בראיון המרתק הזה, Sherrod DeGrippo, מומחה מנוסה לבינת איומים עם מעל 19 שנות ניסיון, צולל לעומק לעולם ריגול הסייבר. יחד עם Judy Ng ו- Sarah Jones, שני מומחים בעלי ניסיון מרשים שמקדישים את עבודתם להתרת הרשת המתוחכמת של איומי סייבר שמקורה בסין. הם מתמקדים בפעילויות החשאיות בנוף האיומים המודרני. יחד הם משוחחים על האתגרים שניצבים בפני אלה ששומרים על עולמנו המקושר. היכונו להיסחף עם סיפורים מדהימים וניסיון יוצא דופן של בלשים דיגיטליים אלה במסעם בעולם הנסתר של אזור לוחמת הסייבר של סין.
הירשם עכשיו כדי לצפות בוובינר שמציג תובנות של דוח ההגנה הדיגיטלית של Microsoft לשנת 2024.
בקווי החזית: פענוח הטכניקות והטקטיקות של גורמי איום סיניים
Sarah Jones
כאנליסטית איומים בכירה, אני חוקרת קבוצות API (אירוע מתמיד מתקדם) שמקורן בסין ופועלות מטעם ממשלת סין. אני עוקבת אחרי פיתוח התוכנה הזדונית שהם מבצעים לאורך זמן וחוקרת את השיטות שלהם ליצירת תשתית ולפגיעה ברשתות של הקורבנות. לפני שהצטרפתי לבינת האיומים של Microsoft, התמקדתי בעיקר בסין, אבל עבדתי גם על קבוצות איראניות וסיניות.
במהלך רוב שנותיי המקצועיות, בעיקר בתחילת הקריירה, עבדתי במרכזי תפעול אבטחה והתמקדתי באבטחה פנימית עבור רשתות ממשלתיות וארגוניות.
אחד הדברים הנהדרים בחקר קבוצות גורמי האיום בסין הוא היכולת לעקוב אחריהם לפרקי זמן ארוכים כאלה. מעניין מאוד לחקור קבוצות שאני זוכרת מלפני 10 שנים ולראות את ההתפתחות שלהן לאורך זמן.
Judy Ng
בדומה ל- Sarah, גם אני אנליסטית איומים בכירה וממנפת ניתוח גאופוליטי בנוסף לניתוח איומי סייבר. עקבתי אחרי גורמי איום הממוקמים בסין מנקודות מבט שונות לאורך 15 שנות הקריירה שלי – כולל תפקידי תמיכה בממשלת ארצות הברית, תפקידים בחברות סטארט-אפ, מקומות שונים בתאגידי אמריקה וכמובן ב- Microsoft, שם עבדתי משנת 2020.
התחלתי בהתמקדות בסין כי תמיד התעניינתי בה. בשלב מוקדם בקריירה שלי ההתעניינות הזו עזרה לי לספק הקשר שחמק מעמיתים שייתכן שלא הבינו חלק מהניואנסים בשפה ובתרבות הסיניות.
אני חושב שאחת השאלות הראשונות שלי הייתה "Judy, מה זה meat chicken (עוף בשר)? מה הפירוש של meat chicken בסינית?"
התשובה היא "בוטנט". "Meat chicken" היה הסלנג הסיני שבו גורמי איום השתמשו בפורומים מקוונים לתיאור בוטנטי זומבי
Judy Ng
בתחום עבודה הזה לא עושים את אותו הדבר כל יום. זה נהדר. אפשר לרתום את כל האותות העוצמתיים שמקבלת Microsoft ולתת לנתונים האלה להנחות אותך.
אף פעם לא תשתעמם מערכת הנתונים כאן. לא תוכל אף פעם לומר, "אין לי מה לצוד". תמיד יהיה משהו מעניין, וזה עוזר שרוב חברי הצוות שלנו בצוות סין הם פשוט חבורה מעניינת.
בין אם ציד עצמי או פעולה קבוצתית לעיון במטרה, זה פשוט נפלא שכולנו סקרנים ויכולים לנוע בכיוונים שונים.
Sarah Jones
אני חייבת להסכים עם Judy. כל יום יש ערכת בעיות חדשה ושונה. כל יום אני לומדת על פריט טכנולוגיה חדש או על תוכנה חדשה שגורם איום מנסה לנצל לרעה. אם מדובר בטכנולוגיה או תוכנה שמעולם לא שמעתי עליה, אני חייבת לחזור ולקרוא את התיעוד. לפעמים אצטרך לקרוא את ה- RFC (בקשה להערות) לפרוטוקול כי גורמי האיום מתמרנים או מנצלים לרעה היבט כלשהו ממנו, וזה דורש לחזור לתיעוד המקורי ולקרוא אותו.
הדברים האלה ממש מרגשים אותי, ואני יכולה לעבוד עליהם כל יום. כל יום אני לומדת על היבט חדש באינטרנט שלא שמעתי עליו ואז ממהרת להקדים את גורמי האיום ולהפוך למומחית בדבר שאותו הם החליטו לנצל לרעה.
Sarah Jones
בתקופת הקורונה, ראינו שינויים רבים. עבור הלקוחות, העולם השתנה. בין לילה כולם הלכו הביתי וניסו להמשיך בעבודתם. ראינו חברות רבות שנאלצו להגדיר מחדש לחלוטין את הרשתות שלהם וראינו עובדים ששינו את סגנון העבודה שלהם – וכמובן ראינו את גורמי האיום מגיבים לכל זה.
לדוגמה, כאשר כללי המדיניות לעבודה מהבית התפרסמו בהתחלה, ארגונים רבים נאלצו לאפשר גישה ממיקומים שונים רבים למערכות רגישות מאוד ולמשאבים שבדרך כלל לא היו זמינים מחוץ למשרדים תאגידיים. ראינו שגורמי האיום ניסו להסתנן בתוך כל הרעש, העמידו פנים שהם עובדים מרחוק וניגשו למשאבים אלה.
בתחילת מגפת הקורונה היה צורך לקבוע במהירות מדיניות גישה לסביבות ארגוניות, ולפעמים זה נעשה בלי שהיה זמן לחקור ולסקור שיטות עבודה מומלצות. מכיוון שארגונים רבים כל כך לא בדקו את כללי המדיניות האלה מאז אותה פריסה ראשונה, אנחנו רואים היום את גורמי האיום מנסים לגלות ולנצל תצורות לא תקינות ונקודות תורפה.
כבר אין ערך רב כל כך להתקנת תוכנה זדונית במחשבים שולחניים. עכשיו המטרה היא להשיג סיסמאות ואסימונים שמאפשרים לגשת למערכות רגישות בדיוק כמו שהעובדים עושים.
Judy Ng
אני לא יודעת אם לגורמי האיום התאפשר לעבוד מהבית, אבל יש לנו נתונים שמספקים תובנות לגבי האופן שבו הסגרים של תקופת הקורונה השפיעו על הפעילות שלהם בערים שבהן הם התגוררו. לא חשוב היכן הם עבדו, החיים שלהם הושפעו, בדיוק כמו של כל אחד אחר.
לפעמים היה אפשר לראות את השפעת הסגרים העירוניים מהיעדר הפעילות במחשבים שלהם. היה מעניין מאוד לראות את ההשפעה של כל הסגרים המחוזיים האלה בנתונים שלנו.
Judy Ng
יש לי דוגמה מצוינת – אחד מגורמי האיום שאנחנו עוקבים אחריו, Nylon Typhoon. Microsoft נקטה פעולה נגד קבוצה זו בדצמבר 2021 ושיבשה את התשתית ששימשה למתקפות באירופה, באמריקה הלטינית ובמרכז אמריקה.
להערכתנו, פעילות של אחד הקורבנות כללה ככל הנראה פעילות של איסוף מודיעין שנועדו לספק תובנות לגבי שותפים המעורבים ביוזמת החגורה והדרך (BRI) של סין לפרוייקטי תשתית המופעלים על-ידי ממשלת סין ברחבי העולם. אנחנו יודעים שגורמי איום סיניים במימון מדינה מנהלים ריגול מסורתי וריגול כלכלי, ולהערכתנו פעילות זו ככל הנראה כללה את שני ההיבטים.
אנחנו לא בטוחים ב- 100 % כי לא מצאנו הוכחה חותכת. אחרי 15 שנים, אני יכולה לומר שקשה מאוד למצוא הוכחות חותכות. מה שאנחנו יכולים לעשות הוא לנתח מידע, להביא הקשר ולומר, 'אנחנו מעריכים ברמת מהימנות זו שלדעתנו זה סביר מסיבה כזו'.
Sarah Jones
אחד הטרנדים הגדולים ביותר כולל העברת הפוקוס מנקודות קצה של משתמשים ותוכנות זדוניות מותאמות אישית לגורמים שבאמת חיים על הקצה וממקדים את המשאבים שלהם בניצול של מכשירי קצה ושמירה על התמדה. מכשירים אלה הם מעניינים, כי אם מישהו מקבל גישה, הוא יכול להישאר שם זמן רב מאוד.
חלק מהקבוצות חקרו מכשירים אלה לעומק מרשים. הם יודעים כיצד הקושחה שלהם עובדת. הם יודעים אילו נקודות תורפה יש לכל מכשיר והם יודעים שמכשירים רבים לא תומכים בתוכנות אנטי-וירוס או ברישום מפורט.
כמובן, הגורמים הזדוניים יודעים שמכשירים כמו VPN הם המפתח לממלכה עכשיו. ככל שהארגונים מוסיפים שכבות אבטחה כמו אסימונים, אימות רב-גורמי (MFA) ומדיניות גישה, גורמי האיום לומדים לעקוף את ההגנות ולחמוק דרכן.
אני חושבת שגורמים רבים הבינו שאם הם מסוגלים לשמור על התמדה לטווח ארוך באמצעות מכשיר כמו VPN, הם לא באמת צריכים לפרוס תוכנה זדונית בשום מקום. הם יכולים פשוט להעניק לעצמם גישה שמאפשרת להם להיכנס כמו כל משתמש.
למעשה, הם מעניקים לעצמם 'מצב-על' ברשת באמצעות פגיעה במכשירי קצה אלה.
אנחנו גם רונים מגמה שבה גורמי האיום משתמשים ב- Shodan, ב- Fofa או בכל סוג של מסד נתונים הסורק את האינטרנט, מקטלג מכשירים ומזהה רמות תיקון שונות.
אנחנו גם רואים את הגורמים מבצעים סריקות משלהם של נתחי אינטרנט נרחבים – לפעמים מרשימות מטרות קיימות – בחיפוש אחר דברים שאפשר לנצל. כשהם מוצאים משהו, הם יבצעו סריקה נוספת כדי לנצל למעשה את המכשיר ולאחר מכן חוזרים כדי לגשת לרשת.
Sarah Jones
גם וגם. זה תלוי בגורם האיום. יש גורמים שאחראים למדינה מסוימת. זו ערכת המטרות שלהם, וכל מה שחשוב להם זה מכשירים באותה מדינה. אבל לגורמים אחרים יש ערכות מטרות פונקציונליות – הם יתמקדו במגזרים ספציפיים כמו פיננסים, אנרגיה או ייצור. להם תהיה רשימת מטרות ממספר שנים של חברות שחשובות להם וגורמי איום אלה יודעים בדיוק אילו מכשירים ואיזו תוכנה מפעילות המטרות שלהם. אז אנחנו רואים בחלק מגורמי האיום סריקה של רשימת מטרות מוגדרת מראש כדי לראות אילו מטרות תיקנו נקודת תורפה ספציפית.
Judy Ng
גורמי האיום יכולים להיות ממוקדים, שיטתיים ומדויקים מאוד, אבל לפעמים גם יש להם מזל. אנחנו חייבים לזכור שהם בני אדם. כשהם מריצים את הסריקות או אוספים נתונים עם מוצר מסחרי, לפעמים פשוט מתמזל מזלם והם מקבלים את ערכת המידע הנכונה ישר מההתחלה, כדי לעזור להתחיל את הפעולה.
Sarah Jones
זה בהחלט עושה את העבודה. אבל ההגנה הנכונה זה לא רק תיקון. הפתרון היעיל ביותר נשמע פשוט, אבל קשה מאוד ליישם אותו. ארגונים חייבים להבין את המכשירים שלהם שחשופים לאינטרנט, ולהרכיב רשימה שלהם. הם חייבים לדעת איך נראים גבולות הרשת שלהם, ואנחנו יודעים שקשה במיוחד לעשות את זה בסביבות היברידיות עם מכשירים מקומיים וגם מכשירי ענן.
ניהול המכשירים אינו פשוט, ואני לא רוצה להעמיד פנים שכן, אבל הצעד הראשון שאפשר לנקוט הוא להכיר את המכשירים שברשת ואת רמות התיקון עבור כל אחד מהם.
לאחר שיודעים מה יש לכם, אפשר להגדיל את יכולת הרישום ואת מדידת השימוש ממכשירים אלה. צריך לשאוף לפירוט ברישום. קשה להגן על המכשירים האלה. ההימור הטוב ביותר של צוותי ההגנה להגנה על המכשירים האלה הוא רישום ואיתור חריגות.
Judy Ng
הלוואי שהיה לי כדור בדולח שיגלה לי מהן התוכניות של ממשלת סין. לצערי, אין לי כדור כזה. אבל מה שאנחנו לראות הוא ככל הנראה תיאבון לגישה למידע.
לכל לאום יש תאבון כזה.
גם אנחנו אוהבים מידע. אנחנו אוהבים נתונים.
Sarah Jones
Judy היא המומחית ליוזמת החגורה והדרך (BRI) והמומחית הגאופוליטית שלנו. כשאנחנו מביטים במגמות, אנחנו מסתמכים על התובנות שלה, בייחוד בנושא התמקדות במטרות. לפעמים אנחנו רואים שמגיעה מטרה חדשה וזה לא כל כך הגיוני. זה לא מסתדר עם מה שעשינו בעבר, אז אנחנו מעבירים את זה ל- Judy, שאומרת לנו, 'אה, יש פגישה כלכלית חשובה במדינה זאת, או שיש משא ומתן לגבי בניית מפעל חדש במיקום הזה.'
Judy מעניקה לנו הקשר חשוב – הקשר חיוני לגבי הסיבות לפעולת של גורמי האיום. כולנו יודעים להשתמש ב- Bing Translate, וכולנו יודעים לחפש סיפורים בחדשות, אבל כשמשהו לא מסתדר, Judy יכולה לומר לנו, 'התרגום של זה הוא כך וכך', וזה יכול להיות ההבדל המכריע.
מעקב אחר גורמי איום סיניים דורש ידע תרבותי על המבנה של הממשלה שלהם ועל אופן הפעולה של החברות והמוסדות שלהם. העבודה של Judy עוזרת להציג באופן ברור את המבנה של הארגונים האלה ומאפשרת לנו לדעת איך הם פועלים – איך הם מרוויחים ואיך הם מתנהלים עם ממשלת סין.
Judy Ng
כמו שאמרה Sarah, זה עניין של תקשורת. אנחנו תמיד משוחחים בצ'אט של Teams. אנחנו תמיד משתפים את התובנות שעלו ממדידת השימוש שעזרו לנו להתקדם למסקנה אפשרית.
Judy Ng
מה הסוד שלי? הרבה זמן שמוקדש ללמידה באינטרנט ולקריאה. אבל ברצינות, אני חושבת שאחד מהדברים החשובים ביותר הוא פשוט לדעת איך להשתמש במנועי החיפוש השונים האלה.
נוח לי להשתמש ב- Bing, אבל גם ב- Baidu וב- Yandex.
וזה מכיוון שמנועי חיפוש שונים מספקים תוצאות שונות. אני לא עושה משהו מיוחד, אבל אני כן יודעת לחפש תוצאות שונות ממקורות שונים כדי שאוכל לנתח את הנתונים שמגיעים משם.
לכל החברים בצוות יש ידע רב. לכולם יש כוחות-על – פשוט צריך לדעת את מי לשאול. וזה ממש נהדר שאנחנו עובדים בצוות שבו לכולם נוח לשאול שאלות אחד מהשני, נכון? אנחנו תמיד אומרים שאין שאלות מטופשות.
Sarah Jones
המקום הזה מבוסס על שאלות מטופשות.
Sarah Jones
עכשיו זה הזמן המושלם להיכנס לאבטחת IT. כשהתחלתי לראשונה, לא היו הרבה שיעורים או משאבים או דרכים לחקור. עכשיו יש תוכניות תואר ראשון ושני! עכשיו יש דרכים רבות להיכנס למקצוע. כן, יש מסלולים שיכולים לעלות כסף רב, אבל יש גם מסלולים זולים וחינמיים.
אחד ממשאבי ההדרכה החינמיים בנושא אבטחה פותח על-ידי Simeon Kakpovi ו- Greg Schloemer, עמיתינו בבינת האיומים של Microsoft. הכלי הזה, המכונה KC7, מעניק לכולם גישה לכניסה לתחום אבטחת ה- IT, להבנת אירועי רשת ומארח ולציד של גורמי איום.
עכשיו יש אפשרות להיחשף גם לסוגים שונים של נושאים. כשרק התחלתי, היה צריך לעבוד בחברה עם תקציב של מיליוני דולרים כדי לאפשר את הכלים האלה. עבור אנשים רבים זה היה חסם לכניסה. אבל עכשיו כולם יכולים לנתח מדגמי תוכנה זדונית. פעם היה קשה למצוא מדגמי תוכנה זדונית ולכידות מנה. אבל החסמים האלה מתפוררים. היום יש כלים ומשאבים רבים מקוונים וחינמיים, שמאפשרים למידה עצמית בקצב שלכם.
העצה שלך היא להבין מה הנישה שמעניינת אתכם במיוחד. רוצים לחקור תוכנות זדוניות? זיהוי פלילי דיגיטלי? בינת איומים? התמקדו בנושאים המועדפים עליכם ונצלו את המשאבים הזמינים באופן ציבורי ונסו ללמוד כמה שאפשר איתם.
Judy Ng
הדבר החשוב ביותר הוא להיות סקרנים, נכון? יחד עם הסקרנות, חייבים לדעת לעבוד עם אנשים אחרים. חשוב לזכור שזו עבודת צוות – אף אחד לא יכול לעשות אבטחת סייבר לבד.
חשוב להיות מסוגלים לעבוד בצוות. חשוב להיות סקרנים ופתוחים ללמידה. אתם חייבים להרגיש בנוח לשאול שאלות ולגלות דרכים לעבוד עם חבריכם לצוות.
Sarah Jones
זה נכון לחלוטין. הייתי רוצה להדגיש שבינת האיומים של Microsoft עובדת עם צוותי שותפים רבים ב- Microsoft. אנחנו מסתמכים מאוד על המומחיות של עמיתינו כדי להבין מה גורמי האיום עושים ולמה הם עושים את זה. לא היינו יכולים לעשות את העבודה שלנו בלעדיהם.
עקוב אחר 'האבטחה של Microsoft'