Киберугрозы нацелены на оборонно-промышленный комплекс
Киберугрозы в отношении оборонно-промышленного комплекса (ОПК) усиливаются: противники переходят от традиционного шпионажа к операциям, призванным нарушить производственные мощности и скомпрометировать цепочки поставок.
В этом интервью для Help Net Security Люк Макнамара, заместитель главного аналитика Группы анализа угроз Google, объясняет, как злоумышленники атакуют всю оборонную экосистему и почему идентичность стала новым рубежом безопасности.
Операции против государственных учреждений часто сосредоточены на немедленном сборе разведданных для получения тактических преимуществ во время политических и торговых переговоров или даже для поддержки на поле боя. Кампании против ОПК, однако, часто нацелены на кражу интеллектуальной собственности и результатов НИОКР, а также на создание точек доступа в преддверии возможного военного конфликта.
Ключевая стратегическая цель в отношении ОПК — компрометация цепочки поставок промышленной базы, чтобы подорвать способность страны наращивать производство оборонных компонентов в военное время. Это атака на саму производственную мощность, а не только на секреты, хранящиеся в государственных органах.
Самое большое ошибочное предположение, которое я до сих пор наблюдаю, — это вера в то, что угрозы сосредоточены только на крупных оборонных подрядчиках. В реальности злоумышленники атакуют всю оборонную экосистему: от гигантских генеральных подрядчиков до стартапов, создающих узкоспециализированные продукты. Это особенно верно для компаний, производящих компоненты двойного назначения, используемые как в гражданских, так и в военных целях, например, дроны. Этот сектор часто подвергается атакам программ-вымогателей и шантажу, что косвенно влияет на оборонную цепочку поставок.
Вместо того чтобы пытаться обнаружить каждую потенциальную уязвимость, организациям следует сосредоточиться на фундаментальных мерах, повышающих прозрачность, обеспечивающих разделение учётных записей и строгий контроль аутентификации. Внедряя строгую аутентификацию и разделение идентификаторов, вы вынуждаете злоумышленника прилагать больше усилий и совершать действия, которые сами по себе выглядят подозрительно, превращая вашу защиту в инструмент обнаружения.
Не стоит рассматривать фреймворк MITRE ATT&CK просто как контрольный список. Создайте профиль, адаптированный под тех угроз, которые действительно нацелены на ваш конкретный сектор. Если вы разрабатываете оборудование для подводной акустики, ваш профиль должен фокусироваться на тактиках, техниках и процедурах (TTP) акторов, известных морским шпионажем. Зрелая программа также строит логику обнаружения на основе конкретных TTP.
Поверхность атак расширилась за пределы корпоративных сетей и теперь включает таргетирование личных электронных почт, профилей в профессиональных социальных сетях, а также личных устройств. Личный профиль инженера в LinkedIn или приватный репозиторий разработчика на GitHub являются такой же частью поверхности атак, как и корпоративный межсетевой экран. Руководителям необходимо принять концепцию "нулевого периметра", где идентичность людей, машин и программного обеспечения становится точкой контроля.
Границы безопасности также должны распространяться на сторонних поставщиков. Руководителям следует знать стандарты идентификации своих партнёров и обеспечивать, чтобы поставщики придерживались аналогичных стандартов безопасности и управления идентификацией.