Connect with us

Francis Guibernau, Kỹ sư Nghiên cứu Đối thủ Senior tại AttackIQ – Loạt Phỏng vấn

Phỏng vấn

Francis Guibernau, Kỹ sư Nghiên cứu Đối thủ Senior tại AttackIQ – Loạt Phỏng vấn

mm
Published
Updated

Francis Guibernau là Kỹ sư Nghiên cứu Đối thủ Senior và thành viên của Đội Nghiên cứu Đối thủ (ART) tại AttackIQ. Francis tiến hành nghiên cứu và phân tích mối đe dọa sâu để thiết kế và tạo ra các mô phỏng đối thủ tinh vi và thực tế. Ông cũng phối hợp dự án Thông tin Mối đe dọa mạng (CTI), tập trung vào nghiên cứu, phân tích, theo dõi và ghi chép lại các đối thủ, gia đình malware và sự cố an ninh mạng. Francis có kinh nghiệm rộng rãi trong lĩnh vực tình báo đối thủ, bao gồm cả mối đe dọa từ quốc gia và tội phạm mạng, cũng như đánh giá và quản lý lỗ hổng, sau khi làm việc tại Deloitte và BNP Paribas.

AttackIQ là một công ty an ninh mạng giúp các tổ chức chuyển từ việc giả định về khả năng phòng thủ của họ sang việc xác thực liên tục và dựa trên dữ liệu. Bằng cách mô phỏng các chiến thuật của đối thủ sử dụng mô hình MITRE ATT&CK và cung cấp các thử nghiệm tự động, an toàn cho sản xuất trên các môi trường đám mây, kết hợp và trên cơ sở, công ty giúp lộ ra các khoảng trống an ninh trong kiểm soát, quy trình và con người — cho phép các nhà lãnh đạo ưu tiên khắc phục, chứng minh đầu tư và chuyển từ phản ứng mạng chủ động sang khả năng phục hồi.

Bạn đã trở thành một phần của lĩnh vực an ninh mạng như thế nào, và tại sao bạn lại chọn chuyên về Thông tin Mối đe dọa mạng? Làm thế nào CTI đã định hình sự hiểu biết của bạn về cách các mối đe dọa tiến hóa trên cả hệ sinh thái quốc gia và tội phạm?

Con đường của tôi vào lĩnh vực an ninh mạng không được lên kế hoạch; nó xảy ra bởi cơ hội hơn là thiết kế. Nó bắt đầu khi tôi tham gia một tổ chức an ninh mạng trưởng thành, nơi tôi làm việc trên hai lĩnh vực chính: Đánh giá và Quản lý Lỗ hổng, và Thông tin Mối đe dọa mạng (CTI). Thông qua Quản lý Lỗ hổng, tôi đã có được quan điểm của người phòng thủ — đảm bảo rằng các hệ thống được duy trì đúng cách, vá và có khả năng chống lại các cuộc tấn công. Trong CTI, tôi đã áp dụng quan điểm của kẻ tấn công, phân tích động cơ, mục tiêu và khả năng của họ. Đây là nơi tôi trở nên quen thuộc với Khung MITRE ATT&CK, mà tôi đã sử dụng để ghi chép lại Chiến thuật, Kỹ thuật và Thủ tục (TTPs) của đối thủ và định nghĩa các cuốn sách hoạt động của họ.

Kinh nghiệm kép này đã mang lại cho tôi sự hiểu biết toàn diện về cách các kẻ tấn công và người phòng thủ tương tác trong một hệ sinh thái不断 thay đổi. CTI nhanh chóng trở thành một niềm đam mê cá nhân. Mục đích chiến lược của nó là hiểu cách các đối thủ hoạt động, tiến hóa và ảnh hưởng lẫn nhau cảm thấy gần như đã được định sẵn. Tôi cảm ơn vì tiếp tục làm việc trong lĩnh vực này, quan sát và phân tích sự phức tạp ngày càng tăng của toàn bộ cảnh quan mối đe dọa, nơi các đối thủ được nhà nước bảo trợ và tội phạm mạng, mặc dù có động cơ khác nhau, ngày càng giao nhau và định hình hoạt động của nhau.

Nhìn lại, dự án hoặc kinh nghiệm nào đã đánh dấu một bước ngoặt trong sự nghiệp của bạn và định hình quan điểm của bạn về an ninh mạng?

Một khoảnh khắc quan trọng đến khi tôi bắt đầu nghiên cứu và ghi chép lại các TTP mà các đối thủ và malware sử dụng để phát hiện và tránh các môi trường được kiểm soát. Nỗ lực này đã trở thành nền tảng cho “Environment Awareness,” một dự án nghiên cứu mà tôi đã thực hiện với đồng nghiệp và bạn bè Ayelen Torello, với người mà tôi hiện có cơ hội làm việc cùng tại AttackIQ. Nghiên cứu của chúng tôi tập trung vào việc ghi chép lại các phương pháp mà các đối thủ sử dụng để nhận ra và tránh các môi trường được sandbox hoặc ảo hóa, cho phép họ vẫn không bị phát hiện trong quá trình phân tích tự động. Bài viết trắng kết quả sau đó đã được áp dụng làm nền tảng cho kỹ thuật “T1497 – Virtualization/Sandbox Evasion” trong Khung MITRE ATT&CK.

Trong quá trình điều tra này, tôi đã chứng kiến sự tiến hóa liên tục của các đối thủ, với các payload của họ trở nên tinh vi hơn và khả năng tránh các hệ thống phát hiện tự động được cải thiện, tăng cường cơ hội thành công của họ trong việc xâm phạm các mục tiêu thực. Kinh nghiệm này đã định hình cơ bản sự hiểu biết của tôi về khả năng thích ứng của đối thủ và chu kỳ đổi mới không ngừng định nghĩa các mối đe dọa hiện đại.

Kể từ khi gia nhập AttackIQ vào năm 2021 với tư cách là Kỹ sư Nghiên cứu Đối thủ và lãnh đạo việc thành lập Sáng kiến Thông tin Mối đe dọa mạng, trách nhiệm của bạn đã thay đổi như thế nào, và bạn làm thế nào để cân bằng việc phối hợp dự án CTI, nghiên cứu mối đe dọa chiến lược và phát triển mô phỏng đối thủ?

Xây dựng Chương trình Thông tin Mối đe dọa mạng tại AttackIQ là một nhiệm vụ phức tạp. Chúng tôi cần đạt được khả năng hiển thị trên một phổ rộng của các mối đe dọa một cách nhanh chóng. Với tư cách là nhà cung cấp dịch vụ, sự tập trung của chúng tôi không thể bị giới hạn ở một lĩnh vực, khu vực hoặc quốc gia cụ thể. Thay vào đó, chúng tôi cần một cơ sở kiến thức bao gồm cả các đối thủ, từ những người được nhà nước bảo trợ đến các nhóm tội phạm mạng, và malware, từ hàng hóa đến các gia đình được xây dựng tùy chỉnh. Một khi nền tảng được thiết lập, chúng tôi bắt đầu tập trung vào những gì tôi gọi là “Heavyweights”: các thực thể có ảnh hưởng cao và tác động, ảnh hưởng đến nhiều lĩnh vực, khu vực và quốc gia. Cách tiếp cận này cho phép chúng tôi ưu tiên các mối đe dọa có liên quan nhất đến cơ sở khách hàng của chúng tôi.

Được cho là cảnh quan mối đe dọa đang thay đổi nhanh chóng, việc cân bằng thu thập thông tin, phân tích mối đe dọa và mô phỏng đối thủ là một quá trình phức tạp. Mỗi loại mô phỏng đều mang lại những thách thức riêng biệt. Mặt khác, các mô phỏng của quốc gia được nhà nước bảo trợ thường tinh vi, được thiết kế cho các mục tiêu cụ thể, được đặc trưng bởi thời gian lưu trú kéo dài và được thúc đẩy bởi động cơ chính trị. Việc tái tạo lại hành vi của chúng đòi hỏi phải phân tích sâu, kiên nhẫn và chính xác, khiến chúng trở nên thách thức về mặt trí tuệ và thú vị để mô phỏng. Mặt khác, các mô phỏng tội phạm mạng là nhanh chóng và cơ hội. Những đối thủ này giới thiệu các kỹ thuật mới, hoạt động với thời gian lưu trú ngắn hơn và thường ảnh hưởng đến nhiều lĩnh vực và khu vực. Việc sử dụng các công cụ và malware hàng hóa của họ, với các TTPs chồng chéo trên các nhóm, khiến cho cuốn sách của họ trở nên năng động và thú vị để tái tạo.

Việc tìm kiếm sự cân bằng đúng là một quá trình chiến lược. Chúng tôi căn chỉnh các ưu tiên nghiên cứu và mô phỏng với các yêu cầu của khách hàng và các sự kiện toàn cầu, bao gồm căng thẳng địa chính trị, các lỗ hổng quan trọng mới được tiết lộ và các khuyến cáo từ các tổ chức quốc tế như Cơ quan An ninh Mạng và Cơ sở hạ tầng (CISA) và Trung tâm An ninh Mạng Quốc gia (NCSC). Cuối cùng, công việc này là một nỗ lực của đội. Đội Nghiên cứu Đối thủ (ART) bao gồm những cá nhân tài năng mà đóng góp của họ làm cho các mô phỏng thực tế và an toàn trở nên có thể. CTI chỉ là một phần của quá trình; việc chuyển đổi thông tin thành mô phỏng đối thủ đích thực và được kiểm soát là một thách thức phức tạp đòi hỏi sự hợp tác, chính xác và cam kết chung.

Trong Đội Nghiên cứu Đối thủ của AttackIQ, nghiên cứu được cấu trúc và ưu tiên như thế nào, và những thách thức nào là quan trọng nhất trong việc chuyển đổi thông tin mối đe dọa thành mô phỏng đối thủ có thể thực hiện được?

Một số yếu tố ảnh hưởng đến cách chúng tôi ưu tiên nghiên cứu trong Đội Nghiên cứu Đối thủ của AttackIQ. Sự tập trung chính của chúng tôi là mô phỏng các đối thủ gây ra rủi ro lớn nhất cho phân khúc khách hàng lớn nhất của chúng tôi, đảm bảo rằng các nguồn lực được tối ưu hóa và tập trung vào các mối đe dọa có tác động rộng lớn trước khi giải quyết các mối đe dọa cụ thể.

Phạm vi này bao gồm cả các đối thủ và gia đình malware được quan sát trong tự nhiên. Chúng tôi liên tục theo dõi một loạt các thực thể, với ưu tiên được thúc đẩy bởi nhu cầu hoạt động hơn là các chỉ đạo quy định. Các mối đe dọa mới thường xuyên thúc đẩy việc tái ưu tiên nhanh chóng. Tăng căng thẳng địa chính trị, tăng báo cáo về một lỗ hổng quan trọng cụ thể hoặc các khuyến cáo tập trung từ các cơ quan chứng nhận nhanh chóng nâng các chủ đề lên hàng đầu của danh sách.

Một trong những thách thức chính của chúng tôi là duy trì sự ưu tiên nhất quán và cân bằng nguồn lực để cung cấp các mô phỏng tinh vi và thực tế trong khi đảm bảo hiệu quả và khả năng mở rộng trên các chu kỳ phát triển. Chúng tôi đặt mạnh vào việc phát triển các hành vi rộng và có thể tái sử dụng. Bằng cách xác định các điểm chung trên các đối thủ và gia đình malware, chúng tôi tập trung vào việc tái tạo các kỹ thuật và thủ tục xuất hiện nhất quán trên nhiều cuốn sách, cho phép chúng tôi ưu tiên các hành vi có tính tái sử dụng và liên quan cao hơn là đầu tư mạnh vào các triển khai hẹp, một lần.

Trong nghiên cứu RomCom gần đây của bạn, những điểm chuyển đổi chính nào đã ảnh hưởng đến sự chuyển đổi của nó từ một cổng hậu cơ bản thành một nền tảng đa năng hỗ trợ cả gián điệp và tống tiền tài chính, và trong những hoàn cảnh nào thì malware chuyển từ một payload độc lập thành một nền tảng hoàn chỉnh?

Trường hợp của RomCom đặc biệt hấp dẫn vì nó lần đầu tiên xuất hiện vào tháng 5 năm 2022 như một cổng hậu tương đối đơn giản được thiết kế chủ yếu cho truy cập từ xa và xuất dữ liệu cơ bản. Điểm chuyển đổi chính đầu tiên xảy ra chỉ một tháng sau đó với việc phát hành RomCom 2.0, giới thiệu các cải tiến đáng kể phản ánh một công cụ tinh vi và hướng đến tính隐 hơn, được tối ưu hóa cho các hoạt động gián điệp và tồn tại lâu dài. Những cập nhật này đã cải thiện đáng kể khả năng thu thập và xuất dữ liệu, cho thấy một sự thay đổi rõ ràng hướng đến một trường hợp sử dụng chiến lược.

Điểm chuyển đổi tiếp theo đến với việc giới thiệu RomCom 3.0 vào tháng 2 năm 2023, đã áp dụng một kiến trúc mô-đun được cấu trúc thành ba thành phần cốt lõi. Nó đại diện cho một bước nhảy vọt lớn về tính linh hoạt và chức năng, hỗ trợ 42 lệnh riêng biệt, nhiều trong số đó là các biến thể tinh vi của nhau, cho thấy sự tập trung của nhà điều hành vào khả năng thích ứng và tinh chỉnh hoạt động.

Các phiên bản tiếp theo tiếp tục tập trung vào việc tinh chỉnh khả năng và tăng cường sự tồn tại hoạt động. Theo thời gian, RomCom đã tiến hóa từ một cổng hậu được thiết kế cho mục đích sang một nền tảng đa năng được các nhóm tội phạm mạng sử dụng để kích hoạt và tạo điều kiện cho các hoạt động tội phạm đa dạng. Sự tiến hóa này được chứng minh bằng việc tích hợp RomCom với các gia đình ransomware như Cuba, Industrial Spy và Underground, cho thấy rõ ràng rằng nó đã trở thành một phần của hệ sinh thái đối thủ rộng lớn hơn như một cơ sở hạ tầng được chia sẻ. Sự áp dụng rộng rãi này cuối cùng đã thu hút sự chú ý của các đối thủ được nhà nước bảo trợ, đặc biệt là những người được liên kết với lợi ích của Nga, những người bắt đầu sử dụng RomCom như một nền tảng đa năng hỗ trợ cả hoạt động gián điệp và chiến lược ảnh hưởng.

Sự hội tụ này đã xác nhận đánh giá của chúng tôi rằng ranh giới giữa các đối thủ tội phạm mạng và quốc gia đang ngày càng bị xóa mờ. Sự chuyển đổi từ payload độc lập sang nền tảng hoàn chỉnh xảy ra chính xác tại điểm giao này, khi nó bắt đầu được sử dụng cho các mục tiêu chiến lược và tinh vi, mở rộng ngoài lợi ích tài chính hoặc cơ hội. Tại giai đoạn đó, nó ngừng phục vụ một mục đích chiến thuật duy nhất và thay vào đó cho phép nhiều mục tiêu hoạt động, đôi khi mâu thuẫn, đồng thời cho thấy rằng các nhà điều hành xem payload như một cơ sở hạ tầng có thể tái sử dụng hơn là một vũ khí được thiết kế cho một mục đích.

Bạn đã quan sát thấy ranh giới ngày càng bị xóa mờ giữa hoạt động của quốc gia và đối thủ tội phạm mạng. Từ quan điểm của bạn, những yếu tố chính nào đang thúc đẩy sự hội tụ này, và các tổ chức nên suy nghĩ khác đi như thế nào khi đánh giá việc quy kết và động cơ trong những trường hợp này?

Sự hội tụ giữa các hoạt động của quốc gia và tội phạm mạng chủ yếu được thúc đẩy bởi các yếu tố thực dụng từ cả hai phía. Đối với các đối thủ được nhà nước bảo trợ, mục tiêu là nhanh chóng có được các khả năng đã được xác thực và chứng minh trên chiến trường. Việc sử dụng các công cụ hoặc cơ sở hạ tầng hiện có cho phép họ có được sự linh hoạt hoạt động mà không cần dành nhiều nguồn lực để phát triển các công cụ tùy chỉnh từ đầu. Nếu một payload là mạnh mẽ, hiệu quả và có sẵn, tại sao phải tái tạo lại nó? Ngược lại, đối với các đối thủ tội phạm mạng, việc tiếp cận các nguồn lực và cơ sở hạ tầng cấp quốc gia, bao gồm cả thông tin, dữ liệu mục tiêu và các kênh phân phối được bảo vệ, cho phép họ nhanh chóng mở rộng khả năng của mình trong khi nhận được sự hỗ trợ tài chính đảm bảo với rủi ro tối thiểu.

RomCom minh họa cho sự hội tụ này. Ban đầu là một malware hàng hóa được thiết kế để tạo điều kiện cho các hoạt động tống tiền, nó sau đó được áp dụng trong các hoạt động được liên kết với lợi ích chiến lược của Nga, nhắm vào các cơ quan chính phủ Ukraine, các thực thể liên kết với NATO và các tổ chức nhân đạo. Đánh giá của chúng tôi cho thấy rằng RomCom đã chuyển từ một công cụ chỉ mang động cơ lợi nhuận sang một công cụ được sử dụng trong các hoạt động của quốc gia, hỗ trợ cả hoạt động gián điệp và phá hoại.

Sự tiến hóa này nhấn mạnh một nguyên tắc quan trọng: bất kể đối thủ có động cơ tài chính hay chính trị, tác động lên nạn nhân vẫn giống nhau. Trong bối cảnh này, việc phòng thủ thông tin mối đe dọa trở nên thiết yếu. Các tổ chức nên ưu tiên xác thực khả năng phòng thủ và sự vững vàng trước các hành vi thực tế và quan sát được, thay vì tập trung duy nhất vào việc quy kết hoặc động cơ giả định.

Điều gì mà RomCom tiết lộ về sự hội tụ của động cơ tài chính và địa chính trị giữa các đối thủ, và cụ thể, bạn giải thích như thế nào về xu hướng ngày càng tăng của các nhóm được nhà nước bảo trợ sử dụng cơ sở hạ tầng tội phạm mạng như công cụ ảnh hưởng hoặc khả năng phủ nhận có thể?

RomCom chứng minh sự tiến hóa của một nhóm tội phạm mạng đã duy trì sự nhất quán hoạt động trong thời gian dài trong khi liên tục mở rộng mạng lưới liên kết của mình. Trong suốt hoạt động của nó, nó đã thiết lập các kết nối rõ ràng với nhiều gia đình ransomware, đặc biệt là Cuba, Industrial Spy và Underground, phản ánh sự tích hợp sâu sắc trong hệ sinh thái tội phạm mạng. Theo thời gian, nó đã chuyển từ một facilitator của các hoạt động tống tiền sang một nền tảng đa năng có thể hỗ trợ các hoạt động ảnh hưởng địa chính trị. Sự tập trung của nó vào các cơ quan chính phủ Ukraine, nhân viên quân sự, tổ chức nhân đạo và các quốc gia liên kết với NATO cho thấy sự liên kết hoạt động với lợi ích chiến lược của Nga. Đây không phải là tội phạm cơ hội; nó đại diện cho việc thu thập thông tin tình báo và hoạt động truy cập lâu dài.

RomCom cũng nhấn mạnh một mô hình rộng lớn hơn của các đối thủ được nhà nước bảo trợ áp dụng hoặc tái sử dụng các công cụ tội phạm mạng. Những công cụ này đã được chứng minh, hiệu quả và phục vụ như các công cụ tiện lợi cho các mục tiêu chiến lược rộng lớn hơn. Nga vẫn là một ví dụ chính: báo cáo rộng rãi chi tiết về các nhóm tội phạm mạng liên kết với Nga hoạt động như các phần mở rộng của hoạt động nhà nước hoặc được sử dụng trực tiếp để hỗ trợ chúng. Điều này cho phép các quốc gia outsource các hoạt động có thể phủ nhận, đặc biệt là những hoạt động phá hoại hoặc hủy hoại, cho các diễn viên tội phạm, hoặc để hấp thụ công cụ và cơ sở hạ tầng của họ. Cuối cùng, động lực này tiết lộ một mối quan hệ có lợi cho cả hai bên: các nhà điều hành RomCom và các liên kết của họ có được ảnh hưởng và phần thưởng tài chính, trong khi các quốc gia có được quyền truy cập vào các tài sản có khả năng và có thể phủ nhận.

Mô hình này cung cấp các lợi thế chiến lược rõ ràng, đó là lý do tại sao nó đang trở nên phổ biến. Các đối tác tội phạm cung cấp cho các quốc gia quyền truy cập và khả năng mà không cần quy kết trực tiếp, và sự模糊 hoạt động kết quả làm phức tạp các phản ứng và biện pháp pháp lý. Các gia đình malware đã trở thành công cụ của chính trị, tăng cường chứ không thay thế gián điệp truyền thống thông qua cơ sở hạ tầng tội phạm có thể phủ nhận, có thể mở rộng và tự duy trì.

Malware hiện đại thường không bị giới hạn trong một ngành hoặc khu vực. Điều này gợi ý gì về ưu tiên hoặc hạn chế của kẻ tấn công, và có những ngành hoặc địa lý nào bạn tin là “tiếp theo” cho sự mở rộng giữa các lĩnh vực?

Mặc dù một số đối thủ có thể tự áp đặt các hạn chế, nhiều đối thủ coi sự cấp bách và khủng hoảng như các vector lây nhiễm bổ sung, tăng tốc các xâm nhập và khai thác các phòng thủ bị phân tâm hoặc căng thẳng. Động cơ ảnh hưởng đến mục tiêu nhưng hiếm khi hạn chế nó. Các nhóm có động cơ tài chính ưu tiên các mục tiêu có tiềm năng trả thưởng cao hoặc phụ thuộc hoạt động, chẳng hạn như tài chính, bộ xử lý thanh toán và các doanh nghiệp lớn với yêu cầu uptime nghiêm ngặt. Ngược lại, các nhóm được nhà nước bảo trợ tập trung vào các ngành hỗ trợ các mục tiêu địa chính trị, bao gồm chính phủ, quốc phòng và cơ sở hạ tầng quan trọng. Tuy nhiên, sự chồng chéo giữa các động cơ này ngày càng phổ biến.

Các chiến thuật “spray-and-pray” và hàng hóa sẽ tiếp tục tồn tại. Các mô hình Ransomware-as-a-Service (RaaS) và công cụ hàng hóa cho phép các đối thủ có động cơ tài chính mở rộng tập hợp mục tiêu của họ một cách hung hãn. Bất kỳ dịch vụ nào bị lộ và phòng thủ yếu đều có thể nằm trong phạm vi. Sự mở rộng địa lý theo cả cơ hội và khoảng cách trưởng thành. Các khu vực đang trải qua chuyển đổi số nhanh chóng nhưng có khả năng trưởng thành về an ninh mạng hoặc khả năng ứng phó sự cố hạn chế là hấp dẫn cho việc xâm phạm ban đầu và mở rộng hoạt động. Ngược lại, các mục tiêu có giá trị cao ở các khu vực được bảo vệ tốt thường bị ảnh hưởng thông qua việc thỏa hiệp chuỗi cung ứng hoặc quyền truy cập được ủy quyền. Nhìn về phía trước, sự mở rộng có khả năng xảy ra ở các khu vực lân cận với các cuộc xung đột địa chính trị đang diễn ra, nơi thu thập thông tin hỗ trợ các lợi ích chiến lược và sự trưởng thành về phòng thủ vẫn còn tụt hậu so với sự tinh vi của đối thủ.

Khi tạo ra các mô phỏng đối thủ thực tế, những thách thức kỹ thuật nào là khó khăn nhất mà bạn gặp phải? Làm thế nào bạn xác thực rằng những mô phỏng này đủ đại diện cho các mối đe dọa trong thế giới thực, và có những hành vi nào vẫn còn đặc biệt khó để mô phỏng một cách tin cậy?

Một trong những thách thức kỹ thuật khó khăn nhất là đạt được tính trung thực của hành vi mà không giới thiệu rủi ro hoạt động. Các mô phỏng phải tái tạo các hành vi trong thế giới thực một cách chính xác đủ để xác thực các kiểm soát phát hiện và ngăn chặn, trong khi vẫn an toàn đủ để chạy trong các môi trường sản xuất. Đó là một sự cân bằng liên tục. Các triển khai quá hung hãn rủi ro làm mất ổn định hệ thống hoặc tạo ra các kết quả dương tính hoặc âm tính giả nguy hiểm, trong khi các triển khai quá thận trọng mất tính trung thực và giá trị. Chúng tôi ưu tiên mô phỏng “điểm nghẽn” của đối thủ, các hành vi quan trọng quyết định liệu một xâm nhập có thành công hay không, và nơi khả năng hiển thị và phản ứng phòng thủ quan trọng nhất. Bằng cách tập trung tính trung thực vào các hành vi quyết định này, các mô phỏng cung cấp giá trị cao nhất cho cả phạm vi phát hiện và xác thực khả năng phục hồi.

Một số kỹ thuật được giới hạn hoặc bỏ qua vì chúng đặt ra rủi ro không thể chấp nhận hoặc không thể được mô phỏng một cách trung thực mà không làm hỏng môi trường. Việc thực hiện một cách sai lầm, ngay cả khi chỉ một chút, có thể dẫn đến việc kiểm tra một thứ mà đối thủ không thực sự làm hoặc làm mất ổn định hệ thống mà bạn đang cố gắng bảo vệ. Các hành vi dựa trên ngữ cảnh môi trường hoặc yêu cầu truy cập được xác thực cũng bị hạn chế: ví dụ, chúng tôi tái tạo các mẫu giao thức và hành vi beaconing cho C2 mà không kết nối với cơ sở hạ tầng độc hại.

Tạo ra các mô phỏng thực tế do đó là một quá trình kỹ thuật lặp lại: xác định, ghi chép, triển khai, kiểm tra, xác thực và tinh chỉnh. Mỗi lần lặp lại cân bằng tính trung thực, an toàn và liên quan hoạt động để đảm bảo rằng các mô phỏng vừa thực tế vừa có thể triển khai.

Nhìn về tương lai 3 đến 5 năm, những xu hướng nào trong sự tinh vi của malware, phương pháp tấn công hoặc hệ sinh thái mối đe dọa bạn thấy quan trọng hoặc thú vị nhất, và những bước cơ bản nào bạn sẽ khuyến nghị cho các tổ chức bắt đầu hành trình của họ trong phòng thủ thông tin mối đe dọa và mô phỏng đối thủ?

Một trong những xu hướng thú vị và đáng lo ngại nhất là sự tinh vi ngày càng tăng của các hệ sinh thái tội phạm mạng. Trong thập kỷ qua, các diễn viên tội phạm mạng đã mở rộng ảnh hưởng của họ một cách đáng kể.

Trong những năm trước, số lượng người tham gia bị giới hạn, và ảnh hưởng của họ tương đối nhỏ. Ngày nay, hàng trăm thực thể liên kết và hợp tác, mỗi thực thể đóng vai trò chuyên biệt. Sự phụ thuộc lẫn nhau này tạo thành một hệ sinh thái phức tạp, có cấu trúc và hiệu quả như một thị trường hợp pháp. Hệ sinh thái ransomware minh họa điều này hoàn hảo: hàng chục gia đình hoạt động cùng tồn tại, tiến hóa và thay thế nhau. Sự thay đổi liên tục này cho thấy một mạng lưới quan hệ phức tạp ngày càng khó phân tích.

Một xu hướng định hình khác là sự hội tụ giữa hoạt động của quốc gia và tội phạm mạng. Không chỉ ở cấp độ hoạt động mà còn trong việc phát triển cơ sở hạ tầng và nền tảng malware chung. RomCom minh họa cho sự tiến hóa này. Nó chuyển từ một công cụ chỉ mang động cơ lợi nhuận sang một công cụ đa năng được sử dụng trong các hoạt động của quốc gia, hỗ trợ cả hoạt động gián điệp và phá hoại.

Đối với các tổ chức mới tham gia vào phòng thủ thông tin mối đe dọa, bước cơ bản là áp dụng Khung MITRE ATT&CK như ngôn ngữ chung để hiểu và thảo luận về hành vi của đối thủ. ATT&CK cung cấp một phân loại hành vi cho phép các nhà phòng thủ ánh xạ các phát hiện và kiểm soát trực tiếp đến các kỹ thuật của kẻ tấn công chứ không phải chỉ các chỉ số tĩnh. Ưu tiên phát hiện dựa trên hành vi hơn là các phương pháp dựa trên chữ ký. Các chỉ số của sự xâm phạm thay đổi liên tục, nhưng các kỹ thuật của đối thủ vẫn tương đối ổn định, một nguyên tắc được nắm bắt trong khuôn khổ Pyramid of Pain.

Cảm ơn bạn vì những phản hồi chi tiết, những người đọc muốn tìm hiểu thêm nên truy cập AttackIQ.

mm

Antoine là một nhà lãnh đạo có tầm nhìn và là đối tác sáng lập của Unite.AI, được thúc đẩy bởi một niềm đam mê không ngừng nghỉ để định hình và thúc đẩy tương lai của AI và robot. Là một doanh nhân liên tục, ông tin rằng AI sẽ gây ra sự gián đoạn cho xã hội giống như điện, và thường bị bắt gặp nói về tiềm năng của các công nghệ gây gián đoạn và AGI.
Như một futurist, ông dành để khám phá cách những đổi mới này sẽ định hình thế giới của chúng ta. Ngoài ra, ông là người sáng lập của Securities.io, một nền tảng tập trung vào đầu tư vào các công nghệ tiên tiến đang định nghĩa lại tương lai và thay đổi toàn bộ lĩnh vực.