Equilibrar varias incertidumbres en la inteligencia de amenazas cibernéticas

En 2020, el sistema informático de la compañía de ciberseguridad Mandiant se vio comprometido por un intruso que explotó una grieta inocua: actualizaciones de software de rutina impulsadas por otra compañía, SolarWinds. Mandiant fue una de las casi 18,000 organizaciones comprometidas.

El ataque, un truco de la cadena de suministro de una agencia de inteligencia rusa, evita la compensación entre la coordinación del sistema y la vulnerabilidad al ataque, según la académica de ciencia y tecnología Rebecca Slayton.

«Los estándares para permitir la coordinación y reducir la incertidumbre coordinativa podrían ser explotados por un atacante», dijo Slayton, profesor asociado en el Departamento de Estudios de Ciencia y Tecnología, en la Facultad de Artes y Ciencias y el Instituto Judith Reppy para los Estudios de Paz y Conflictos.

«Los analistas deben navegar por una tensión entre la necesidad de confiar en los estándares de colaboración, y la necesidad de permanecer cauteloso de que su confianza pueda ser explotada por actores sofisticados», argumenta Slayton en un artículo, «coordinando la incertidumbre en la economía política de la inteligencia de amenazas cibernéticas», publicado en Estudios sociales de la ciencia.

La investigación ganó el premio Randolph H. Pherson Innovative Paper de la Sección de Estudios de Inteligencia de la Asociación Internacional de Estudios, presentada el 2 de marzo en la reunión anual de la Asociación en Chicago.

Slayton estudia la incertidumbre, que es generalizada en el mundo de la inteligencia de amenazas cibernéticas. En este documento, ella y la coautora Lilly Muller, un ex investigador postdoctoral de Cornell ahora en King’s College, Londres, describen los dos tipos de incertidumbre que juegan roles importantes en la industria de seguridad de amenazas cibernéticas: incertidumbre coordinativa e incertidumbre adversaria) y analizan la relación entre ellos.

En la industria de la seguridad de la amenaza cibernética, los analistas de inteligencia trabajan en colaboración en múltiples organizaciones en diferentes países para transformar los rastros digitales en productos y servicios comercializables. Las empresas de ciberseguridad recopilan y analizan datos para brindar a los clientes, incluidas las organizaciones gubernamentales y no gubernamentales, comprensión de las posibles amenazas.

Estas amenazas provienen de naciones y grupos criminales. Los secretos industriales podrían proporcionar ventajas económicas; La información sobre las personas también podría usarse para campañas de chantaje o propaganda, como las filtraciones del Comité Nacional Democrático durante la campaña presidencial de los Estados Unidos de 2016.

Los ataques ambiciosos pueden obtener control sobre las computadoras que operan sistemas industriales. Por ejemplo, los actores rusos cerraron la red eléctrica en partes de Ucrania en diciembre de 2016, nuevamente en diciembre de 2017 y nuevamente en 2022.

«En cada caso, la función se restauró rápidamente», dijo Slayton. «Pero estos ataques tienen el potencial de erosionar la confianza de los civiles en las instituciones ucranianas, una de las cosas favoritas de Rusia, y para señalar a los ucranianos,» tenemos los bienes sobre ti «.

Hay algo fundamentalmente incierto sobre tratar con un adversario inteligente, dijo Slayton. Pero el proceso de recopilación, análisis y compartir datos presenta un tipo diferente de incertidumbre, incertidumbre coordinativa, especialmente en diferentes organizaciones y países.

«Cuando estás tratando de coordinar las medidas en todo el espacio y el tiempo con diferentes comunidades que tienen supuestos diferentes, ¿cómo sabes que lo que están midiendo es lo mismo que estás midiendo aquí?» Slayton dijo.

La investigación se basa en entrevistas e investigación etnográfica dentro de las organizaciones en los Estados Unidos, Europa y Australia. Los académicos también estudiaron eventos públicos, publicaron informes y documentos académicos, y examinaron incidentes recientes de ciberseguridad en los que los atacantes aprovecharon los sistemas de confianza para violar las compañías de inteligencia de amenazas cibernéticas, como el ataque 2020 SolarWinds.

«Un hack de cadena de suministro es uno de los más difíciles de detectar porque esta relación confiable se ha establecido entre las empresas», dijo Slayton.

«Cuando presionan una actualización, particularmente una actualización de seguridad, simplemente la instala; no hace demasiadas preguntas. Incluso podría ser automatizado. Todo eso es parte de un proceso coordinado diseñado para mejorar la eficiencia, y en algún nivel está diseñado para reducir la incertidumbre, pero esas prácticas estandarizadas se convierten en objetivos de ataque».

Slayton espera que su investigación pueda ayudar a las personas en la comunidad de inteligencia de amenazas a reflexionar sobre los supuestos que guían su trabajo diario y los riesgos dentro de esos supuestos y piensan cómo pueden coordinar mejor sin volverse susceptibles a la incertidumbre adversa.

Y señala que el conocimiento sobre la inteligencia cibernética está inevitablemente moldeado por un contexto geopolítico.

«Cuando se toma una decisión de centrarse en un actor o vulnerabilidad de amenaza particular», dijo Slayton, «nos arriesgamos a perder un actor de amenaza diferente o una vulnerabilidad diferente. Siempre vas a perder algo, y los adversarios siempre buscan ser impredecibles».