Stratēģiskais klusums: kāpēc Palo Alto Networks vilcinājās nosaukt Ķīnu nesenajos kiberizspiegošanas atklājumos

Augstu likmju pasaulē globālajā kiberdrošībā "atribūcija" — publiska valsts vai grupas nosaukšana aiz uzbrukuma — bieži tiek uzskatīta par morālu un profesionālu pienākumu. Tomēr nesenie atklājumi saistībā ar Palo Alto Networks (PANW) liecina, ka robeža starp tehnisko caurskatāmību un ģeopolitisko izdzīvošanu kļūst arvien neskaidrāka.

Pagājušajā nedēļā kiberdrošības gigants atklāja vērienīgu, sarežģītu kiberizspiegošanas kampaņu, kas vērsta pret kritisko infrastruktūru un valdības iestādēm. Lai gan tehniskie indikatori norādīja uz pazīstamiem modeļiem, kas saistīti ar Ķīnas valsts atbalstītiem dalībniekiem, Palo Alto Networks oficiālais ziņojums palika neraksturīgi kluss par izcelsmi. Saskaņā ar iekšējās informācijas sniedzējiem, tā nebija tiesu ekspertīzes kļūda, bet gan aprēķināts gājiens, lai izvairītos no Pekinas dusmām.

Kampaņas anatomija

Attiecīgā kampaņa ietvēra iepriekš nezināmu ievainojamību izmantošanu tīkla ierīcēs. Uzbrucēji demonstrēja tādu sarežģītības līmeni, kas liecināja par lieliem līdzekļiem un ilgtermiņa plānošanu. Viņi ne tikai zaga datus; viņi izveidoja pastāvīgas "sētas durvis" (backdoors), kas ļāva mēnešiem ilgi nepamanīti pārvietoties pa jutīgiem tīkliem.

Lielākajai daļai drošības pētnieku atstātie digitālie pirkstu nospiedumi — no specifiskām ļaunprogrammatūras maskēšanas tehnikām līdz komandvadības infrastruktūrai — bļautin bļāva "Ķīna". Tomēr, kad tika publicēts baltais papīrs (white paper), sadaļa "Kas" bija uzkrītoši tukša. Šis izlaidums ir izraisījis karstas debates nozarē: vai bailes no regulatīvām represijām beidzot ir apklusinājušas pasaules lielākos kiberdrošības pārdevējus?

Atribūcijas cena

Lai saprastu, kāpēc vairāku miljardu dolāru vērts uzņēmums piebremzētu, ir jāskatās uz regulatīvo vidi Ķīnā. Pēdējo gadu laikā Pekina ir pastiprinājusi kontroli pār to, kā ārvalstu tehnoloģiju uzņēmumi darbojas tās robežās. Tādi likumi kā Datu drošības likums un Pretspiegošanas likums ir radījuši mīnu lauku Rietumu firmām.

Ja Palo Alto Networks oficiāli piedēvētu vērienīgu uzbrukumu Ķīnas valdībai, sekas varētu būt ātras un smagas. Tās varētu ietvert:

• Regulatīvās revīzijas: Pēkšņas, invazīvas vietējo operāciju pārbaudes.
• Izslēgšana no tirgus: Iekļaušana "melnajā sarakstā", liedzot sniegt pakalpojumus Ķīnas valsts uzņēmumiem vai pat privātām firmām.
• Klientu represijas: Risks, ka iestādes varētu vērsties pret pašas firmas klientiem, kas darbojas Ķīnā, kā sekundāru spiedienu.

Iedomājieties to kā liecinieku skaļā tiesas prāvā. Viņi precīzi zina, kurš pastrādāja noziegumu, taču viņi arī zina, ka noziedznieka līdzgaitnieki sēž tiesas zāles pirmajā rindā un vēro katru viņu kustību. Šajā analoģijā tiesas zāle ir globālais tirgus, un likme ir miljardiem dolāru lieli ikgadējie ieņēmumi.

Draudu izlūkošanas erozija

Lēmums nepubliskot atribūciju nav tikai biznesa manevrs; tam ir reālas sekas globālajai drošībai. Draudu izlūkošana balstās uz "kopīgas aizsardzības" modeli. Kad tāds nozīmīgs spēlētājs kā Palo Alto Networks identificē draudus, bet slēpj to avotu, tas rada plaisu kolektīvajā izpratnē par pretinieka motivāciju un nākotnes mērķiem.

Kad mēs zinām, kurš uzbrūk, mēs varam labāk paredzēt, kāpēc viņi uzbrūk. Valsts atbalstīta grupa, kas meklē intelektuālo īpašumu, uzvedas citādi nekā noziedznieku banda, kas pieprasa izpirkuma maksu. Noņemot šo "kurš", nozare zaudē kontekstu, kas nepieciešams proaktīvas aizsardzības veidošanai.

Pieaugoša stratēģiskās neskaidrības tendence

Palo Alto Networks nav vienīgais šajā cīņā. Mēs ieejam "stratēģiskās neskaidrības" ērā tehnoloģiju ziņojumos. Saasinoties ģeopolitiskajai spriedzei starp Rietumiem un Ķīnu, tehnoloģiju giganti nonāk pa vidu. No tiem tiek gaidīts, ka tie būs interneta sargi, tomēr tie ir arī publiski tirgoti uzņēmumi ar fiduciāru pienākumu aizsargāt savus akcionārus no diplomātisko strīdu finansiālajām sekām.

Šī spriedze rada paradoksu: jo spēcīgāks kļūst kiberdrošības uzņēmums, jo vairāk tam ir ko zaudēt, sakot visu patiesību. Tas noved pie sadrumstalotas realitātes, kurā mazie specializētie drošības uzņēmumi — kuriem nav interešu Ķīnas tirgū — ir vienīgie, kas vēlas saukt valsts atbalstītos dalībniekus vārdā.

Praktiski ieteikumi organizācijām

Vidē, kurā pārdevēji var veikt pašcenzūru, organizācijas nevar paļauties tikai uz vienu patiesības avotu. Lūk, kā jūsu drošības komandai vajadzētu pielāgoties:

1. Dažādojiet izlūkošanas avotus: Papildiniet lielo pārdevēju ziņojumus ar datiem no neatkarīgām pētniecības grupām un valdības aģentūrām (piemēram, CISA vai NCSC), kuras ir mazāk pakļautas komerciālam spiedienam.
2. Koncentrējieties uz TTP, nevis tikai vārdiem: Neatkarīgi no tā, "kurš" uzbrūk, koncentrējiet aizsardzību uz taktiku, metodēm un procedūrām (TTP). Ja ziņojumā aprakstīts konkrēts veids, kā uzbrucējs pārvietojas pa tīklu, aizsargājieties pret šo kustību neatkarīgi no tā, kur atrodas uzbrucējs.
3. Pieprasiet caurskatāmību: Iepirkumu laikā jautājiet saviem pārdevējiem par viņu atribūcijas politiku. Viņu iekšējo "sarkano līniju" izpratne var palīdzēt novērtēt sniegtās informācijas pilnīgumu.
4. Pieņemiet ģeopolitisko risku: Ja jūsu organizācija darbojas jutīgās nozarēs, pieņemiet, ka esat valsts atbalstītu dalībnieku mērķis, pat ja jūsu drošības informācijas panelī tie nav tieši nosaukti.

"Vainīgo meklēšanas" nākotne

Palo Alto Networks klusēšana iezīmē pagrieziena punktu attiecībās starp lielajām tehnoloģijām un valsts varu. Tā kā digitālā un fiziskā pasaule turpina saplūst, spiediens klusēt tikai pieaugs. Nākamās desmitgades izaicinājums būs atrast veidu, kā saglabāt draudu izlūkošanas integritāti, nepārvēršot katru drošības ziņojumu par diplomātisku incidentu. Pagaidām nozarei jāmācās lasīt starp rindām, atrodot patiesību datos, kurus uzņēmumi baidās izteikt skaļi.

Avoti

• Palo Alto Networks Unit 42 Research Blog
• Bloomberg Technology: Cybersecurity and Geopolitics
• CISA (Cybersecurity & Infrastructure Security Agency) Advisory Archives
• The Diplomat: China's Data Security Law and Its Impact