuri

mm
Published
Updated

Francis Guibernau este Inginer Senior de Cercetare a Adversarilor și membru al Echipei de Cercetare a Adversarilor (ART) la AttackIQ. Francis efectuează cercetări aprofundate și analize ale amenințărilor pentru a proiecta și crea emulări ale adversarilor foarte sofisticate și realiste. El coordonează, de asemenea, proiectul de Informații despre Amenințările Cibernetice (CTI), care se concentrează pe cercetarea, analiza, urmărirea și documentarea adversarilor, a familiilor de malware și a incidentelor de securitate cibernetică. Francis are o experiență vastă în domeniul inteligenței adversarilor, cuprinzând atât amenințările statelor, cât și cele ale crimei organizate, precum și în evaluarea și gestionarea vulnerabilităților, având lucrat anterior la Deloitte și BNP Paribas.

AttackIQ este o firmă de securitate cibernetică care împuternicește organizațiile să treacă de la simpla asumare a apărării lor la o validare continuă și bazată pe date. Prin emularea tacticilor adversarilor utilizând modelul MITRE ATT&CK și oferind teste automate, sigure pentru producție, în medii cloud, hibride și on-premise, compania ajută la identificarea lacunelor de securitate în controale, procese și persoane, permițând liderilor să prioritizeze remedierea, să justifice investițiile și să treacă de la răspunsul reactiv la reziliența proactivă.

Cum ai devenit parte a domeniului securității cibernetice și de ce ai ales să te specializezi în Informații despre Amenințările Cibernetice? Cum a influențat CTI înțelegerea ta despre modul în care amenințările evoluează atât în ecosistemele statelor, cât și în cele ale crimei organizate?

Drumul meu în securitatea cibernetică nu a fost planificat; a apărut dintr-o oportunitate, mai degrabă decât dintr-un plan. A început când am intrat într-o organizație de securitate cibernetică matură, unde am lucrat în două domenii cheie: Evaluarea și Gestionarea Vulnerabilităților, și Informații despre Amenințările Cibernetice (CTI). Prin Gestionarea Vulnerabilităților, am câștigat o perspectivă a apărătorului — asigurându-mă că sistemele erau corect întreținute, actualizate și rezistente la atacuri. În cadrul CTI, am adoptat mentalitatea atacatorului, analizând motivațiile, obiectivele și capacitățile sale. Aici am devenit profund familiarizat cu Framework-ul MITRE ATT&CK, pe care l-am folosit pentru a documenta tacticile, tehnicile și procedurile (TTP) adversarilor și pentru a defini playbook-urile lor operaționale.

Această experiență duală mi-a oferit o înțelegere cuprinzătoare a modului în care apărătorii și atacatorii interacționează într-un ecosistem în continuă evoluție. CTI a devenit rapid o pasiune personală. Scopul său strategic de a înțelege cum operează adversarii, cum evoluează și cum se influențează unii pe alții a părut aproape predestinat. Sunt recunoscător că pot continua să lucrez în acest domeniu, observând și analizând complexitatea crescândă a peisajului global al amenințărilor, unde adversarii sponsorizați de state și cei ai crimei organizate, în ciuda motivațiilor distincte, intersectează și se influențează tot mai mult unii pe alții.

Privind în urmă, ce proiect sau experiență a marcat un punct de cotitură în cariera ta și a modelat perspectiva ta asupra securității cibernetice? 

Un moment crucial a fost când am început să cercetez și să documentez TTP-urile pe care adversarii și malware-ul le folosesc pentru a detecta și evita medii controlate. Această lucrare a devenit baza pentru “Conștientizarea Mediului“, un proiect de cercetare pe care l-am realizat împreună cu colega și prietenul meu, Ayelen Torello, cu care am ocazia să lucrez alături la AttackIQ. Cercetarea noastră s-a concentrat pe catalogarea metodelor pe care adversarii le folosesc pentru a recunoaște și evita medii sandboxate sau virtualizate, permițându-le să rămână nedetectați în timpul analizei automate. Teza de lucru rezultată a fost ulterior adoptată ca bază pentru tehnica “T1497 – Evaziunea Virtualizării/Sandbox-ului” în Framework-ul MITRE ATT&CK.

În timpul acestei investigații, am fost martorul evoluției continue a adversarilor, cu încărcăturile lor utile devenind tot mai sofisticate și capacitatea lor de a evita sistemele de detectare automate îmbunătățindu-se, sporind șansele de a compromite cu succes ținte reale. Această experiență a modelat fundamental înțelegerea mea despre adaptabilitatea adversarilor și ciclul de inovare continuă care definește amenințările moderne.

De la alăturarea la AttackIQ în 2021, în calitate de Inginer de Cercetare a Adversarilor și de conducător al inițiativei de Informații despre Amenințările Cibernetice, cum s-au schimbat responsabilitățile tale, și cum echilibrezi coordonarea proiectului CTI, cercetarea strategică a amenințărilor și dezvoltarea emulărilor adversarilor? 

Construirea programului de Informații despre Amenințările Cibernetice (CTI) la AttackIQ a fost o sarcină complexă. Trebuia să obținem vizibilitate pe un spectru larg de amenințări rapid. Ca furnizor de servicii, focusul nostru nu putea fi limitat la un singur sector, regiune sau națiune. În schimb, aveam nevoie de o bază de cunoștințe care să cuprindă atât adversari, de la cei sponsorizați de state la grupurile de crimă organizată, cât și malware, de la cel de uz general la familii personalizate. Odată ce baza a fost stabilită, am început să ne concentrăm pe ceea ce numesc “Greutăți”: entități foarte active și cu impact semnificativ care influențează multiple sectoare, regiuni și națiuni. Acest abordare ne permite să prioritizăm amenințările cele mai relevante pentru baza noastră de clienți.

Dată fiind evoluția rapidă a peisajului amenințărilor, echilibrarea colectării de informații, analizei amenințărilor și emulării adversarilor este în mod inerent complexă. Fiecare tip de emulare prezintă provocări distincte. Pe de o parte, emulările sponsorizate de state sunt, de obicei, foarte sofisticate, personalizate pentru obiective specifice, caracterizate prin timp de ședere prelungit și conduse de motivații politice. Reproducerea comportamentului lor necesită o analiză profundă, răbdare și precizie, făcându-le intelectual provocatoare și plăcute de emulat. Pe de altă parte, emulările crimei organizate sunt rapide și oportuniste. Acești adversari introduc tehnici noi, operează cu timpi de ședere mai scurți și, adesea, afectează multiple sectoare și regiuni. Utilizarea lor de unelte partajate, de uz general, și malware de uz general, cu TTP-uri care se suprapun între grupuri, face ca playbook-urile lor să fie dinamice și fascinante de reprodus.

Găsirea echilibrului potrivit este un proces strategic. Aliniem prioritățile de cercetare și emulare cu cerințele clienților și dezvoltările globale, incluzând tensiunile geopolitice, vulnerabilitățile critice recent descoperite și sfaturile de la organizații internaționale, cum ar fi Agenția pentru Securitate Cibernetică și Infrastructură (CISA) și Centrul Național pentru Securitate Cibernetică (NCSC). În cele din urmă, această muncă este un efort de echipă. Echipa de Cercetare a Adversarilor (ART) este alcătuită din indivizi incredibil de talentați, ale căror contribuții fac emulările realiste și sigure posibile. CTI este doar o parte a procesului; transformarea informațiilor în emulări autentice și controlate este o provocare complexă care necesită colaborare, precizie și angajament comun.

În cadrul Echipei de Cercetare a Adversarilor de la AttackIQ, cum este structurată și prioritizată cercetarea, și care au fost cele mai semnificative provocări în traducerea insight-urilor despre amenințări în emulări ale adversarilor realizabile?

Mai multe factori influențează modul în care prioritizăm cercetarea în cadrul Echipei de Cercetare a Adversarilor de la AttackIQ. Focusul nostru principal este de a emula adversarii care prezintă cel mai semnificativ risc pentru cea mai mare parte a clienților noștri, asigurându-ne că resursele sunt optimizate și concentrate către amenințările cu impact larg înainte de a aborda amenințări foarte specifice.

Acest spectru include atât adversari, cât și familii de malware observate în sălbăticie. Continuăm să urmărim o gamă largă de entități, cu prioritizarea condusă de nevoi operaționale, mai degrabă decât de directive prescriptive. Amenințările emergente provoacă adesea o reprioritizare rapidă. Tensiunile geopolitice crescute, creșterea raportărilor despre o vulnerabilitate critică specifică sau avizele concentrate ale CERT-ului ridică rapid subiectele în fruntea listei.

Una dintre principalele noastre provocări este menținerea unei prioritizări consistente și echilibrarea resurselor pentru a livra emulări realiste și sofisticate, asigurând în același timp eficiența și scalabilitatea pe parcursul ciclurilor de dezvoltare. Punem un accent puternic pe dezvoltarea unor comportamente largi și reutilizabile. Identificând similaritățile între adversari și familii de malware, ne concentrăm pe replicarea tehnicilor și procedurilor care apar consistent în multiple playbook-uri. Acestea pot fi apoi adaptate și integrate în alte emulări, permițând o flexibilitate și scalabilitate mai mare. Acest abordare ne permite să prioritizăm comportamente cu reutilizare și relevanță operațională ridicată, mai degrabă decât să investim puternic în implementări înguste și de unică folosință. producție constantă, livrând emulări flexibile, țintite și semnificative.

În cercetarea ta recentă RomCom, care au fost punctele cheie de inflexiune care au influențat transformarea sa dintr-o poartă de intrare de bază într-o platformă versatilă care susține atât spionajul, cât și extorsionarea financiară, și în ce circumstanțe malware-ul trece de la a fi o încărcătură utilă independentă la o platformă complet dezvoltată? 

Cazul RomCom este deosebit de fascinant, deoarece a apărut inițial în mai 2022 ca o poartă de intrare relativ simplă, proiectată în primul rând pentru acces la distanță și exfiltrare de date de bază. Primul punct de inflexiune major a avut loc doar o lună mai târziu, cu lansarea RomCom 2.0, care a introdus îmbunătățiri substanțiale care reflectau un instrument mai matur și orientat spre furt, optimizat pentru operațiuni de spionaj și persistență pe termen lung. Aceste actualizări au îmbunătățit semnificativ capacitățile de colectare și exfiltrare a datelor, semnalând o schimbare clară către un caz de utilizare mai strategic.

Următorul punct de inflexiune a venit cu introducerea RomCom 3.0 în februarie 2023, care a adoptat o arhitectură modulară structurată în trei componente de bază. A reprezentat un salt semnificativ în flexibilitate și funcționalitate, susținând 42 de comenzi distincte, multe dintre ele fiind variații subtile unele față de altele, subliniind focalizarea operatorului pe adaptabilitate și rafinament operațional.

Versiunile ulterioare au continuat să se concentreze pe rafinarea capacităților și pe îmbunătățirea rezilienței operaționale. De-a lungul timpului, RomCom a evoluat de la o poartă de intrare creată cu un scop specific la o infrastructură de malware de uz general, utilizată de grupurile de crimă organizată pentru a facilita diverse operațiuni criminale. Această evoluție a fost evidențiată de integrarea RomCom cu operațiunile de ransomware Cuba, Industrial Spy și Underground, indicând clar că a devenit încorporat într-un ecosistem adversar mai larg ca infrastructură partajată. Acestă adoptare pe scară largă a atras inevitabil atenția adversarilor aliniați cu interesele rusești, care au început să utilizeze RomCom ca o platformă polivalentă care susține atât spionajul, cât și operațiunile de influență strategică împotriva obiectivelor lor geopolitice.

Acestă convergență a confirmat evaluarea noastră că granițele dintre adversarii crimei organizate și cei ai statelor sunt din ce în ce mai estompate. Tranzitia de la o încărcătură utilă independentă la o platformă complet dezvoltată are loc exact la acestă intersecție, când începe să fie utilizată pentru obiective operaționale sofisticate, strategice și intangibile care se extind dincolo de oportunism sau câștig financiar. În acel stadiu, încetează să servească un singur scop tactic și începe să permită multiple, uneori contradictorii, obiective operaționale. Acest lucru sugerează că operatorii consideră încărcătura utilă ca o infrastructură reutilizabilă, mai degrabă decât un instrument creat cu un scop specific.

Ai observat granițe din ce în ce mai estompate între activitățile statelor și cele ale adversarilor crimei organizate. Din perspectiva ta, care sunt principalii factori care determină această convergență, și cum ar trebui apărătorii să gândească diferit atunci când evaluează atribuirea și motivația în aceste cazuri? 

Convergența dintre operațiunile statelor și cele ale crimei organizate este determinată în primul rând de factori pragmatici, atât pentru adversarii sponsorizați de state, cât și pentru cei ai crimei organizate. Pentru adversarii sponsorizați de state, obiectivul este să dobândească rapid capacități deja validate și dovedite pe câmpul de luptă. Utilizarea infrastructurii sau a uneltelor existente le permite să dobândească flexibilitate operațională fără a aloca resurse extinse pentru a dezvolta unelte personalizate de la zero. Dacă o încărcătură utilă este rezistentă, eficientă și disponibilă, de ce să o reinventezi? În schimb, pentru operatorii crimei organizate, accesul la resurse de nivel stat și infrastructură, inclusiv informații, date de țintă și canale de distribuție protejate, le permite să-și extindă rapid capacitățile, primind în același timp finanțare garantată cu risc minim.

RomCom exemplifică această convergență. Inițial, a apărut ca un malware de uz general, proiectat pentru a facilita operațiunile de ransomware, dar ulterior a fost adoptat în activități aliniate cu interesele strategice rusești, țintind instituții guvernamentale ucrainene, entități aliate NATO și organizații umanitare. Evaluarea noastră indică faptul că RomCom a trecut de la a fi un instrument pur financiar la a fi o utilitate versatilă, utilizată în operațiuni ale statului, susținând atât spionajul, cât și obiectivele de perturbare. Această evoluție subliniază un principiu cheie: indiferent dacă adversarul este motivat financiar sau politic, impactul asupra victimei rămâne același. În acest context, apărarea informată despre amenințări devine esențială. Organizațiile ar trebui să prioritizeze validarea apărărilor și a rezilienței împotriva comportamentelor realiste și observate, mai degrabă decât să se concentreze exclusiv pe atribuire sau motivație presupusă.

Ce revelează RomCom despre convergența motivațiilor financiare și geopolitice printre adversari? În mod specific, cum interpretați tendința crescândă a grupurilor aliniate cu statele de a utiliza infrastructuri de crimă organizată ca instrumente de influență sau de negare plauzibilă? 

RomCom demonstrează evoluția unui grup de crimă organizată care a menținut o consistență operațională pe termen lung, în timp ce și-a extins în mod constant rețeaua de afiliații. De-a lungul activității sale, a stabilit legături clare cu multiple familii de ransomware, în special Cuba, Industrial Spy și Underground, reflectând o integrare profundă în ecosistemul crimei organizate. În timp, a trecut de la a fi un facilitator al activităților disruptive și de extorsionare la o platformă polivalentă capabilă să susțină operațiuni de influență geopolitică. Focusul său pe instituții guvernamentale ucrainene, personal militar, organizații umanitare care asistă refugiații și țări aliate NATO demonstrează o aliniere operațională cu interesele strategice rusești legate de războiul din Ucraina. Acesta nu este un act de crimă oportunistă; reprezintă colectarea intenționată de informații și operațiuni de acces pe termen lung. Aceeași încărcătură utilă, mecanismele de livrare și tehnicile operaționale sunt acum utilizate atât pentru activități de spionaj, cât și pentru operațiuni de ransomware.

RomCom subliniază, de asemenea, un model mai larg de adoptare a uneltelor crimei organizate de către adversarii aliniați cu statele. Aceste unelte sunt dovedite, eficiente și servesc ca facilitatori convenabili pentru obiective strategice mai largi. Rusia rămâne un exemplu primar: raportările extinse detaliază grupuri criminale rusești care operează ca extensii de facto ale operațiunilor statului sau care sunt utilizate direct pentru a le susține. Acest lucru le permite statelor să externalizeze operațiuni denegabile, în special cele de natură disruptivă sau distructivă, către actori criminali, sau să absoarbă uneltele și infrastructura lor. În cele din urmă, această dinamică revelează o relație mutual avantajoasă: operatorii RomCom și afiliații lor câștigă influență și recompense financiare, în timp ce statele obțin acces la active capabile și denegabile. În peisajul crimei organizate, loialitatea este tranzacțională, înrădăcinată în influență și profit.

Acest model oferă avantaje strategice clare, ceea ce explică de ce devine tot mai comun. Parteneriatele cu crimele organizate oferă statelor acces și capacități fără atribuire directă, iar răspunsurile diplomatice și juridice sunt complicate de ambiguitatea operațională. Familii de malware au devenit, în esență, instrumente de stat, completând spionajul tradițional prin infrastructura criminală, care este denegabilă, escaladabilă și auto-susținută.

Malware-ul modern nu rămâne adesea limitat la o singură industrie sau regiune. Ce sugerează acest lucru despre prioritățile sau constrângerile atacatorilor, și există sectoare sau geografii pe care le considerați “următoarele” pentru extinderea transversală? 

Deși unii adversari pot să-și impună singuri constrângeri, mulți tratează urgența și crizele ca vectori suplimentari de infectare, accelerând intruziunile și exploatând apărări distrase sau slăbite. Motivația influențează țintirea, dar rareori o limitează. Grupurile motivate financiar prioritizează obiective cu potențial de plată ridicat sau dependențe operaționale, cum ar fi finanțe, procesatori de plăți și întreprinderi mari cu cerințe stricte de timp de funcționare. În contrast, grupurile aliniate cu statele se concentrează pe sectoare care promovează obiective geopolitice, incluzând guvern, apărare și infrastructură critică. Cu toate acestea, suprapunerea dintre aceste motivații este din ce în ce mai comună.

“Tactica de pulverizare și rugă” și comercializarea vor persista. Modelele Ransomware-as-a-Service (RaaS) și uneltele de uz general permit adversarilor motivați financiar să-și extindă agresiv setul de ținte. Orice serviciu expus, slab apărat, este potențial în scop. Expansiunea geografică urmează atât oportunității, cât și lacunelor de maturitate. Regiunile care suferă o transformare digitală rapidă, dar cu o capacitate limitată de securitate cibernetică sau de răspuns la incidente, sunt atractive pentru compromis inițial și operațiuni de escaladare. În schimb, țintele de valoare ridicată din regiunile bine apărate sunt adesea afectate prin compromiterea lanțului de aprovizionare sau prin acces externalizat. Privind spre viitor, extinderea este probabilă în regiunile adiacente conflictelor geopolitice active, unde colectarea de informații sprijină interesele strategice, iar maturitatea defensivă încă se află în urma sofisticării adversarilor.

Când creați emulări realiste ale adversarilor, care sunt cele mai dificile provocări tehnice pe care le întâmpinați? Cum validați faptul că aceste emulări sunt suficient de reprezentative pentru amenințările din lumea reală, și există comportamente care rămân deosebit de dificil de simulat în mod fiabil?

Una dintre cele mai dificile provocări tehnice este atingerea fidelității comportamentale fără a introduce riscuri operaționale. Emulările trebuie să reproducă comportamentele lumii reale cu suficientă precizie pentru a valida controalele de detectare și prevenire, în timp ce rămân suficient de sigure pentru a fi rulate în medii de producție. Acest compromis este constant. Implementările prea agresive riscă să destabilizeze sistemele sau să producă fals pozitive/negative periculoase, în timp ce cele prea precaute pierd fidelitate și utilitate. Ne concentrăm pe emularea “punctelor de strangulare” adversarilor, comportamentele critice care determină dacă o intruziune reușește sau eșuează, și unde vizibilitatea defensivă și răspunsul contează cel mai mult. Concentrându-ne fidelitatea pe aceste comportamente decisive, emulările oferă cea mai mare valoare atât pentru acoperirea detectării, cât și pentru validarea rezilienței.

Anumite tehnici sunt intenționat limitate sau omise, deoarece prezintă riscuri inacceptabile sau nu pot fi emulate cu fidelitate fără a compromite mediul. O implementare ușor greșită poate testa ceva ce adversarul nu face realmente sau poate destabiliza sistemul pe care încerci să-l protejezi. Alte provocări provin din comportamente care depind de contextul mediului sau necesită acces autentificat. Comportamentele rețelei sunt, de asemenea, limitate: de exemplu, reproducem modelele de protocol și comportamentele de semnalizare C2 fără a ne conecta la infrastructura malignă.

Crearea emulărilor realiste este, prin urmare, un proces de inginerie iterativă: identificare, documentare, implementare, testare, validare și rafinare. Fiecare iterație echilibrează fidelitatea, siguranța și relevanța operațională pentru a asigura că emulările sunt atât realiste, cât și deployabile.

Privind spre următorii trei până la cinci ani, care sunt tendințele în sofisticarea malware-ului, metodologia atacatorilor sau ecosistemele de amenințări pe care le găsiți cel mai îngrijorător sau fascinant, și care sunt pașii fondatori pe care i-ați recomanda organizațiilor care își încep călătoria în apărarea informată despre amenințări și emularea adversarilor?

Una dintre tendințele cele mai fascinante și îngrijorătoare este creșterea sofisticării ecosistemelor de crimă organizată. În ultimul deceniu, actorii crimei organizate și-au extins influența în mod semnificativ.

În anii precedenți, numărul participanților era limitat, iar influența lor era relativ marginală. Astăzi, sute de entități interconectate coexistă și colaborează, fiecare îndeplinind roluri specializate. Această interdependență formează un ecosistem complex, business-orientat, care imită piețele legitime în structură și eficiență. Ecosistemul ransomware ilustrează perfect acest lucru: zeci de familii active coexistă, evoluează și se succed una alteia. Această schimbare constantă revelează o rețea complexă de relații care devine din ce în ce mai dificil de descâlcit.

O altă tendință definitorie este convergența dintre operațiunile statelor și cele ale crimei organizate. Nu doar la nivel operațional, ci și în dezvoltarea infrastructurii și a platformelor de malware partajate. RomCom exemplifică această evoluție. A trecut de la a fi un malware de uz general la a deveni o utilitate versatilă, utilizată în operațiuni aliniate cu interesele rusești, susținând atât spionajul, cât și influența strategică, în timp ce păstrează versatilitatea crimei organizate.

Pentru organizațiile care sunt noi în apărarea informată despre amenințări, pasul fondator este de a adopta Framework-ul MITRE ATT&CK ca limbajul comun pentru înțelegerea și discutarea comportamentului adversarilor. ATT&CK oferă o taxonomie comportamentală care permite apărătorilor să asocieze direct detectarea și controalele cu tehnici ale atacatorilor, mai degrabă decât indicatori statici. Prioritizați detectarea comportamentală în locul abordărilor bazate pe semnături. Indicatorii de compromis se schimbă constant, dar tehnicile adversarilor rămân relativ stabile, un principiu capturat în cadrul framework-ului Pyramid of Pain.

Related Topics:
mm

Antoine este un lider vizionar și partener fondator al Unite.AI, condus de o pasiune neclintita pentru a da forma și a promova viitorul inteligenței artificiale și al roboticii. Un antreprenor serial, el crede că inteligența artificială va fi la fel de disruptivă pentru societate ca și electricitatea, și este adesea prins vorbind cu entuziasm despre potențialul tehnologiilor disruptive și al inteligenței artificiale generale.

Ca futurist, el este dedicat explorării modului în care aceste inovații vor modela lumea noastră. În plus, el este fondatorul Securities.io, o platformă axată pe investiții în tehnologii de ultimă generație care redefinesc viitorul și reshapă întregi sectoare.