Le motivazioni di attacco della Cina, le tattiche e come i CISO possono mitigare le minacce

Leave a Comment / Computer security / By

Un nuovo rapporto pubblicato da Booz Allen Hamilton fornisce informazioni dettagliate sulle minacce informatiche globali poste dalla Repubblica popolare cinese (RPC). Lo stesso mantello, più pugnali: decodificare come la Repubblica popolare cinese utilizza gli attacchi informatici delinea le principali motivazioni di Pechino per effettuare attacchi informatici o spionaggio, le tattiche chiave che impiega e fornisce strategie per i CISO per aiutare le loro organizzazioni a identificare e prepararsi meglio per il cyberspazio della RPC campagne.

Sicurezza, sovranità, sviluppo: i principali motivatori di attacchi informatici della RPC

Il rapporto identifica tre “interessi fondamentali” su cui la Cina è disposta ad autorizzare operazioni informatiche offensive se minacciate, relative al sistema politico, al territorio e all’economia della nazione:

  • La sicurezza (indicata anche come sicurezza politica, sicurezza del popolo, stabilità sociale e unità nazionale) si riferisce alla garanzia della stabilità sociale a lungo termine della Cina nel suo sistema politico e sociale, organizzato e guidato dal Partito Comunista Cinese (PCC). “Tuttavia, il partito vede numerose minacce a questa stabilità”, afferma il rapporto. “I movimenti politici pro-democrazia, anticorruzione e riformisti mettono direttamente in discussione la legittimità del PCC”, mentre i disastri naturali e la pandemia di COVID-19 mettono alla prova la competenza percepita del governo, così come i rallentamenti economici.
  • La sovranità (anche sovranità nazionale, sovranità territoriale e integrità territoriale) si riferisce all’autorità e al controllo esclusivi della Cina in varie aree terrestri e marittime, si legge nel rapporto. “La dirigenza più anziana della Cina afferma regolarmente inequivocabilmente che non farà concessioni sulle sue rivendicazioni territoriali”.
  • Lo sviluppo si riferisce alle ambizioni della Cina di garantire le proprie attività economiche, qualcosa che è stato elevato a un esplicito interesse centrale solo negli ultimi anni circa, afferma il rapporto. “Le minacce allo sviluppo della RPC includono il disaccoppiamento economico, l’accesso limitato a tecnologie come i semiconduttori, le barriere agli investimenti della RPC e le minacce fisiche alle rotte marittime, al personale e agli uffici”.

Il rapporto elencava varie organizzazioni chiave della RPC associate allo svolgimento di missioni informatiche, tra cui il Ministero della Pubblica Sicurezza (MSP), la Cyberspace Administration of China (CAC) e il Central Propaganda Department (CPD)/United Front Work Department (UFWD). Per quanto riguarda la strategia e gli obiettivi di attacco informatico, la Cina ha sviluppato un approccio “tre guerre” per plasmare l’ambiente dell’informazione. Questi sono:

  • Psicologico: l’uso o la minaccia della forza per influenzare il processo decisionale di un avversario, con attacchi informatici progettati per segnalare la posizione della Cina su questioni chiave attraverso la distruzione controllata e senza escalation e l’interruzione di specifici obiettivi significativi.
  • Opinione pubblica: il tentativo di controllare la diffusione delle informazioni, con attacchi informatici che ostacolano la condivisione delle informazioni attraverso l’interruzione di siti Web di notizie, social media e piattaforme di comunicazione.
  • Legale: l’uso di leggi internazionali e nazionali e meccanismi legali per scopi strategici offensivi e difensivi, con la Cina impegnata in dibattiti sul comportamento accettabile nel cyberspazio.

DDoS, ransomware, attacchi ICS tra le principali tattiche utilizzate dalla Cina

Il rapporto ha sintetizzato le principali tattiche di attacco della RPC sulla base di diversi casi di studio recenti, delineando quattro metodi più utilizzati nelle campagne. Si tratta di DDoS, defacement di siti Web/segnaletica digitale, violazioni dei sistemi di controllo industriale (ICS) e ransomware. Tutti hanno le proprie caratteristiche distintive della RPC e comportano implicazioni potenzialmente significative per le entità interessate, ha aggiunto il rapporto.

  • Gli attacchi DDoS utilizzano spesso indirizzi IP con sede in Cina e indicano obiettivi di segnalazione, con conseguente perdita temporanea del sito Web e della disponibilità di altre risorse online, aumento dei costi di hosting e impossibilità di trattenere i fornitori di mitigazione DDoS.
  • La deturpazione di siti Web/segnaletica digitale in genere offusca i confini nelle fonti pubbliche tra hacktivist indipendenti, hacktivist incoraggiati dal governo e faketivist, causando la perdita di comunicazioni con il pubblico chiave, la fiducia dei consumatori/disordini pubblici e l’esposizione di dati riservati.
  • Gli attacchi ICS prendono spesso di mira i settori dell’energia e dell’energia, mentre l’accesso inutilizzato può rappresentare ricognizione, preposizionamento o segnalazione, interruzione dei sistemi di tecnologia operativa (OT), interruzioni della catena di approvvigionamento e perdita di energia, acqua o altri servizi pubblici.
  • Gli attacchi ransomware, una tattica raramente collegata a gruppi di fonti pubbliche allineati al governo della RPC, danneggiano l’integrità dei dati e la disponibilità dei sistemi e interrompono le operazioni aziendali.

Il rapporto raccomandava ai CISO di rafforzare i loro approcci alla gestione del rischio per aiutare a mitigare gli attacchi di cui sopra, tra cui:

  • Condurre revisioni complete delle catene di approvvigionamento per comprendere le dipendenze e come gestire i rischi correlati.
  • Condurre wargame a livello esecutivo basati su forme escalation osservate e plausibili di operazioni di attacco da parte di avversari della RPC.
  • Controllo o revisione dei controlli di sicurezza in atto per potenziali attività di minaccia da parte di avversari della RPC.
  • Condivisione di informazioni con colleghi, organizzazioni governative e altre aziende per aumentare la consapevolezza della comunità sull’attività dell’avversario in corso e migliorare la visibilità del panorama delle minacce.

La posizione, il settore, le azioni influiscono sulla probabilità di dover affrontare attacchi informatici della RPC

Ci sono tre fattori che aumentano la probabilità di un’organizzazione di diventare il bersaglio o di essere colpita da un attacco informatico della RPC, prosegue il rapporto. Si tratta di posizione, settore e azioni. Le organizzazioni con sede in luoghi in cui la RPC non ha un chiaro vantaggio di potere (ad es. Stati Uniti, India, Taiwan) corrono un rischio notevolmente maggiore, mentre quelle nei settori critici, accademico e di notizie/media devono affrontare un rischio moderatamente aumentato con settori politicamente significativi (ad es. semiconduttori ) ed entità politiche (ad esempio, promozione della democrazia, gruppi anticorruzione) a rischio molto maggiore. Allo stesso modo, le entità che sono state coinvolte in tentativi di sovvertire specificamente la censura online della RPC e/o prendere di mira un pubblico cinese con un messaggio anti-RPC o messaggi in conflitto con le posizioni politiche principali della RPC hanno molte più probabilità di essere colpite da un attacco della RPC, il relazione dichiarata.

Booz Allen Hamilton ha consigliato ai CISO di considerare i profili di rischio delle loro organizzazioni, partner, fornitori e altre terze parti per informare meglio e affrontare la mitigazione del rischio, tra cui:

  • Valutare la resilienza dell’organizzazione in caso di accresciuta minaccia di attacchi informatici contro paesi specifici, concentrandosi sui settori che più probabilmente saranno presi di mira.
  • Integrazione dell’analisi geopolitica nelle valutazioni del rischio informatico.
  • Incorporando l’analisi del rischio informatico nel processo di gestione del rischio di messaggistica organizzativa, con la partecipazione degli stakeholder operativi, legali e di pubbliche relazioni.

Le attività informatiche in via di sviluppo in Cina una “potente minaccia”

Le crescenti capacità di attacco informatico della Cina e l’assertività globale hanno creato una potente minaccia per gli Stati Uniti e altri paesi e organizzazioni le cui priorità, obiettivi e azioni sono in conflitto con gli interessi centrali in espansione della Cina, conclude il rapporto.

“Nell’ultimo decennio, la Cina ha definito meglio le missioni delle sue agenzie cyber-capaci e ha riorganizzato in modo più efficiente le unità operative. La Cina ora include operatori sia offensivi che difensivi in ​​esercitazioni militari congiunte”. Tuttavia, la vera misura delle capacità di attacco informatico della Cina probabilmente non può essere pienamente individuata nelle fonti aperte, ha aggiunto il rapporto, ed è “possibile che la Cina abbia scelto di non dispiegare tutte le sue capacità, o lo abbia fatto senza attribuzione pubblica”.

Copyright © 2022 IDG Communications, Inc.

Leave a Comment

Your email address will not be published. Required fields are marked *