מתקפת הסייבר שעושה קאמבק: מה הסיפור של Island Hopping?

אסטרטגיית ה”דילוג בין איים” שבה ועולה, והיא מנצלת את נקודת התורפה הכי גדולה שלכם. מה אפשר לעשות? נתחיל עם הטעות הכי גדולה שלכם

הקשיים שנערמו בפני התוקפים הביאו אותם למצוא דרכי תקיפה עקיפות (צילום: Pexels)

מאת מיכאל פישמן

ארגונים גדולים ומבוססים משקיעים המון משאבים בתחום ההגנה והסייבר, אבל יש פה קאץ’ אחד שלעולם לא ייפתר: ההאקרים מודעים לזה והם כל הזמן לומדים שיטות חדשות לפריצת חומות ההגנה. אסטרטגיית תקיפה ישנה-חדשה עושה לאחרונה קאמבק מדאיג, ובבסיסה עומד הרעיון לפיו ניתן לתקוף את ארגון המטרה באמצעות חדירה לארגונים המשניים שאיתם הוא משתף פעולה. לשיטה הזאת קוראים Island Hopping (דילוג בין איים).

התקיפה מתבצעת באמצעות עבודות מחקר מעמיקות ואיסוף מידע רב, החושפים בפני התוקפים את שיתופי הפעולה של היעד עם ארגוני צד שלישי. לעתים מושאי התקיפה המשניים הם ארגונים קטנים המשקיעים פחות משאבים בהגנה, ולכן הם מהווים נקודת חדירה נוחה המאפשרת תקיפה של הארגון המבוקש.

הדלת האחורית

המונח דילוג בין איים מגיע ממלחמת העולם השנייה, בה צבא ארה”ב נדרש לכבוש סדרה של איים בדרך למתקפה על יפן. כל אי שנכבש היווה בסיס לתקיפה של האי הבא, עד שלבסוף הצבא הגיע למטרה הסופית – יפן.

לא מדובר באסטרטגיה חדשה, אך היא הופכת לשיטת תקיפה פופולרית יותר ויותר בשל ההשקעה הרבה של ארגונים בהגנת סייבר. הקשיים שנערמו בפני התוקפים הביאו אותם למצוא דרכי תקיפה עקיפות, תוך שהם מנצלים את האמון הקיים בין ארגון היעד לשותפיו העסקיים. אלה כוללים ספקים חיצוניים, קבלנים, עובדים מרוחקים ואפילו לקוחות שנדרשים להתחבר לארגון מרחוק. לאחר תקיפה משנית מוצלחת, התוקפים צוברים משאבים שיקלו על ההתקדמות למטרה.

אפשר לומר שדילוג בין איים הוא גרסה מודרנית של טכניקת הצידוד (Lateral Movement). בשיטה זו הפריצה מתרחשת על נכס כגון תחנת קצה: התוקף ינסה לשפר את האחיזה שלו בארגון היעד באמצעות הגעה לעמדות שיש עליהן מידע רגיש. כאשר הטכניקה הזאת מתבצעת בין ארגונים, היא הופכת להיות דילוג בין איים.

תוקפים אי אחר אי עד ליעד המבוקש (צילום: Pexels)

על אמון וגיאוגרפיה

מבט על דוחות האיומים העולמיים מגלה שלא מעט תקיפות מגיעות מאזור צפון אמריקה. הנתון הזה מעורר תהייה, כיוון שאין מספיק שחקנים זדוניים (Threat Actors) המבוססים בצפון אמריקה. אז מה קורה מאחורי הקלעים?

כאשר מקור התקיפה מגיע מהיעד המקורי שלו, כגון סין או רוסיה, פשוט מאוד להתגונן מפניו באמצעות חסימה של אזורים אלה במערכות כמו חומת אש. השחקנים הזדוניים הבינו שהפתרון הזה לא ריאלי עבור ארגונים כאשר מדובר בצפון אמריקה – הוא אמנם אפשרי טכנית, אבל ארה”ב היא השוק הגדול בעולם ואין בזה שום היגיון עסקי – ולכן הם מבססים את עמדתם באזור ובכך ממנפים את התקיפה ומקשים על זיהויים.

המצב הזה יצר בעיה רצינית עבור הארגונים הגדולים, שמבססים את זיהוי ההתקפות על מקור התקיפה ולא על התנהגות חריגה. הנקודה הזאת מחזירה אותנו לעניין האמון: כמעט לכל ארגון יש ספק מהימן (Trusted Provider) שמספק שירותים בסביבת הענן – שמירת קבצים או הזמנת אוכל, לדוגמה. התוקף עלול למנף את האמון שיש לעובדים באותו ספק על ידי שליחת אימייל דיוג (Phishing), ולבקש מהעובד להזדהות עם סיסמת הארגון. כיוון שהעובד בוטח בספק יהיה לו קשה מאוד לזהות את ההתנהגות החריגה, והוא אכן יכניס את הסיסמה ויסכן את הארגון כולו.

אמון בספק צד שלישי הוא אחת הסיבות העיקריות לכך שאנשים רבים נופלים בקמפיינים של דיוג המגיעים ממתחזים של אפל או פייסבוק, לדוגמה, וזה בדיוק מה שתוקפים מנסים לעשות כאשר הם מבססים את עמדתם בצפון אמריקה.

אז איך מתמודדים?

אם כן, הדרך הנכונה להתמודד עם מתקפת איים נודדים היא התמקדות בזיהוי התנהגות חריגה (ולא במקור התקיפה, כאמור). ארגונים צריכים להיות מוכנים עם תוכנית התגוננות, צוות מקצועי וכלים המסוגלים לזהות התנהגות חריגה – הן ברמת תחנות הקצה והן ברמת הרשת. כדאי לדעת שכלים המבוססים על תעבורת DNS לא תמיד יתנו פתרון מתאים, כיוון שתעבורה זו יכולה להיראות תקינה בשל יחסי העבודה שיש בין הארגונים. לכן חשוב לזכור שהרובד האנושי לא פחות חשוב מהרובד הטכנולוגי – הסברה והכשרה נכונה של הצוות לזיהוי התנהגות חשודה של ספקים מהימנים יכולה לשפר באופן דרמטי את הסיכויים למניעת דילוג בין איים.

ארגונים שונים שזיהו מספר גדול של ניסיונות דילוג מספקים מהימנים התחילו לפעול באחת הדרכים הבאות: הראשונה, הם דרשו מהספקים לעמוד בתקנים ידועים מראש או להשתמש במוצרי אבטחה שמאושרים על ידם. במילים אחרות, הספק ישתמש באותם אמצעי הגנה שהארגון עצמו משתמש וסומך עליהם. הדרך השנייה היא רכישה של שירותי תגובה (IR) מגופים מאושרים, באמצעותם אפשר להיות מוכנים להתמודדות עם מקרי דילוג. ולבסוף, היעזרות בחברות צד שלישי המבצעות הערכה, מכמתות את רמת הסיכון של הספק ומציגות מנגנון ניקוד שעוזר לחברות לקבל החלטה טובה יותר על בסיס פרמטרים ידועים.

ישנן מספר גישות בעולם הסייבר שיכולות לעזור במניעת התקפות מסוג זה – בהן מיקרו סגמנטציה ברמת הרשת, גישת Zero Trust אשר תאפשר גישה רק לנכס הנדרש על ידי הספק החיצוני, או הזדהות דו-שלבית שלא מסתפקת בסיסמה בלבד. גישה נוספת היא פתרון כספת סיסמאות (Password Vaulting) המסייע לנהל סיסמאות של משתמשים חזקים בארגון.

למעשה, אפשר לצמצם את תהליך הגילוי לשני תחומים עיקריים: זיהוי פעולות צידוד (Lateral Movement) וזיהוי ניסיונות כריית סיסמאות וזהות משתמשים (Credential Harvesting). רוב ההתקפות – 80%-90% – משתמשות באחת הפעולות הללו או בשתיהן, כיוון שברגע שהתוקף נמצא בארגון הוא ינסה לצודד לנכסים נוספים ולחשוף סיסמאות של משתמשים חזקים יותר. אם נוכל לזהות את שתי הפעולות האלה בצורה טובה, כנראה שנוכל לעצור את הרוב המכריע של ההתקפות, או לפחות לדעת עליהן.

מיפוי, הקשחה וגיבוי

הנזק שחווים ארגונים שהותקפו הוא הרסני. אם ארגון נפרץ והמידע שלו הוצפן, לדוגמה, הוא נאלץ לשלם דמי כופר. אם הארגון מסרב לשלם, מתחיל תהליך הריסה של תשתיות הארגון ומחיקה של קבצים. הריסה של תשתיות יכולה להתבצע גם במקרה שהתוקף כבר הצליח לגנוב את המידע הרצוי, כגון קוד מקור של תוכנה או תוכניות יצור – ואז הוא מנסה להרוס כל מידע שקשור לפיתוח או לתהליך הייצור ובכך לעכב את הפיתוח של המוצר. במקרים אחרים, כאשר התוקף מבין שהוא עלול להתגלות ולחשוף מידע על דרך התקיפה בה פעל, הוא יהרוס וימחק כל דבר שהיווה חלק בתקיפה – תחנות, לוגים וקבצים.

ההמלצה שלי לחברות היא למפות את השרתים הקריטיים בארגון – שרתים שנושאים את האפליקציות שנחשפות החוצה ובסיסי הנתונים – ולהקשיח אותם. בשוק קיימים מוצרים להקשחת תשתיות, המאפשרים ניהול מרכזי של מדיניות הארגונים להקשחת שרתים ותחנות קצה. המדיניות הזו קובעת אילו יישומים מאושרים לרוץ על המערכת של הארגון, ומה שלא מאושר לא ירוץ. הכלים האלו מונעים הרצה של “אפליקציות נוספות” על הסביבה, וכל Malware או Ransomware שאינו מוגדר במדיניות ייחסם אוטומטית.

ועצה לסיום: ודאו שיש בארגון שלכם יכולת גיבוי, ובדקו את יכולת שחזור המידע. ברגע האמת זה יכול לקצר את זמני ההתאוששות ולעזור לארגון לחזור לפעילות תקינה בהקדם האפשרי.

הכתבה בחסות C-DATA & VMware

VMware Carbon Black Cloud היא פלטפורמת הגנה מבוססת ענן על נקודות קצה ושרתים וירטואליים, שנועדה לאתר התנהגות זדונית כדי לסייע במניעת תקיפות בארגון באמצעות קבצים ואמצעים זדוניים אחרים. הפלטפורמה באה לשמור על איומים מתעוררים באמצעות כלי קל ופשוט לשימוש על ידי ניתוח של יותר מטריליון אירועי אבטחה ביום.
VMware Carbon Black Cloud חושף באופן יזום את דפוסי ההתנהגות של התוקפים ומאפשר לארגונים לזהות ולהפסיק התקפות מתעוררות. כחלק מאסטרטגיית אבטחה מובנית, VMware Carbon Black Cloud מפשט ומחזק את הגישה שלך לאבטחה בכל אפליקציה, כל ענן וכל מכשיר. רוצים ללמוד עוד? לחצו כאן.

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

1 תגובה על "מתקפת הסייבר שעושה קאמבק: מה הסיפור של Island Hopping?"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
לירי
Guest

תודה על הכתבה!
אשמח לעוד כתבות מהסוג הזה בעתיד!

wpDiscuz

תגיות לכתבה: