Борьба с группами, распространяющими malware, подразумевает наложение высоких издержек на небольшие импровизированные группы. Но эти действия постепенно уступают место борьбе с гораздо более организованными группировками, поддерживающими идеалы, близкие к государственным. Это постепенно меняет облик защитников, заставляя тех, кто часто действовал в одиночку, работать вместе ради цели — остановить противников. Ну, или почти вместе.
Оказывается, бывает очень сложно собрать вместе международные группы исследователей безопасности, правоохранительные органы и другие государственные учреждения, чтобы бороться с международными угрозами. Среди борьбы за территории и различных взглядов на то, что является «самой важной угрозой», цифровые защитники разных стран учатся основам нового threatscape с разной скоростью, а также тому, как находить общий язык с исследователями индустрии безопасности, чтобы защитить свои собственные территории.
Для этого нужно работать с другими. А это требует понимания их культур и методов. Что, в свою очередь, требует от них наличия определенной этики и методов.
Страны редко ставят на первое место одни и те же вещи, и это проявляется в их оборонительных – и все чаще наступательных – операциях.
Это означает, что компании и организации не уверены, к кому обращаться и когда, если у них произошел взлом, атака ransomware или другое вредоносное событие. Даже если они знают, к кому обратиться, они не уверены, что предоставить, что они могут предоставить *легально*, и что можно сделать и кто должен это сделать при расследовании.
От юристов до киберстрахования и правоохранительных органов — сложно понять, как должен выглядеть план действий. Одно можно сказать наверняка: если случилось что-то плохое, время не на вашей стороне. Ценность оперативных данных быстро уменьшается со временем, а ваши расходы одновременно растут.
Одна из групп правоохранительных органов на VB2023 предложила провести внутреннее учение (tabletop exercise) в вашей организации, чтобы проиграть, кто должен быть вовлечен и на каком этапе. Правоохранительные органы обычно хотят быть вовлечены быстро, пытаясь пресечь атаку, собрать данные и оказать помощь. Но почти как только они появляются, вы будете разговаривать с представителями киберстрахования, а они привлекают юристов. Юристы замедляют все до полнейшего ступора, особенно если действуют вопреки правоохранительным органам, а часто даже если и не действуют.
На каком этапе атаки следует обращаться в правоохранительные органы? Знают ли они, кто вы? Есть ли у их местных отделений возможность реально помочь вам во время активного события? Знаете ли вы их правила взаимодействия и чего от них можно ожидать, если все пойдет хорошо? А что будет, если нет?
Один из способов быть проактивным — провести эти разговоры *до* того, как на вас нападут. Попытка объяснить все детали активной атаки, когда вы впервые говорите с правоохранительными органами, — это в лучшем случае суматошное упражнение, в худшем — паника.
СВЯЗАННОЕ ЧТЕНИЕ: Кибербезопасность: глобальная проблема, требующая глобального решения
Но вернемся к международному аспекту. Атаки обычно носят глобальный характер. Это означает, что местные правоохранительные органы вряд ли смогут справиться с основной тяжестью атаки, если только вам не повезет жить в одном из тех районов, куда они А) могут добраться и Б) знают, что делать.
Здесь, на VB2023, проводятся учения и обсуждаются именно эти вопросы. От создания информационных центров людей, которые могут помочь, как, например, новые инициативы Европола, до личных встреч с техническими специалистами, которые активно участвовали в реальных атаках, — это хорошее время, чтобы протестировать потенциальные сценарии друг с другом без давления реальной атаки.
Одним из ценных результатов является понимание того, чего люди, от которых вы ожидаете помощи, *не будут* или *не смогут* сделать, желательно до атаки.
Говоря о цифровых армиях защитников, знаете ли вы, кто они в вашей организации? Правоохранительные органы и международные организации часто безнадежно перегружены защитой огромных участков организаций и правительств, поэтому, если вы можете снять с себя часть задач внутри компании, они, вероятно, не только будут благодарны, но и смогут реагировать более эффективно. У вас есть команда, верно? Если нет, вы не одиноки, но и не в лучшем положении для отражения атаки. Возможно, всем нам стоит начать со своих собственных армий.