Išsamus žvilgsnis į įsilaužimą, aktyvią gynybą ir kibernetines markės raides

Kibernetinio saugumo srityje daug diskutuojama apie galimybę privačiam sektoriui įsitraukti į aktyvią kibernetinę gynybą arba šnekamojoje kalboje „nulaužti atgal“. Siekiant ištirti arba įgalinti tai, buvo pristatyti keli namo įstatymų projektai, pvz., „Reagavimo į kibernetinę ataką galimybių aktas“ ir „Aktyvios kibernetinės gynybos tikrumo įstatymas“.

Įsilaužimas atgal yra skėtinis terminas, apibūdinantis įvairias siūlomas Kompiuterinio sukčiavimo ir piktnaudžiavimo įstatymo (CFAA), kuris yra pagrindinis JAV įstatymas prieš kompiuterių įsilaužimą, išimčių. Šios išimtys leistų saugumo ekspertams užsiimti atsakomuoju įsilaužimu prieš nusikalstamus veikėjus tokiais tikslais kaip priskyrimas arba trikdymas.

Nors Aktyviosios kibernetinės gynybos tikrumo (ACDC) įstatymas yra labai konkretus, bendresnė diskusija gerokai peržengia jo ribas. Nuomonių yra įvairių: nuo riboto įsilaužimo pagal iš anksto patvirtintą sritį iki visiško nemokamo visiems be išankstinio patvirtinimo ar priežiūros. Visai neseniai buvo pasirodę keli nuomonės straipsniai, raginantys skelbti „kibernetinius ženklus“, leidžiančius saugumo specialistams užsiimti privačia veikla.

Pagrindinės ACDC įstatymo nuostatos leidžia gynėjams įsilaužti į užpuolikų valdomą infrastruktūrą šiais tikslais:

  1. Užpuolikų priskyrimas
  2. Atakų prieš aukos tinklą trikdymas
  3. Pavogtų aukos duomenų atkūrimas arba sunaikinimas
  4. Mokymasis apie užpuolikų elgesį, siekiant sukurti geresnę apsaugą

Visų šių įsitikinimų esmė yra ta, kad išlyginę žaidimo sąlygas gynėjai galėtų geriau reaguoti į įsibrovimus ir atgrasyti nuo atakų.

Baudžiamasis persekiojimas

ACDC įstatyme vartojama kalba „kaip gynyba prieš patraukimą baudžiamojon atsakomybėn“, o tai reiškia, kad jis netrukdo pareikšti kaltinimus ar patraukti baudžiamojon atsakomybėn, o tiesiog veikia kaip galima gynyba teisme. Tai būtų panašu į tai, kaip savigyna gali netrukdyti jūsų suimtam ir apkaltintam, tik gali išvengti teistumo.

Statistiškai tik apie 5 % federalinių bylų net patenka į teismą. Kibernetinių nusikaltimų bylos dažnai trunka metus ikiteisminio tyrimo etape ir gali kainuoti iki vieno milijono dolerių teisinių mokesčių. Be to, kaltę prisipažįstantiems kaltinamiesiems prokurorai siūlo žymiai mažesnes bausmes. Kaltinamiesiems dažnai geriau priimti tikrumą, o ne palikti savo likimą 12 atsitiktinių piliečių rankose. Laiko, išlaidų, rizikos ir emocinės naštos derinys lemia, kad daugelis nekaltų kaltinamųjų prisipažįsta kaltais, kad išvengtų teismo.

ACDC akte taip pat konkrečiai teigiama, kad tai nėra gynyba nuo civilinių ieškinių, dėl kurių gali kilti daugybė problemų. Pavyzdžiui, aukos, kurioms nepavyko sumokėti išpirkos už išpirką reikalaujančių išpirkų dėl ACDC įjungtų sutrikimų, gali paduoti sutrikdytojams ieškinį, kad susigrąžintų nuostolius. Žalos taip pat gali reikalauti IPT, kuriuose yra užpuolikų infrastruktūra, kiti aktyvūs gynėjai ar net patys grėsmės veikėjai.

Atsižvelgiant į visuotinį interneto pobūdį, tokie įstatymo projektai kaip ACDC įstatymas taip pat nesuteiktų jokios apsaugos nuo tarptautinės teisės. Jei aktyvūs gynėjai įsibrauna į užsienio sistemas arba JAV sistemas, priklausančias užsienio kompanijoms, jie vis tiek gali atsidurti karštame vandenyje.

Nors daugelis didelių įmonių gali sau leisti pasinaudoti teisine gynyba ir apsaugoti darbuotojus nuo tiesioginio baudžiamojo persekiojimo, mažoms įmonėms, rangovams ir asmenims nepasisekė. Apskritai, šis aktas siūlo silpną apsaugą ir tiesiog suteiktų daugiau galių didelėms korporacijoms, kurios gali sau leisti ilgus teismo procesus.

Interesų konfliktai

Nors patraukimo baudžiamojon atsakomybėn riziką gali sumažinti ACDC įstatyme nustatytas reikalavimas gauti išankstinį Teisingumo departamento (DOJ) patvirtinimą, tai sukelia didelį interesų konfliktą.

Teisėsaugos tikslas – rinkti žvalgybos duomenis, siekiant sulaikyti nusikaltėlius, o tai reiškia, kad užpuolikai yra stebimi kuo tyliau. Teisėsaugos operacijos gali užtrukti daug mėnesių ar metų, ir nors jos trumpuoju laikotarpiu gali mažai padėti aukoms, pagrindinių veikėjų areštas gali užkirsti kelią daugeliui tolesnių išpuolių.

Kita vertus, nekoordinuota aktyvi gynyba yra daug trumparegiškas tikslas. Daugelis gynėjų sieks nutraukti individualius išpuolius prieš savo klientus ilgalaikio žvalgybos duomenų rinkimo sąskaita. Nors trikdymas gali būti geras, jis taip pat verčia užpuolikus tobulėti ir prisitaikyti, todėl tolesnis stebėjimas ir trikdymas tampa sunkesnis.

Bet koks užpuolikų sistemų sutrikimas tikrai įspės užpuolikus apie pažeidimą. Negarantuojama, kad net pasyvus žvalgybos duomenų rinkimas identifikavimo tikslais liks nepastebėtas. Kuo daugiau įsibrovimų į užpuolikų sistemą, tuo didesnė tikimybė, kad užpuolikai pastebės. Nesant būdo koordinuoti ir sinchronizuoti privačios pramonės ir vyriausybės prieigos, atradimo rizika yra labai didelė.

Tikriausiai teisėsaugos interesai būtų tiesiog atmesti visus aktyvios gynybos prašymus, nes jie kelia tiesioginę grėsmę jų pagrindinei misijai. Siūlomo pranešimo proceso nepakaktų tokiai rizikai sumažinti, ir viskas, kas nėra tiesioginė priežiūra, yra pasmerkta žlugti.

Iškrypėliškos paskatos ir nesuderinamumas

Įstatymai, tokie kaip ACDC įstatymas, sukurtų pelningą naują rinką, leidžiančią saugumo testavimo įmonėms teikti paslaugas, veikiančias kaip kibernetiniai samdiniai atakų aukų vardu. Nors daugelis įsilaužimo įgūdžių puikiai išverčiami į aktyvią kibernetinę gynybą, jie nepateikia viso vaizdo.

Aktyvi kibernetinė gynyba įveda naujus kintamuosius, pvz., dekonflikto poreikį, kad būtų išvengta žalingų operacijų, išskyrus savo. Aktyvūs gynėjai turėtų elgtis atsargiai, kad netrikdytų tiek vidaus, tiek užsienio karinių ar žvalgybos operacijų. Jautrus tokių operacijų pobūdis reiškia, kad be tvirtų ryšių su karine ir žvalgybos bendruomene tai bus beveik neįmanoma. Be to, skirtingų tikslų ir finansinių paskatų derinys gali reikšti, kad privačios pramonės požiūriu nėra mažai noro net bandyti atskirti konfliktą.

Kai kurie aspektai, susiję su prieiga prie užpuolikų valdomos infrastruktūros, yra šie:

  1. Ar aš rizikuoju užteršti ar sunaikinti rąstus, todėl kitiems bus sunkiau atskirti tikruosius užpuolikus nuo draugiškų įsibrovėlių?
  2. Ar šis infrastruktūros užpuolikas priklauso? Ar aš tikras, kad tai nėra pažeista sistema, IP adresas, kuris nuo to laiko pasikeitė, tarpinis serveris, klaidinga vėliavėlė ar šiuo metu nekontroliuojama teisėsaugos institucijų?
  3. Ar dėl mano veiklos gali pasikeisti užpuoliko elgesys, pvz., padidėti agresija, siekiant susigrąžinti nuostolius?
  4. Ar aš rizikuoju padaryti ką nors, kas gali paskatinti atradimą, sudeginti prieigą visiems arba užpuolikui keršyti?
  5. Ar iš šio įsibrovimo aš išvis galiu gauti ką nors naujo ir objektyviai naudingo?
  6. Ar tikėtina, kad niekas jau tyliai nedaro to, ką ketinu daryti (priskirti atakas, įspėti aukas, tobulinti saugumo gaires, pagrįstas užpuoliko elgesiu, trukdyti įsilaužimams)?

Viskas tampa labai netvarkinga, kai potencialiai šimtai gynėjų bando priimti tuos pačius sprendimus, remdamiesi skirtinga įžvalga ir tikslais, mažai derindami vienas kitą arba visai nekoordinuodami. Greitai tai taps per daug virėjų scenarijumi.

Ji jau egzistuoja

Nors ne kiekvienas gali tiesiog paimti nešiojamąjį kompiuterį ir svaidyti rankomis į artimiausią grėsmės veikėją, aktyvi gynyba jau įprasta. Teisėsauga jau turi gebėjimų suteikti teisinę apsaugą privatiems asmenims ar įmonėms, padedančioms atlikti operacijas.

„Botnet“ panaikinimas, kaip ir neseniai įvykę veiksmai prieš „Emotet“, yra tik vienas iš privačios pramonės aktyvios gynybos pavyzdžių.

Emoteto panaikinimas buvo labai koordinuota operacija, kurioje dalyvavo pavieniai tyrėjai, privačios įmonės ir teisėsaugos agentūros iš devynių šalių. Operacijai vadovavo teisėsauga, siekdama išvengti pasikartojančių ar prieštaringų operacijų, tačiau ji labai rėmėsi privačios pramonės galimybėmis. Privataus sektoriaus ir vyriausybės sinergija leido taikyti įvairiapusį požiūrį, darantį didžiausią poveikį. Veiksmas apėmė visišką botneto perėmimą, platinimo kanalų ir veikėjų infrastruktūros uždarymą, taip pat tuo pačiu metu vykdomus teisėsaugos reidus, kuriais buvo siekiama sutrukdyti ateities rekonstrukcijai.

Nepaisant ilgus metus trukusio planavimo ir vienos didžiausių kada nors vykdytų viešojo ir privataus sektoriaus operacijų, Emotet panaikinimas lėmė tik dešimties mėnesių prastovą. Dabar dešimties mėnesių gedimas nėra mažas žygdarbis. Operacija buvo didžiulė sėkmė ir tikriausiai išvengė milijardų dolerių žalos. Tačiau tai rodo, kad net geriausiai suplanuota ir gerai atlikta operacija gali padaryti tiek daug. Turime sutelkti dėmesį į stiprią įprastą gynybą, kuri papildytų esamą aktyvią gynybą, o ne sukurti skaitmeninius laukinius kibernetinių samdinių vakarus. Paskutinis dalykas, kurio mums reikia, yra didelės koordinuotos operacijos, kurias trikdo keletas prastai apgalvotų atakų, kurios yra tik nedidelis nepatogumas grėsmės veikėjams.

Galbūt labiausiai iškalbinga tai, kad ne vienas asmuo, su kuriuo kalbėjausi teisėsaugos, kariuomenės, žvalgybos ar kibernetinių grėsmių žvalgybos srityse, nemanė, kad tokie teisės aktai yra gera idėja. Didžioji dalis paramos gauta iš kitų pramonės sričių, kuriose įsilaužimo meistriškumas yra įprastas, tačiau patirtis dirbant su realiais grėsmės veikėjais yra labai reta.

Manau, kad didžioji dalis aktyvios kibernetinės gynybos pastangų atsirado dėl didėjančio nusivylimo dėl nuolat didėjančio kibernetinių atakų skaičiaus ir sunkumo. Daugelis mano, kad su jais kovoti daroma nepakankamai, bet kodėl taip yra? O ar aktyvi kibernetinė gynyba išsprendžia šią problemą?

Imuniteto langas

Šiuo metu vyriausybės gebėjimas reaguoti į kibernetines atakas yra labai akloji dėmė. Teisėsauga kovoja su elektroniniais nusikaltimais savo jurisdikcijoje, o kariuomenė ir žvalgybos bendruomenė taikosi į priešiškus valstybės veikėjus ir kitas grėsmes nacionaliniam saugumui. Bet kas atsitinka, kai grėsmės veikėjas nepatenka į nė vieną kategoriją?

Imuniteto langas egzistuoja, kai grėsmės veikėjas yra apsaugotas nuo teisėsaugos jų gimtosios šalies; tačiau jie neatitinka nei valstybės veikėjų, nei grėsmės nacionaliniam saugumui slenksčio. Tai miela vieta, kurioje veikia daugelis išpirkos reikalaujančių veikėjų.

Išpirkos reikalaujančios programinės įrangos naudotojai, gyvenantys JAV nedraugiškose šalyse, gali būti apsaugoti nuo baudžiamojo persekiojimo, jei nenutaikys savo gimtosios šalies ar jos sąjungininkų. Nors išpirkos reikalaujančios programos veikėjai, keliantys aiškią ir didelę grėsmę visuomenės saugumui, gali atsidurti Cyber ​​Command Et taikiklyje. al., iki tol jie iš esmės gali laisvai veikti nebaudžiami.

Žinoma, leidus privačiai pramonei įsitraukti į aktyvią kibernetinę gynybą, šis langas gali būti uždarytas, nors ir brangiai. Tokia veikla keltų pavojų operacijoms prieš grėsmės veikėjus, jau pasiekiamus JAV vyriausybei, ir panaikintų bet kokią galimą naudą. Aktyvi kibernetinė gynyba taip pat gali būti vertinama kaip priimančiųjų šalių agresijos aktas, sukeliantis eskalavimą ir valstybės remiamų atsakomųjų veiksmų prieš JAV privačią pramonę potencialą.

Ateities diskusija

Idealiu sprendimu turėtų būti siekiama uždaryti imuniteto langą nepakenkiant teisėsaugos, karinėms ar žvalgybos operacijoms ir idealiu atveju drastiškai nepadidinant tokių agentūrų pasiekiamumo. Nors privačios pramonės aktyvi kibernetinė gynyba pati savaime neturėtų būti sprendimas, kai kuriose situacijose ji gali būti naudinga kaip paskutinė priemonė; tačiau tai turėtų būti daroma tik tiesiogiai prižiūrint vyriausybei.

Kol kas tai palieku atvirą, nes dirbu prie tolesnio kūrinio. Sveikiname, jei taip toli pasiekėte.