Інтерв’ю
Франсіс Гіберно, старший інженер з дослідження загроз у AttackIQ – інтерв’ю
Франсіс Гіберно — старший інженер з дослідження загроз і член команди Adversary Research Team (ART) у AttackIQ. Франсіс проводить поглиблені дослідження та аналіз загроз для проектування та створення високоскладних і реалістичних емуляцій дій противника. Він також координує проект Cyber Threat Intelligence (CTI), який зосереджений на дослідженні, аналізі, відстеженні та документуванні діянь противників, сімейств шкідливого ПЗ та кібербезпекових інцидентів. Франсіс має значний досвід у розвідці загроз, що охоплює як загрози державного рівня, так і eCrime, а також у оцінці та управлінні вразливостями, раніше працював у Deloitte та BNP Paribas.
AttackIQ — це кібербезпекова компанія, яка надає організаціям можливість вийти за межі припущень щодо своєї оборони до постійної, керованої даними валідації. Емулюючи тактику противника з використанням моделі MITRE ATT&CK® та пропонуючи автоматизоване, безпечне для продуктивних середовищ тестування в хмарних, гібридних та локальних середовищах, компанія допомагає виявляти прогалини в засобах захисту, процесах та роботі персоналу — дозволяючи керівникам визначати пріоритети виправлення, обґрунтовувати інвестиції та переходити від реактивного кіберзахисту до проактивної стійкості.
Як ви потрапили в сферу кібербезпеки та чому ви вирішили спеціалізуватися на Cyber Threat Intelligence? Як CTI сформувало ваше розуміння того, як загрози розвиваються в екосистемах як державного рівня, так і злочинного світу?
Мій шлях у кібербезпеку не був запланованим; це сталося завдяки можливості, а не наміру. Все почалося, коли я приєднався до зрілої кібербезпечної організації, де працював у двох ключових напрямках: Оцінка та управління вразливостями та Cyber Threat Intelligence (CTI). Через управління вразливостями я отримав перспективу захисника — забезпечуючи належне обслуговування, виправлення та стійкість систем до атак. У рамках CTI я прийняв мислення нападника, аналізуючи його мотиви, цілі та можливості. Саме тут я глибоко ознайомився з MITRE ATT&CK Framework, який використовував для документування тактик, технік і процедур (TTP) противника та визначення їх операційних сценаріїв.
Цей подвійний досвід дав мені всебічне розуміння того, як захисники та нападники взаємодіють у постійно еволюціонуючій екосистемі. CTI швидко стало особистою пристрастю. Його стратегічна мета — розуміти, як діють, розвиваються та впливають один на одного противники — відчувалася майбо призначеною. Я вдячний за можливість продовжувати працювати в цій дисципліні, спостерігаючи та аналізуючи зростаючу складність глобального ландшафту загроз, де державні та eCrime противники, незважаючи на різні мотиви, все більше перетинаються та формують операції один одного.
Озираючись назад, який конкретний проект або досвід став поворотним моментом у вашій кар’єрі та сформував вашу перспективу в кібербезпеці?
Ключовим моментом стало те, коли я почав досліджувати та документувати TTP, які противники та шкідливе ПЗ використовують для виявлення та уникнення контрольованих середовищ. Ця робота стала основою для “Environment Awareness“, дослідницького проекту, який я проводив разом з моєю колегою та подругою Аєлен Торелло, з якою зараз маю можливість працювати в AttackIQ. Наше дослідження зосереджувалося на каталогізації різних методів, які використовують противники для розпізнавання та уникнення пісочниць або віртуалізованих середовищ, що дозволяє їм залишатися непоміченими під час автоматизованого аналізу. Отриманий технічний документ згодом був прийнятий як основа для техніки “T1497 – Virtualization/Sandbox Evasion” у MITRE ATT&CK Framework.
Під час цього розслідування я став свідком постійної еволюції противників: їхні корисні навантаження ставали все складнішими, а здатність ухилятися від автоматизованих систем виявлення покращувалася, підвищуючи їхні шанси на успішне компрометування реальних цілей. Цей досвід фундаментально сформував моє розуміння адаптивності противника та постійного циклу інновацій, що визначає сучасні загрози.
З того часу, як ви приєднались до AttackIQ у 2021 році на посаді інженера з дослідження загроз і очолили створення ініціативи Cyber Threat Intelligence, як змінилися ваші обов’язки, і як ви балансуєте координацію проекту CTI, стратегічні дослідження загроз та розробку емуляцій дій противника?
Побудова програми Cyber Threat Intelligence (CTI) в AttackIQ була складною задачею. Нам потрібно було швидко досягти видимості широкого спектру загроз. Як постачальник послуг, ми не могли обмежуватися одним сектором, регіоном чи країною. Натомість нам потрібна була база знань, що охоплює як противників — від державних до eCrime груп, так і шкідливе ПЗ — від масового до спеціально розроблених сімейств. Після закладення основи ми почали зосереджуватися на тому, що я називаю “Важковаговиками”: високоактивних та впливових суб’єктах, які впливають на кілька секторів, регіонів і країн. Такий підхід дозволяє нам пріоритезувати загрози, найбільш актуальні для нашої клієнтської бази.
З огляду на швидкозмінний ландшафт загроз, балансування між збором розвідки, аналізом загроз та емуляцією противника є внутрішньо складною задачею. Кожен тип емуляції має свої виклики. З одного боку, емуляції державного рівня зазвичай високоскладні, адаптовані під конкретні цілі, характеризуються тривалим часом перебування в системі та керуються політичними мотивами. Відтворення їхньої поведінки вимагає глибокого аналізу, терпіння та точності, що робить їх інтелектуально складними та цінними для емуляції. З іншого боку, емуляції eCrime швидкі та опортуністичні. Ці противники впроваджують новітні техніки, працюють з коротшим часом перебування та часто впливають на кілька секторів і регіонів. Їхнє використання спільних, готових інструментів та масового шкідливого ПЗ з перекриваючимися TTP між групами робить їхні сценарії динамічними та захоплюючими для відтворення.
Знаходження правильного балансу — це стратегічний процес. Ми узгоджуємо пріоритети досліджень та емуляцій з вимогами клієнтів та глобальними подіями, включаючи геополітичну напруженість, новорозкриті критичні вразливості та рекомендації міжнародних організацій, таких як Cybersecurity and Infrastructure Security Agency (CISA) та National Cyber Security Centre (NCSC). Зрештою, ця робота є командною. Adversary Research Team (ART) складається з неймовірно талановитих людей, чий внесок робить реалістичні та безпечні емуляції можливими. CTI — лише одна частина процесу; перетворення розвідки на автентичні, контрольовані емуляції — це складне завдання, яке вимагає співпраці, точності та спільної відданості.
У складі Adversary Research Team в AttackIQ, як структуровані та пріоритезовані дослідження, і які були найбільш значні виклики у перетворенні інсайтів розвідки загроз на дієві емуляції дій противника?
Кілька факторів впливають на те, як ми пріоритезуємо дослідження в Adversary Research Team в AttackIQ. Наша основна увага зосереджена на емуляції противників, які становлять найбільший ризик для найбільшої частини наших клієнтів, забезпечуючи оптимізацію ресурсів та їх концентрацію на загрозах широкого впливу перед тим, як братися за високоспецифічні.
Ця сфера включає як противників, так і сімейства шкідливого ПЗ, які спостерігаються в реальному світі. Ми постійно відстежуємо широкий спектр суб’єктів, а пріоритезація керується операційною потребою, а не директивами. Нові загрози часто вимагають швидкої зміни пріоритетів. Ескалація геополітичної напруженості, збільшення звітів про конкретну критичну вразливість або зосереджені попередження CERT швидко піднімають теми на вершину черги.
Один з наших основних викликів — підтримувати послідовну пріоритезацію та балансувати ресурси для доставки реалістичних і складних емуляцій, одночасно забезпечуючи ефективність та масштабованість у циклах розробки. Ми робимо сильний акцент на розробці широких, багаторазово використовуваних моделей поведінки. Виявляючи спільні риси між противниками та сімействами шкідливого ПЗ, ми зосереджуємося на відтворенні технік і процедур, які послідовно з’являються в кількох сценаріях. Їх потім можна адаптувати та інтегрувати в інші емуляції, забезпечуючи більшу гнучкість та масштабованість. Такий підхід дозволяє нам пріоритезувати поведінку з високою повторюваністю та операційною релевантністю, а не інвестувати значні ресурси в вузькі, одноразові реалізації. стабільний виробничий ритм, що забезпечує гнучкі, цільові та значущі емуляції.
У вашому недавньому дослідженні RomCom, які були ключові точки перелому, що вплинули на його трансформацію з базового бекдора у багатофункціональну платформу, що підтримує як шпигунство, так і фінансовий шантаж, і за яких обставин шкідливе ПЗ переходить від автономного корисного навантаження до повноцінної платформи?
Випадок RomCom особливо захоплюючий, оскільки він вперше з’явився у травні 2022 року як відносно простий бекдор, призначений в основному для віддаленого доступу та базового викрадення даних. Перша велика точка перелому відбулася всього через місяць із випуском RomCom 2.0, який представив значні покращення, що відображали більш зрілий, орієнтований на скритність набір інструментів, оптимізований для шпигунських операцій та довгострокової персистентності. Ці оновлення значно покращили можливості збору та викрадення даних, сигналізуючи про чіткий зсув у бік більш стратегічного випадку використання.
Наступна точка перелому настала з появою RomCom 3.0 у лютому 2023 року, який прийняв модульну архітектуру, структуровану на три основні компоненти. Він представляв значний стрибок у гнучкості та функціональності, підтримуючи 42 окремих команди, багато з яких були тонкими варіаціями одна одної, підкреслюючи фокус оператора на адаптивності та операційному вдосконаленні.
<p style="font
