FBI官员描述了该机构如何改变对黑客的处理方式,并修改了警告受害者的程序,并从2016年民主党全国委员会(DNC)黑客攻击的错误中吸取教训

2020-09-03 04:32:31

2016年4月28日,民主党全国委员会(Democratic National Committee)的IT技术人员亚里德·塔梅内(Yared Tamene)发现了一个令人作呕的发现:臭名昭著的俄罗斯黑客组织“花花熊”(Fancy Bear)侵入了网络核心的民主党全国委员会(DNC)服务器,他后来告诉美国参议院情报特别委员会(Select Committee On Intelligence)。他说,在这一点上,入侵者已经有能力随意删除、更改或窃取网络中的数据。不知何故,这起入侵事件令人大吃一惊--尽管一名联邦调查局特工在整整9个月前开始的一系列电话通话中警告塔梅娜,俄罗斯可能会遭到黑客攻击。

联邦调查局特工的警告从来没有使用过令人震惊的语言,塔梅娜会告诉参议院委员会,而且警告的级别永远不会超过民主党全国委员会的IT主管,后者在粗略搜索了网络以寻找谋杀迹象后,解雇了这些警告。这种沟通失误将导致克里姆林宫发起的黑客泄密行动取得成功,最终有助于唐纳德·特朗普(Donald Trump)当选。

四年后,FBI和经常与FBI特工合作的事件响应安全专业人士社区表示,FBI已经显著改变了与黑客受害者的沟通方式--这更好地避免了民主党全国委员会(DNC)式的另一场灾难。在接受“连线”采访时,FBI官员从未明确承认在民主党全国委员会拙劣的通知一案中失败了。尽管如此,他们和私营部门的同行还是描述了一个已经修改了做法的调查局,以更快地警告黑客目标,并在目标组织的更高级别发出警告-特别是在可能涉及即将到来的选举或给全球各地的公司造成数百万美元损失的勒索软件灾难的情况下。

例如,去年12月,联邦调查局宣布了一项新的正式政策,当联邦调查局发现他们控制的选举基础设施受到威胁时,立即通知州政府官员。但联邦调查局网络部科长迈克·赫林顿(Mike Herrington)表示,这些改进超出了对州政府官员的警告。赫林顿说,我在实践和重点上看到了一个关键的变化,让我们负责的特工做好准备,以获得潜在受害者的充分合作。他说,在他的职业生涯中,他亲自通知了数十名黑客事件的受害者。

FBI网络政策主管史蒂文·凯利(Steven Kelly)指出,与过去通知过受害者的典型现场特工相比,那些负责的特工级别更高。凯利说,这些特别探员也被指示将他们的警告进一步放在受害者的组织结构图上。凯利说,我们希望他们能接触到最高管理层、高级管理人员。确保他们意识到正在发生的事情,并投入适量的卡路里来解决这些问题,这样这些事情就不会被忽视或埋没。

与FBI处理的几乎所有其他犯罪不同,FBI经常处于一种奇怪的境地,因为它是第一个告诉个人或组织他们是网络攻击的受害者。通常,这些警告是基于从正在进行的黑客活动中提取的证据-有时来自情报机构甚至外国政府-比如跨越不同入侵的通用指挥控制服务器。赫林顿说,FBI打电话给他们,说我们相信你可能是犯罪的受害者,这往往是那个人职业生涯或生活中非常重要的事件。

然而,在过去的十年里,随着组织变得更加善于发现自己的入侵行为,联邦调查局作为信使的角色发生了变化。根据事件响应公司Mandiant发布的关于数据泄露响应的M-Trends报告,在过去几年中,大约一半的黑客入侵是由受害者自己发现的。与2011年相比,这是一个巨大的变化。2011年,94%的违规行为最初是由外部组织(通常是执法部门)发现的。

美国国家安全局前黑客、安全咨询公司Rendition Infosec创始人杰克·威廉姆斯(Jack Williams)表示,即便如此,黑客事件数量的增长意味着,FBI正在通知比过去多得多的受害者。Rendition Infosec经常充当黑客受害者的事件应对公司。威廉姆斯说,在过去的几年里,他看到他的公司从最先收到联邦调查局通知的黑客受害者那里接到的电话数量增加了一倍或三倍。这些通知通常仍然只提供有关入侵的最低限度的信息--比如联邦调查局(FBI)观察到受害者网络上的一台电脑连接到了已知的恶意服务器--预计受害者会召集自己的事件应对顾问,在FBI本身几乎没有帮助的情况下将黑客赶走。

但威廉姆斯也表示,他发现联邦调查局现在会在特工发现入侵后更早地通知受害者;在过去几年,联邦调查局有时只会警告受害者,他们是入侵的受害者,通常是在事后很久。威廉姆斯说,我们正在获取更多关于正面的信息。在此之前,我们不能告诉您确切的时间,也不知道它是否还在继续,但您应该知道。';&34;我们不能告诉您确切的时间,我们也不知道它是否还在继续,但您应该知道。";我们不能告诉您确切的时间,我们也不知道它是否还在继续,但您应该知道。

至少,根据一些人的说法,让俄罗斯黑客在民主党全国委员会的网络中肆虐的可耻的通信失败,今天发生的可能性要小得多。一名民主党全国委员会官员告诉“连线”,该组织自2016年以来一直与联邦调查局特工举行定期会议;如果再发生另一起事件,这两个组织将已经在双方高级官员之间建立关系。民主党全国委员会官员在一封电子邮件中写道,基本上我们已经解决了这个问题,并且拥有非常好、清晰的沟通渠道。

CrowdStrike的前首席技术官德米特里·阿尔佩罗维奇(Dmitri Alperovitch)也认为,FBI的做法已经改变--具体地说,它正更加小心地联系将认真对待其警告的高管或官员。CrowdStrike负责处理2016年民主党全国委员会(DNC)入侵事件和许多其他国家支持的黑客事件的事件响应。Alperovitch指出,联邦调查局实际上在俄罗斯黑客首次入侵其网络的几天内就警告了民主党全国委员会。他说,问题在于,负责此案的特工已经接受了对一名低级别员工的警告。阿尔佩罗维奇在给“连线”的一封消息中写道,他们应该联系更高级别的员工。这些天我确实看到他们在链条上越走越高,所以,是的,我认为这样更好。

撇开选举不谈,勒索软件袭击美国公司的流行也迫使联邦调查局改善并加快对黑客受害者的警告。特工泰森·福勒(Tyson Fowler)表示,对于其中一些案件,FBI已经制定了所谓的紧急线索通知流程,绕过了FBI通常的内部协商,立即通知外地办事处的一名专注于网络安全的特工,后者可以警告受害者,希望是在黑客交付勒索软件有效载荷之前。福勒说,我们正在努力尽快通知受害者,并跳过所有这些步骤。

例如,在2月份的一个案例中,福勒说,他了解到一家总部位于佐治亚州的跨国公司的网络遭到了以勒索软件为重点的入侵,当天结束时,他已经联系到该公司的首席执行官,就即将到来的攻击发出警告。福勒说,该公司将其部分网络离线,扰乱了黑客对其恶意软件的访问。德勤(Deloitte)的事件响应员凯维·福勒(Kevin Vie Fowler)表示,这可能会给公司带来灭顶之灾,而我们仅仅通过快速反应就避免了财务影响和隐私影响。德勤聘请福勒是为了帮助补救这起入侵事件。

受害者通知方面的这种新的紧迫性并不能保证黑客无论如何都不会赢过防御者。事实上,随着反应速度的加快,他们可能正在学习如何在受害者网络中更快地操作。但至少在联邦调查局得到正在进行的入侵的风声的情况下,他们在被网络响应人员追捕之前享受的自由自在的时间可能不再像DNC黑客事件那样持续几个月,而是几天或几个小时。

🎧事情听起来不太对劲?查看我们最喜欢的无线耳机、音棒和蓝牙扬声器