Atskleidimo dilema

Š. m. gegužės 22 d. Lukas Apynis (Baltimax) pasidalino informacija[1] [2] apie naujai pastebėtą žalingą programinę įrangą (angl. Malware). Supildžius informaciją į NRD Cyber Security vidinę MISP sistemą, ir tikrinant, ar šių pavojaus požymių (IOCs) nėra CyberSOC klientų aplinkose buvo pastebėtas atvejis, kai laiškas su žalingu prisegtuku buvo gautas iš patikimo domeno. Analizuojant laišką matome jog turinyje yra pasinaudota teisės srityje dirbančios įmonės įvaizdžiu, siekiant padidinti laiško patikimumą gavėjo akyse.

Taigi, šio specifinio laiško atveju, turime net tris aukas:

Laiško gavėjas – tiesioginė šio incidento auka.
Laiško siuntėjas – šio incidento „puolėjas“, suprantama jog tai yra kitos įmonės užvaldyta el. pašto paskyra, tad jie patys irgi yra kito incidento aukos.
Teisės srityje dirbanti įmonė – netiesioginė šios žalingos kampanijos auka.

Dilema

Kaip manote, kuriuos duomenis yra tinkama, leistina, privaloma, o gal net draudžiama viešinti? Šiuo metu rinkoje nėra standartizuotos praktikos.

Laiško gavėjo informacija – neidentifikuojama. SOCshare projekto apimtyje yra vadovaujamasi nuostata, jog keliant informaciją, susijusią su kibernetinėmis grėsmėmis – aukos ar taikinio detalės nebus atskleidžiamos. Esant poreikiui, galime uždėti žymas kurios identifikuoja aukos organizacijos sektorių ir/ar šalį, kadangi ši informacija gali padėti platesnio atakos tyrimo metu identifikuoti į ką yra taikomasi, ar net padėti identifikuoti kas atlieka šiuos žalingus veiksmus.
Laiško siuntėjo informacija.
Įmonė, kuria apsimetama – turimuose šios atakos pavyzdžiuose, matome jog yra naudojamasi tos pačios organizacijos įvaizdžiu, net kai laiškai siunčiami iš kitų organizacijų užvaldytų paskyrų. Ši įmonė nėra tiesioginė šios atakos auka, nėra šios atakos žalingas veikėjas. Tačiau, kadangi yra pernaudojami jų atributai šios atakos kampanijos laiškuose – ši informacija gali būti papildomas efektyvus IOC padedantis identifikuoti kenksmingus laiškus. Konkrečiai šiuo atveju, organizacija yra maža Lietuvoje registruota įmonė, dirbanti teisės srityje. Turime surasti balansą tarp atsparumo atakoms didinimo bei įmonės reputacijos išsaugojimo, tad galime pateikti nuasmenintą laiško turinio informaciją.

Taigi, pirminės analizės stadijoje – galime dalintis tik gavėjo sektoriumi ar šalimi, siuntėjo domenu, žalingo kodo informacija ir kita bendro pobūdžio informacija (bendras laiško turinys, antraštė).

Tačiau atliekant tolimesnę analizę, galime pasidalinti ir detalesne informacija. Šiuo atveju – identifikavome jog pateiktas įmonės adresas neatitinka įmonės registruoto adreso, laiške esantis telefono numeris nėra tarp įmonės viešai skelbiamų numerių, taip pat neradome informacijos apie įmonėje dirbantį tokį asmenį (tačiau toks asmuo egzistuoja). Tačiau pavardė pasirodo esanti reta ir net jei čia išgalvotas vardas, vis vien klausimas ar yra korektiška skelbti pilną vardą.

Būtent su tokiais etiniais ir procesiniais klausimais susiduriame vystant SOCshare projektą ir kuriant kibernetinių grėsmių žvalgybos dalinimosi bendruomenę. Projekto techniniai darbai nukreipti į sisteminių šaltinių (tokių kaip SIEM ar EDR/XDR automatinių pranešimų) informacijos apdorojimą, siekiant kurti vertingą kibernetinių grėsmių žvalgybą. Atvejų kaip šis laiškas automatizuoti neplanuojame, nes jie reikalauja daug subjektyvių sprendimų. Tačiau projekto eigoje galime sukurti kitą vertę – aiškius vidinius procesus, kaip dirbti su tokia informacija – tiek diskutuoti apie esamas praktikas, tiek, kartu su bendruomene, kurti naujus susitarimus dalinimuisi. Aukščiau nepaminėta, tačiau visada galime jautria informacija dalintis apribotai, pvz., tik su patikimais bendruomenės nariais, kurie yra pasirašę taisykles, kuriose sutinka riboti informacijos sklaidą pagal nustatytus TLP (Traffic Light Protocol) lygius. Tik pirma turime visi sutarti kas yra tinkama dalinimuisi, o kas ne.

P. S.

FIRST CTI 2024 konferencijoje, balandžio mėnesį vykusioje Berlyne, Joe Slowik (Parglus) savo pranešime „The Disclosure Dillema and Ensuring Defense“ analizavo būtent šią temą – kada reikia dalintis jautriais duomenimis, o kada jų pasidalinimas sukels daugiau žąlos? Jo pasiūlymas – vertinti informacijos atskleidimo kritiškumą, vertę ir rezultatą bei balansuojant jais priimti subjektyvų sprendimą. Tuo tarpu, trys paskatos, dėl kurių niekada negalime atskleisti jautrių duomenų – marketingas, pardavimai ar dėmesys.

[1] https://www.linkedin.com/posts/lukas-apynis_malware-fileless-investigation-activity-7198914911798755328-ixtB?utm_source=share&utm_medium=member_desktop

[2] https://github.com/Wortexz/sneaky-bat

Iš dalies finansuojama Europos Sąjungos lėšomis. Išsakytos nuomonės ir požiūriai yra tik autorių ir nebūtinai atspindi Europos Sąjungos ar Europos kibernetinio saugumo kompetencijos centro požiūrį ir nuomonę. Nei Europos Sąjunga, nei Europos kibernetinio saugumo kompetencijos centras negali būti laikomi atsakingais už jas.