מבט מאחורי הקלעים: איך נראית מתקפת סייבר וכיצד היא נמנעת?

לאחרונה אנו שומעים יותר ויותר על אירועי סייבר שפוגעים בחברות ציבוריות ופרטיות, כדוגמת מתקפת הסייבר על מערכות ישראליות לתפעול משאבות מים, או על חברות תרופות ואוניברסיטאות, שעבדו על מציאת חיסון וטיפול ניסיוני לנגיף ה-Covid-19 וזיהו ניסיונות חדירה לרשת שלהן לצורך גניבת מידע.

עולם הסייבר הפך כבר מזמן לחלק משמעותי מזירת הקרב, ועל כל אחד מאיתנו, אדם בודד, עסק קטן, חברה תעשייתית או מדינה, לשאול, האם אנחנו מוגנים בצורה מספקת? האם בשעת הצורך נדע לזהות איום ולהתמודד איתו בהתאם?

ראשית, בואו ננסה להבין את הדרך שיצטרך התוקף לעבור על מנת להשיג גישה למידע שלנו.
בהנחה שלתוקף אין גישה פיזית לרשת של החברה, הוא יצטרך לחדור דרך ממשקים חיצוניים, לדוגמה מוצרים המספקים שירותי VPN. מטרתם בפועל  לספק גישה מחוץ לארגון לרשת הפנימית של הארגון בדרך מאובטחת, אבל הסברה הרווחת בעולם אבטחת המידע היא, שאין מוצר שיכול להגן באופן מושלם ב-100% מהמקרים. לכן נניח, שהתוקף מצא דרך לחדור לתוך הרשת הפנימית, אולי בעזרת שיטות של הנדסה חברתית או פגיעות מובנית במוצר ה-VPN. ישנן דרכים רבות לנצל נקודות תורפה ברשתות שלנו ולהשיג גישה לתוכן.

לאחר שהתוקף נכנס לרשת הפנימית, עבןר רוב החברות יהיה מורכב לזהות אותו. למעשה, לפי דו"ח שפורסם על ידי חברת פייראיי (FireEye), הזמן הממוצע מרגע שבוצעה הפריצה הראשונית עד שהחברה תזהה שהותקפה הוא 146 ימים – זה יותר ממספיק זמן עבור התוקף לבצע את זממו ברשת וליצור נזק עצום, שבסופו של דבר יבוא לידי ביטוי בפגיעה בלקוחות החברה, בתדמיתה ובאופן ישיר ו/או עקיף יביא לפגיעה כלכלית. לפי דו"ח של חברת וארוניס (Varonis), הנזק הכלכלי הממוצע לפריצת אבטחת מידע ב-2020 הוא 3.9 מיליון דולר.

עובדה זו מדגישה את החשיבות המכרעת שיש לזיהוי ניסיונות תקיפה ונטרולם בזמן על ידי ניטור התעבורה ברשת הפנימית של הארגון ותקשורת המגיעה מן החוץ. על ידי ניטור, עיבוד ולמידת התנועה הנורמטיבית ברשת, ניתן לזהות תנועות חשודות שמגיעות מחוץ לרשת. בתרחיש שבו תוקף כבר חדר לתוך הרשת – המידע השמור יעזור להבדיל בין תנועה לגיטימית ברשת לבין תנועה חשודה וימזער את זמן התגובה.

ניטור נכון ומדויק של הרשת יעיל לרוחב כל שכבות ההגנה, החל מניסיונות גישה לרשת הפנימית ממקומות חשודים או לא מוכרים, דרך ניסיונות התחברות לנקודות הקצה בארגון וכלה במידע שעובר ברשת בכמויות שאינן תואמות את הנורמה.

 מערכות SIEM – זיהוי רצף אירועים מכמה מוקדים שונים ברשת

אכן, ניטור נכון ומוקפד הוא כלי חזק בארגז הכלים שלנו כאחראים לאבטחת המידע של הארגון, ואולי היה בו די בזמנים עברו, כאשר מתקפות הסייבר היו מתוחכמות פחות ונדירות יותר. אך עקב העלייה בכמות המידע העובר ברשת והעובדה שמתקפות סייבר השתכללו מאז ופועלות בכמה וקטורים שונים, עלה הצורך לזהות רצף אירועים מכמה מוקדים שונים ברשת, שביחד מצביעים על חשד לכך, שהרשת הארגונית מצויה תחת התקפה. רצף אירועים חשוד זה נקרא חוק. מערכות שמסוגלות לייצר ולזהות חוקים אלו נקראות מערכות SIEM – Security Information and Event Management.

מערכת ה-SIEM מקבלת מכלל המערכות בארגון נתונים באופן שוטף ויודעת לבצע התאמה בין רצף אירועים מכמה מקורות שונים, שביחד מייצרים אירוע חשוד. על פניו, כל אירוע בנפרד אינו חשוד, אך מערכת ה-SIEM יודעת לזהות דפוס של חוק שהיא מכירה, ולפיו התנועות הללו ביחד נראות כמו אירוע חשוד. מערכת ה-SIEM יודעת לזהות דפוסים שכאלו ולהתריע בפני המפעיל שזהו אירוע חשוד.

יש לציין, כי אף על פי שטכנולוגיות מתוחכמות שכאלו עוזרות לנו לזהות את הסיכונים, לא לכל עסק, חברה או ארגון יש את היכולות ו/או הידע הטכני על מנת להגן על עצמם. מכיוון שעיקר עיסוקם אינו אבטחת מידע, אלו הן החברות אשר לרוב יהיו המטרות של תוקפים זדוניים, שכן בחברות אלו לרוב שמורים פרטים אישיים של לקוחות, תוכניות עסקיות ומידע רגיש. במקרים אלו, ניתן לפנות לחברות חיצוניות שיספקו את הידע הטכני והשירותים ההכרחיים לשמירה על אותם נכסים.

עולם אבטחת המידע מתקדם, משתכלל ומתפתח בקצב מהיר, ועלינו להיות מוכנים. זהו אתגר לא פשוט, שדורש מאיתנו תחכום, מקצועיות ויכולות, ואין לנו את הפריווילגיה להיות שאננים. עלינו להיות אקטיבים ולחזק את הגנותינו. על מנת לעמוד במשימה סבוכה זו עלינו לדעת לשתף פעולה.

הכותב הוא מומחה חקירות סייבר בחברת אקספריס סייבר.