访谈
弗朗西斯·吉伯诺(Francis Guibernau),AttackIQ高级对手研究工程师 – 采访系列
弗朗西斯·吉伯诺是AttackIQ的高级对手研究工程师和对手研究团队(ART)的成员。弗朗西斯进行深入的威胁研究和分析,以设计和创建高度复杂和真实的对手模拟。他还协调网络威胁情报(CTI)项目,该项目专注于研究、分析、跟踪和记录对手、恶意软件家族和网络安全事件。弗朗西斯在对手情报方面拥有丰富的经验,包括国家和电子犯罪威胁,以及漏洞评估和管理方面的经验,之前曾在德勤和巴黎银行工作。
AttackIQ是一家网络安全公司,帮助组织超越对其防御的简单假设,实现持续的、数据驱动的验证。通过使用MITRE ATT&CK®模型模拟对手战术,并提供自动化的、生产安全的测试,跨云、混合和本地环境,公司帮助发现安全控制、流程和人员中的差距,使领导者能够优先考虑补救、证明投资并从被动的网络响应转变为主动的弹性。
您如何进入网络安全领域,您为什么选择专攻网络威胁情报?网络威胁情报如何塑造您对威胁在国家和电子犯罪生态系统中演变的理解?
我的网络安全之路并非刻意为之,而是机会使然。它始于我加入一家成熟的网络安全组织,我在那里工作了两个关键领域:漏洞评估和管理,以及网络威胁情报(CTI)。通过漏洞管理,我获得了防御者的视角——确保系统得到适当的维护、修补和对攻击具有弹性。然而,在CTI中,我采用了攻击者的思维方式,分析他们的动机、目标和能力。这也是我深入熟悉MITRE ATT&CK框架的地方,我使用它来记录对手的战术、技术和程序(TTPs)并定义他们的操作手册。
这种双重经验让我对防御者和攻击者在不断演变的生态系统中如何相互作用有了全面理解。CTI很快成为我的个人热情。其战略目的在于理解对手如何运作、演变和相互影响,感觉几乎是预先注定的。我很感激能够继续在这个学科中工作,观察和分析全球威胁格局的日益复杂性,在那里,国家赞助的和电子犯罪对手尽管有不同的动机,但越来越多地相互交织和影响对方的行动。
回顾过去,您的职业生涯中哪个项目或经历成为转折点,塑造了您在网络安全方面的视角?
一个重要的时刻出现在我开始研究和记录对手和恶意软件使用的技术和程序(TTPs)以检测和规避受控环境时。这项工作成为“环境意识”研究项目的基础,该项目是我与我的同事和朋友Ayelen Torello合作完成的,现在我有机会在AttackIQ与她一起工作。我们的研究重点是编目对手用来识别和避免沙盒或虚拟化环境的不同方法,使他们能够在自动分析期间保持未被检测。随后发表的白皮书后来被采用为MITRE ATT&CK框架中“T1497 – 虚拟化/沙盒规避”技术的基础。
在这项调查期间,我见证了对手的持续演变,他们的有效载荷变得越来越复杂,他们避免自动检测系统的能力也在提高,从而增加了他们成功破坏真实目标的机会。这段经历从根本上塑造了我对对手适应性和定义现代威胁的持续创新周期的理解。
自2021年加入AttackIQ担任对手研究工程师并领导网络威胁情报计划的建立以来,您的职责如何演变,您如何平衡网络威胁情报项目的协调、战略威胁研究和对手模拟的开发?
在AttackIQ建立网络威胁情报(CTI)计划是一项复杂的任务。我们需要快速跨越广泛的威胁范围。作为服务提供商,我们的关注点不能仅限于一个行业、地区或国家。相反,我们需要一个涵盖对手(从国家赞助到电子犯罪集团)和恶意软件(从大众市场到定制家族)的知识库。一旦基础建立,我们开始关注我所说的“重量级”实体:高度活跃和有影响力的实体,它们影响多个行业、地区和国家。这一方法使我们能够优先考虑对客户群最相关的威胁。
鉴于迅速变化的威胁格局,平衡情报收集、威胁分析和对手模拟固有复杂性。每种模拟类型都带来了不同的挑战。一方面,国家赞助的模拟通常高度复杂,针对特定的目标,具有长时间的停留时间,并由政治动机驱动。复制他们的行为需要深入分析、耐心和精确度,使它们在智力上具有挑战性和令人满意的模拟。另一方面,电子犯罪模拟快速发展,机会主义。这些对手引入新技术,运作时间短,通常影响多个行业和地区。他们使用共享的、开源的工具和大众市场恶意软件,具有重叠的TTPs,使他们的剧本动态且令人着迷的复制。
找到合适的平衡是一个战略过程。我们将研究和模拟的优先顺序与客户的需求和全球发展相一致,包括地缘政治紧张局势、新披露的关键漏洞以及国际组织(如网络安全和基础设施安全局(CISA)和国家网络安全中心(NCSC))的建议。最终,这项工作是一项团队努力。对手研究团队(ART)由才华横溢的个人组成,他们的贡献使得真实和安全的模拟成为可能。CTI只是这个过程的一部分;将情报转化为真实的、受控的模拟是一个需要合作、精确和共同承诺的复杂挑战。
在AttackIQ的对手研究团队中,研究如何结构和优先排序,什么是将威胁情报洞察转化为可行的对手模拟的最显著挑战?
几个因素影响我们在AttackIQ的对手研究团队中如何优先进行研究。我们的主要重点是模拟对我们最大的客户群构成最大风险的对手,确保资源得到优化和集中在高影响威胁上,而不是特定威胁上。这个范围包括在野外观察到的对手和恶意软件家族。我们不断跟踪广泛的实体,优先顺序由操作需求而不是规定性指令驱动。新出现的威胁通常会迅速重新确定优先顺序。地缘政治紧张局势的升级、对特定和关键漏洞的增加报告或集中CERT建议迅速将主题置于队列的顶部。
我们面临的主要挑战之一是保持一致的优先顺序,并平衡资源以交付真实和复杂的模拟,同时确保开发周期的效率和可扩展性。我们强调开发广泛可重用行为的重要性。通过识别对手和恶意软件家族之间的共同点,我们专注于复制在多个剧本中一致出现的技术和程序。这些可以适应和集成到其他模拟中,实现更大的灵活性和可扩展性。这种方法使我们能够优先考虑具有高可重用性和操作相关性的行为,而不是大量投资于狭窄的、一次性的实现。稳定的生产节奏,提供灵活、有针对性和有意义的模拟。
在您最近的RomCom研究中,什么是影响其从基本后门转变为支持间谍和金融勒索的多功能平台的关键转折点,以及在什么情况下,恶意软件会从独立有效载荷转变为完全成熟的平台?
RomCom的案例尤其令人着迷,因为它最初出现在2022年5月,最初是一个相对简单的后门,主要用于远程访问和基本数据泄露。第一个重大转折点出现在一个月后,RomCom 2.0发布,引入了重大增强,反映出更成熟、更注重隐蔽的工具集,针对间谍活动和长期存在。这些更新显著提高了数据收集和泄露能力,表明了对战略性使用案例的明显转变。
下一个转折点出现在2023年2月RomCom 3.0的推出,采用了模块化架构,分为三个核心组件。它代表了灵活性和功能性的重大飞跃,支持42个不同的命令,其中许多是彼此的微小变体,突出了操作者的适应性和操作细化的关注。随后的版本继续专注于完善能力和增强操作恢复力。随着时间的推移,RomCom从一个专用后门演变成一个被电子犯罪集团利用的商品恶意软件,成为他们剧本中的一部分,以实现和促进各种犯罪行动。这种演变是通过RomCom与Cuba、Industrial Spy和Underground勒索软件行动的整合而证明的,清楚地表明它已成为更广泛的对手生态系统中的一种共享基础设施。
这种转变证实了我们的评估,即电子犯罪和国家赞助对手之间的界限日益模糊。恶意软件从独立有效载荷转变为完全成熟的平台的转变恰恰发生在这一交叉点,当它开始被利用用于复杂、战略和无形的目标时,这些目标超出了机会主义或经济利益。到那时,它不再服务于单一的战术目的,而是使多个、有时相互矛盾的运营目标成为可能。这表明操作员将有效载荷视为可重用的基础设施,而不是专用武器。
您已经观察到国家活动和电子犯罪对手之间的界限日益模糊。从您的角度来看,什么是这种趋同的主要驱动因素,防御者在评估归因和动机时应该如何思考?
国家和电子犯罪运营之间的趋同主要由双方的务实因素驱动。对于国家赞助的对手来说,目标是快速获取已经在战场上验证和证明的能力。利用现有的工具或基础设施使他们能够在不投入大量资源开发自定义工具的情况下获得运营灵活性。另一方面,对于电子犯罪运营者来说,获取国家级资源和基础设施的机会,包括情报、目标数据和受保护的分发渠道,使他们能够在最小风险的情况下快速扩大能力,同时获得保证的财务支持。
RomCom体现了这种趋同。最初,它是一种商品恶意软件,旨在促进勒索软件行动,后来它被用于与俄罗斯利益相关的活动,针对乌克兰政府机构、北约盟国实体和人道主义组织。我们的评估表明,RomCom从纯粹的利润驱动工具转变为一种在国家赞助行动中使用的工具,支持间谍和破坏目标。这一演变突出了一个关键原则:无论对手是出于经济利益还是政治动机,受害者的影响都保持不变。在这种情况下,威胁情报防御成为必不可少的。组织应该优先验证其防御和弹性,以抵御真实、观察到的行为,而不是专注于归因或假定的动机。
什么揭示了RomCom对金融和地缘政治动机在对手之间的趋同的看法?特别是,您如何解释国家赞助团体利用电子犯罪基础设施作为影响或合理否认的手段的日益增长的趋势?
RomCom展示了一个网络犯罪集团的演变,该集团在长期保持运营一致性的同时,不断扩大其联盟网络。整个活动过程中,它与多个勒索软件家族建立了明确的联系,特别是Cuba、Industrial Spy和Underground,这反映了它在电子犯罪生态系统中的深度整合。随着时间的推移,它从促进破坏性、勒索为基础的活动的工具转变为一个多功能平台,能够支持地缘政治影响行动。其持续关注乌克兰政府机构、军事人员、人道主义组织和北约盟国,表明其运营与俄罗斯的战略利益保持一致,尤其是在乌克兰战争的背景下。这不是机会主义的犯罪;它代表了故意的intelligence收集和长期访问行动。同样的恶意软件、交付机制和运营手法现在支持间谍和勒索软件活动。
RomCom还突出了国家赞助对手采用或改造电子犯罪工具的更广泛模式。这些工具是经过验证的、有效的,并且作为支持更广泛战略目标的方便工具。俄罗斯仍然是一个主要例子:大量报告详细描述了俄罗斯相关的网络犯罪集团作为国家行动的延伸运行,或者被直接利用来支持它们。这种动态揭示了一个相互有益的关系:RomCom的运营者及其附属机构获得影响力和经济回报,而国家则获得能够实现其目标的有能力、可否认的资产。在电子犯罪格局中,忠诚是交易性的,根植于影响力和利润。
这种模式提供了明显的战略优势,这就是为什么它变得越来越普遍的原因。犯罪伙伴关系为国家提供了获取能力的途径,而无需直接归因,并且所产生的运营模糊性使外交和法律回应变得复杂。恶意软件家族已经有效地成为国家行为的工具,增强而不是取代传统的间谍活动,通过犯罪基础设施来实现,这种基础设施是可否认的、可扩展的和自我维持的。
现代恶意软件通常不会局限于一个行业或地区。恶意软件的这种行为表明攻击者的优先事项或限制是什么,您认为哪些行业或地理区域将是恶意软件跨领域扩张的下一个目标?
虽然有些对手可能会自我限制,但许多对手将紧迫性和危机视为额外的感染向量,通过利用分心或紧张的防御来加速入侵。动机影响目标,但很少限制它。出于经济利益的团体优先考虑具有高潜在回报或运营依赖性的目标,例如金融、支付处理器和具有严格正常运行时间要求的大型企业。相比之下,国家赞助的团体专注于推进地缘政治目标的行业,包括政府、国防和关键基础设施。然而,这些动机之间的重叠越来越常见。
“喷洒和祈祷”战术和商品化将持续存在。勒索软件即服务(RaaS)模型、商品工具和自动化扫描使出于经济利益的对手能够激进地扩大目标范围。任何暴露、弱防御的服务都可能在范围内。地理扩张遵循机会和成熟度差距。数字化转型迅速但网络安全成熟度或事件响应能力有限的地区,对初步破坏和扩张行动具有吸引力。相反,高价值目标位于防御严密的地区,通常通过供应链破坏或外包访问而受到影响。展望未来,扩张可能发生在与活跃的地缘政治冲突相邻的地区,在那里,情报收集支持战略利益,防御成熟度仍然落后于对手的复杂性。
在创建真实的对手模拟时,您遇到的最艰难的技术挑战是什么?您如何验证这些模拟足以代表真实的威胁,是否有一些行为难以可靠地模拟?
最艰难的技术挑战之一是实现行为保真度而不引入运营风险。模拟必须以足够的精度复制真实世界的行为,以验证检测和防御控制,同时保持足够的安全性以运行在生产环境中。这种权衡是持续的。过于激进的实现风险使系统不稳定或产生危险的误报/漏报,而过于谨慎的实现则失去了保真度和实用性。我们优先模拟对手的“瓶颈”,即决定入侵是否成功或失败的关键行为,在那里,防御可见性和响应至关重要。通过专注于这些决定性行为的保真度,模拟为检测覆盖和弹性验证提供了最高价值。
一些技术是故意限制或省略的,因为它们带来不可接受的风险,或者无法在不损害环境的情况下忠实地模拟。实现稍微有误,就会测试对手实际上从未做过的事情,或者破坏正在尝试保护的系统。其他挑战源于依赖环境上下文或需要经过身份验证的访问的行为。网络行为也受到限制:例如,我们复制协议模式和信标行为以进行C2通信,而不连接到恶意基础设施。
创建真实的模拟因此是一个迭代的工程过程:识别、记录、实现、测试、验证和改进。每次迭代都在保真度、安全性和运营相关性之间取得平衡,以确保模拟既真实又可部署。
展望未来三到五年,您认为哪些恶意软件复杂性、攻击者方法或威胁生态系统的趋势最令人担忧或有趣,刚刚开始其威胁情报防御和对手模拟之旅的组织应该采取哪些基础步骤?
最令人着迷和担忧的趋势之一是网络犯罪生态系统的日益复杂性。过去十年中,电子犯罪行为者已经显著扩大了他们的影响力。
在早期,参与者的数量有限,他们的影响相对较小。今天,成百上千个相互关联的实体共存和协作,每个实体都扮演着专门的角色。这一相互依存形成了一个复杂的、以业务为导向的生态系统,结构和效率上与合法市场相似。勒索软件生态系统完美地体现了这一点:几十个活跃的家族共存、演变和取代。这种不断的变化揭示了一个日益难以解开的关系网。
另一个定义趋势是国家和犯罪行动之间的趋同。不仅仅是在运营层面,也是在共享基础设施和恶意软件平台的开发方面。RomCom体现了这种演变。它从一个纯粹的利润驱动的商品转变为一个多功能工具,用于国家赞助的行动,同时保留了其电子犯罪的多功能性。
对于刚刚开始威胁情报防御的组织来说,基础步骤是采用MITRE ATT&CK框架作为理解和讨论对手行为的共同语言。ATT&CK提供了一个行为分类法,允许防御者直接将检测和控制映射到攻击者技术,而不是静态指标。优先考虑基于行为的检测而不是基于签名的方法。指标可能会不断变化,但对手技术相对稳定,这一原则在Pyramid of Pain框架中得到了体现。
感谢您详细的回应,希望了解更多的读者可以访问AttackIQ。
