Кибербезопасность: как компании могут извлечь выгоду из сотрудничества ФБР и национальной безопасности?
techrepublic

Кибербезопасность: как компании могут извлечь выгоду из сотрудничества ФБР и национальной безопасности?

4 августа 2023 г.
Агенты ФБР и Министерства национальной безопасности на Северо-восточном саммите по кибербезопасности рассказали, как работает сотрудничество в области киберразведки. Узнайте больше из нашей статьи.

Последние исследования киберпреступности подтверждают, что количество атак снова достигло рекордно высокого уровня. Но поскольку программы-вымогатели продолжают господствовать, а нападения на государства и инциденты, связанные со шпионажем, растут, власти предупреждают, что сообщаемые цифры могут быть лишь верхушкой айсберга.

Недавний отчет Счетной палаты правительства США, в котором освещаются проблемы федеральных агентств США с механизмами отчетности, заверяет, что данные о киберпреступлениях, вероятно, занижены.

Причины, по которым крупные, средние и малые компании предпочитают не сообщать о кибератаках, включают боязнь нанести ущерб репутации, сбои в бизнесе и риски, связанные с передачей данных правительству. Эти заблуждения влияют на частные компании, поскольку они не признают преимущества сотрудничества с федеральными агентствами и правоохранительными органами в борьбе с киберпреступностью.

20 июля я посетил Северо-восточный саммит по кибербезопасности. На мероприятии агенты ФБР и Национальной безопасности рассказали, как работает сотрудничество в области киберразведки и как компании могут его использовать.

Перейти к:

    Разрушение бизнеса: что на самом деле происходит, когда появляется ФБР или Служба национальной безопасности? Обязанности по предоставлению юридической отчетности и стимулы к сотрудничеству К кому обращаться в случае кибератаки Заключительные выводы для бизнеса

Разрушение бизнеса: что на самом деле происходит, когда появляется ФБР или Служба национальной безопасности?

Один из основных мифов о причастности федеральных органов и органов власти — срыв хозяйственной деятельности. Компании могут подумать, что обращение в федеральные агентства может осложнить и без того сложную ситуацию.

«Я думаю, что существуют некоторые неправильные представления о ФБР, национальной безопасности или любом правоохранительном органе», — сказал Джефф Хантер, специальный агент ФБР. Хантер добавил, что компании часто думают, что, когда появятся власти, они заберут все серверы и прекратят бизнес-операции. «На самом деле это не так, — сказал Хантер.

Компьютерная криминалистика: преимущества сообщения и звонка

Хантер с самого начала подчеркнул заинтересованность ФБР в установлении двустороннего диалога.

«Например, в отношении программ-вымогателей у ФБР есть дело по каждому варианту программы-вымогателя», — сказал он. «Таким образом, с помощью быстрого уведомления мы можем поставить вас в прямой контакт с реальными агентами, которые работают над этим вариантом, чтобы очень быстро получить вам IoC [индикаторы компрометации]».

Индикаторами компрометации в компьютерной криминалистике являются улики или подсказки, часто в виде цепочек метаданных, которые помогают организациям разрешать киберинциденты, раскрывая ключевую информацию об атаке и злоумышленнике.

Хантер добавил, что ФБР также может помочь, например, предоставив список IP-адресов, связанных с инцидентом, которые компания может захотеть внести в черный список при выполнении сортировки: выявления, определения приоритетов и разрешения.

«Мы понимаем, что обычно, когда нам звонят, это происходит из-за того, что «дом горит», — сказал Хантер, подчеркнув, что цель ФБР — не создать дополнительный хаос, а помочь компаниям, предложив им ресурсы бюро. .

Марк Гиббл, офицер оперативной группы по расследованиям Министерства внутренней безопасности, согласился с Хантером и добавил: «Для вас это большое дело, это «ваш дом», «ваш замок», но для нас это может быть третьим или четвертым инцидентом, который мы посетили в один и тот же день».

«Итак, в дополнение к IoC иногда мы могли уже находить некоторые из ваших эксфильтрованных данных», — сказал Гиббл. «Или у нас может быть некоторое представление о том, где находятся некоторые из уязвимостей, живущих в вашей системе».

Гиббл также подчеркнул важность сообщения о незначительных инцидентах.

«Иногда у вас могут возникнуть небольшие проблемы, — сказал Гиббл. «И когда мы появимся, мы можем сказать, что это станет намного больше. Вот информация; Действуй. Почини «свой дом».

Обязанности по предоставлению юридической отчетности и стимулы к сотрудничеству

В США действует несколько федеральных законов и законов штата об уведомлении о нарушениях безопасности, в том числе Закон о переносимости и подотчетности медицинского страхования, Закон Грэмма-Лича-Блайли, Закон о достоверной кредитной отчетности и Закон штата Калифорния о конфиденциальности потребителей. Новое законодательство, такое как Закон об отчетах о кибер-инцидентах для критически важной инфраструктуры и правило Комиссии по ценным бумагам и биржам США, заставляет компании сообщать о киберпреступлениях.

Тем не менее, необходимо внести больше ясности в отношении мандатов и юридических требований, которые компании должны уведомлять, сотрудничать и сотрудничать с правительством, когда они сталкиваются с нарушением.

По словам Гиббла, министерство национальной безопасности и ФБР могут помочь компаниям ответить на важные вопросы. Такие вопросы, как:

    Что сделали другие корпорации, пострадавшие от подобных атак, за последние 48 часов? Как будет развиваться атака? Кто за этим стоит и что происходит? Должна ли наша компания платить выкуп?

Гиббл добавил, что Министерство национальной безопасности или другие агентства также могут располагать информацией о конкретном субъекте угрозы, проводящем атаку, и предоставлять более широкую картину. В то время как у компаний есть свои собственные планы исследований, готовности и реагирования на инциденты, у Национальной безопасности, например, есть национальные и глобальные данные о киберпреступности, добавил Гиббл.

ПОСМОТРЕТЬ: Политика реагирования на инциденты TechRepublic Premium

К кому обращаться в случае кибератаки

Компании и службы безопасности также часто не знают, к кому обращаться, когда начинается кибератака. С участием разных агентств, государственных и национальных юрисдикций и разных целевых групп, специализирующихся на разных типах атак, кому они должны позвонить в первую очередь?

«Очевидно, что желательно уведомить любой правоохранительный орган», — сказал Хантер. Спецагент пояснил, что компании могут обращаться в ФБР, Секретную службу, Национальную безопасность и другие местные органы власти, которые координируют свои действия с федеральными агентствами. Все федеральные органы и органы штата работают вместе, когда речь идет о киберпреступности в США, и по запросу свяжут компанию с лучшим и ближайшим местным ресурсом.

Говоря более конкретно, Хантер посоветовал компаниям связаться с CyWatch. «Это реакция ФБР на инциденты кибербезопасности, круглосуточная горячая линия. С CyWatch можно связаться по телефону (855) 292-3937 или по электронной почте CyWatch@ic.fbi.gov. Они могут направить вас в местный офис ФБР, который очень быстро раскроет этот инцидент. Вы можете поговорить по телефону либо с кибер-супервайзером, либо с агентами, которые очень быстро работают над этим вариантом».

И если ФБР узнает, что адвокат представляет компанию, оно постарается привлечь его к разговору на ранней стадии. «Нам нравится собирать всех и устраивать очень совместную беседу», — сказал Хантер.

«Предварительно существовавшие отношения с вашим офисом ФБР до того, как произошел инцидент, имеют первостепенное значение», — сказал Хантер. Такие отношения укрепляют доверие и ускоряют процессы.

Почему компаниям следует устанавливать ранее существовавшие отношения с ФБР и Службой национальной безопасности

Еще один вопрос, который обычно возникает у компаний, заключается в том, работает ли определенное агентство с конкретными киберпреступлениями. Изменяется ли контакт при изменении типа атаки (например, атаки на государство или криптопреступления)?

«Национальная безопасность уделяет большое внимание темной паутине и программам-вымогателям», — сказал Гиббл. «Принимая во внимание, что Секретная служба проводит много крипто-отслеживания. Если у меня возникнет вопрос по отслеживанию криптографии, я задам их», — сказал Гиббл и добавил, что ФБР, учитывая его давнюю историю и размер, может перенаправить звонки на местные ресурсы ближе к инциденту.

«В конце концов, позвоните кому-нибудь, и мы передадим его нужному человеку; мы не собираемся бросать мяч или сдувать вас», — сказал Гиббл. Связь с властями может быть обеспечена посредством телефонных звонков или конференций даже в сельской местности. Кроме того, если компания хочет, чтобы агент присутствовал, это можно организовать, связав государственные или местные правоохранительные органы.

Гиббл согласился с Хантером в том, что лучший способ ответить на вопрос, с кем связаться, — это установить ранее существовавшие отношения и включить контакт в план реагирования на инциденты. Компании, которые установили ранее существовавшие отношения, также будут чувствовать себя более комфортно, когда произойдет инцидент, поскольку они уже знают агента правоохранительных органов. Ранее существовавшие отношения также могут помочь справиться со сложностями обмена данными с государственными учреждениями.

Заключительные выводы для бизнеса

Эксперты панели завершили мероприятие советами для компаний. Гиббл подчеркнул важность того, чтобы взять на себя ответственность за безопасность и связаться с другими в том же секторе, правоохранительными органами или учеными.

«Вот так учатся правоохранительные органы. Никто из нас не рождается с интуитивным знанием», — сказал Гиббл. «Увеличьте доверие к своему мозгу».

Кроме того, компаниям следует проводить инвентаризацию данных и систем и иметь группу реагирования на инциденты или группу судебно-медицинской экспертизы, которая может прийти и помочь во время атаки. Планы реагирования на инциденты должны обновляться ежемесячно, а не ежегодно, а сотрудники должны быть обучены распознавать вредоносные сообщения.

«Звучит просто, но большинство инцидентов, которые я расследую, по-прежнему связаны с переходом сотрудника по вредоносной ссылке», — сказал Хантер.

Компании могут извлечь выгоду, выстраивая отношения с правоохранительными органами, будь то ФБР, Служба национальной безопасности, Секретная служба или местные департаменты. Благодаря сотрудничеству они могут использовать опыт правоохранительных органов в таких областях, как судебная экспертиза, законы, глобальные тенденции, конкретные технологии и атаки, методы исправления и реагирования, а также более широкую глобальную информацию. Это сотрудничество может помочь частному сектору лучше реагировать на атаки и устранять их быстрее и эффективнее, одновременно укрепляя национальную и международную цифровую безопасность.

Компании, которые хотят связаться с Национальной безопасностью, могут сделать это через Агентство кибербезопасности и безопасности инфраструктуры, которое возглавляет усилия США по сокращению киберпреступности. С CISA можно связаться по электронной почте Central@cisa.gov или по телефону 888-282-0870. Кроме того, о различных инцидентах можно сообщать в CISA на его сайте отчетов об инцидентах. С ФБР можно связаться через Центр жалоб на преступления в Интернете. IC3 — это центральный центр сообщений о киберпреступлениях в США.

Оригинал

Recent Post

Categories

PREVIOUS ARTICLE
NEXT ARTICLE