Кибербезопасность – это область с глубокими нюансами, требующая, чтобы специалисты по безопасности работали круглосуточно, чтобы извлекать значимую и своевременную информацию из постоянно растущего массива разрозненных сигналов данных. Только в Microsoft мы ежедневно обрабатываем 65 триллионов сигналов со всех типов устройств, приложений, платформ и конечных точек, чтобы понять наш текущий ландшафт угроз.
Однако изолированного просмотра этих данных недостаточно. Группы безопасности должны также учитывать более широкий геополитический контекст, из которого появились эти сигналы безопасности. В конце концов, если специалисты по безопасности надеются раскрыть “почему”, стоящие за преступной деятельностью, они должны сначала изучить взаимосвязь киберугроз и анализа геополитической разведки. Этот стратегический анализ киберугроз национальных государств также имеет решающее значение для подготовки и защиты уязвимых аудиторий, которые могут стать целью будущих атак.
Например, в преддверии полномасштабного вторжения России в Украину в 2022 году команда Microsoft Threat Intelligence выявила украинских клиентов, подверженных риску кибератак в случае эскалации конфликта. Этот анализ был основан на вероятных секторах, на которые воюющая нация нацелилась бы, чтобы ослабить своего противника, а также на расположении незадействованных и уязвимых систем. Внедрение практики мониторинга и заблаговременное оповещение украинских партнеров об уязвимостях помогли командам по поиску угроз усилить уязвимости, выявить аномальную активность и ускорить внедрение средств защиты продуктов.
Итак, как выглядит этот геополитический анализ сегодня?
Контекстуализированная информация об угрозах в действии: тематическое исследование России и Украины
Команды Microsoft по анализу угроз и обработке данных уже давно участвуют в войне России против Украины, тесно сотрудничая с нашими союзниками в оказании поддержки цифровой обороне Украины с начала российского вторжения.
В последнее время Microsoft наблюдает быструю эволюцию тактики ведения цифровой войны на полях сражений в Украине, где кибератаки и кампании по оказанию вредоносного влияния объединяются как части более широкой стратегии ведения боевых действий. В частности, негосударственные субъекты, такие как киберволонтеры, хактивисты и частный сектор, играют все более активную роль в конфликте. Известно также, что связанные с Россией кибер-агенты и субъекты влияния усиливают киберактивность, используют пропаганду для продвижения нарративов, ориентированных на Кремль, в целевой аудитории и разжигают разногласия среди населения Европы.
Ниже приведены пять ключевых тактик, которых Microsoft придерживалась на протяжении всей войны России с Украиной:
- Активизация операций в компьютерных сетях (CNO): Деятельность CNO России включает в себя деструктивные операции, ориентированные на шпионаж, которые иногда поддерживают цели влияния. Корпорация Майкрософт считает, что эта деятельность, вероятно, усилится, поскольку большая часть усилий CNO России сосредоточена на Украине, а также дипломатических и военных организациях в государствах-членах НАТО. Соседи Украины и фирмы частного сектора, которые прямо или косвенно вовлечены в украинскую цепочку военных поставок, также, вероятно, окажутся в зоне риска.
- Использование пацифизма в качестве оружия и мобилизация национализма: пропагандистские кампании России пытаются усилить внутреннее недовольство по поводу военных расходов и разжечь опасения по поводу Третьей мировой войны в европейских странах по всему политическому спектру. В этих рассказах часто утверждается, что поддержка Украины выгодна политической элите и наносит ущерб интересам местного населения.
- Использование разногласий и демонизация беженцев: Россия по-прежнему привержена влиянию на операции, которые натравливают государства-члены НАТО друг на друга. Венгрия часто становилась мишенью таких усилий, как Польша и Германия. Мы также видели, как Россия пыталась подорвать солидарность с Украиной, демонизируя беженцев и играя на сложных исторических, этнических и культурных обидах.
- Нацеливание на сообщества диаспоры: Используя подделки и другие недостоверные или сфабрикованные материалы, связанные с Россией влиятельные лица широко пропагандировали идею о том, что европейским правительствам нельзя доверять. Эти субъекты часто распространяют ложные слухи, утверждающие, что украинцы будут принудительно экстрадированы для участия в войне.
- Увеличение числа операций хактивистов: Корпорация Майкрософт и другие наблюдали за предполагаемыми группами хактивистов, проводящими или утверждающими, что проводили DDoS-атаки, кибервзломы и кражу данных против предполагаемых противников. Эти негосударственные структуры поддерживают усилия России по проецированию власти онлайн. Некоторые из этих групп связаны с такими субъектами киберугроз, как Seashell Blizzard и Cadet Blizzard, предполагая, что они также предлагают определенную степень правдоподобного отрицания кибератак.
Работа Microsoft с Украиной только подчеркнула важность новых партнерских отношений между государственными и частными организациями. Отслеживая активность угроз, создавая код для улучшения продуктов безопасности и повышая осведомленность о тенденциях угроз, сообщество коллективной безопасности может усилить защиту не только Украины, но и сетей по всему миру. В конце концов, аналитические центры, образовательные учреждения и консалтинговые компании являются одними из наиболее часто подвергающихся атакам секторов экономики.