אמנות לחימה קיברנטית – חלק א’

ארגונים בארץ ובעולם מתמודדים כבר שנים עם איומים קיברנטיים אלא שלאחרונה השתנו מספר מרכיבים כמו העוצמה, המהירות והיקף ההתקפות להן נחשפים ארגונים. סדרת פוסטים בנושא יעסקו בתופעה בהרחבה ויציגו תמונת מצב מעודכנת

”]“אומנות המלחמה הקיברנטית” לקוח מתוך ספרו של קנית’ גירס (Kenneth Geers) ויוצג בניוזגיק במסגרת כתבה שתפורסם בשלושה חלקים במהלך השבוע הקרוב. על התירגום אחראי שחר גייגר מאור, אנליסט לשירותי תשתיות בחברת STKI.

לחלק הבא >>>

הקדמה / שחר מאור

“תחום הסייבר מאוד חם –תכתוב עליו”. ככה, במילים האלה, אמר לי ג’ימי הבוס שלי באחת מישיבות הצוות בזמן האחרון. זה נכון, בשנה האחרונה יש המון חומרים שמסתובבים ברשת, אבל יש תחושה של יותר מדי “רעש” שיווקי סביב הבאז הזה שנקרא cyber. ראשית כל, משום מה נוהגים להשאיר את המילה cyber בפני עצמה, צעד שכבר עשוי לעצבן את רוב אנשי המקצוע. שנית, ברוב המקרים ורוב הדוגמאות מתייחסות לאותם איומים מוכרים שמלווים את התעשייה כבר שנים רבות.

הרבה פעמים עושים שימוש במונחים חדשים כמו APT1 כדי לתאר פריצה של האקרים למערכות מיחשוב (כדוגמת סוני או קרן המטבע העולמית). בפועל אין הבדל מהותי בין התקפות אלה להתקפות שאנו עדים להם בשנים האחרונות. עם זאת, משהו בכל זאת השתנה בשוק: אותם גורמים שמנסים לבצע את ההתקפות. כאן קיימת החמרה ברמת האיום שכן מדובר במקרים רבים בארגוני פשע\פוליטיים ואף מדינות. לכן, אני מקבל את הטענה שהשוק והאיומים בו השתנו באינטנסיביות שלהם בשנתיים האחרונות.

מה זה “סייבר”?

עולם הסייבר מתחלק בגסות (רבה) בצורה הבאה:

Cyber Security: אותו ענף באבטחת המידע שמטפל או מתייחס למימד הקיברנטי של האבטחה.

כחלק מהמרחב הזה אנו מחלקים את האיומים החמורים יותר לשתי רמות:

Cyber Crime: התקפות\איומים שהמוטיבציה העיקרית מאחוריהן היא כלכלית. חלק זה מהווה עדיין את החלק הארי מבחינת היקפים וכסף שמעורב בו.

Cyber Warfare: לוחמה קיברנטית (רמת המדינה או הארגון). המוטיבציה כאן היא מדינית\פוליטית. ניתן למצוא התקפות על מערכות\מוסדות או ארגונים מסחריים שהגורמים מאחוריהן הם מדיניים.

התקפות APT אמיתיות (Aurora או Stuxnet) הן בליגה משל עצמן והצעדים שארגון כלשהו יכול לנקוט כנגדן מעטים מאוד. בישראל הוחלט על הקמת מטה סייבר מקומי בתקציב של 100 מיליון שקלים. מטה זה נועד להסדיר את האסטרטגיה של ישראל בכל הקשור לתחום הלחימה וההגנה. אני מניח שהרגולציות יגיעו בשנים הבאות. כרגע אין כלום.

איך להתמודד עם האיומים החדשים?

צילום: flickr, cc-by, Rocky X

ארגונים בארץ ובעולם מתמודדים כבר שנים עם איומים קיברנטיים. עולם התוכן הזה לא הומצא אתמול. מה שכן השתנה ומצויין גם בספר להלן הוא המהירות, העוצמה וההיקפים של חלק מההתקפות שהארגונים נחשפים אליהן. התמודדות עם מתקפות קיברנטיות בתקופת הזמן שלנו היא תהליך מתמשך ודינמי מאוד. על הארגונים להפנים את הדינמיות בצד האיומים ולהתאים את רמת ההגנה של מערכותיהם למול איומים אלה (בכפוף לניהול סיכונים מסודר בארגון).

לפני הכל, אסטרטגיית ההגנה של כל ארגון חייבת לכלול הסדרת סטנדרטים מעודכנים בכל הקשור לפיתוח, לתפעול ולרכישת מערכות הארגוניות. אסור להגיע למצב שבו עושים שימוש בגרסאות ישנות מדי של תוכנות או מערכות הפעלה. מערכות ארגוניות חייבות לעבור תהליך שגרתי ותקין של הקשחה מתאימה מול מידת החשיפה של המידע והשירותים עליהן. דוגמא רעה לכך ניתן היה לראות בפריצה למחשבי גוגל במתקפת Aurora. במקרה ההוא נפרצה עמדת עבודה שהותקן בה Internet Explorer 6!!! רמת אבטחת המידע של IE6 כבר אינה מתאימה למציאות של ימינו ואי אפשר לבוא בטענות ליצרן התוכנה אם לא טורחים לעדכן את הגרסאות הקיימות בארגון לרמה סבירה.

אלמנט ראשון במעלה הוא נושא העלאת המודעות וחינוך העובדים. במקרים רבים עושים התוקפים שימוש בתכונות אנושיות בסיסיות כמו סקרנות ותמימות שימוש לרעה. על העובדים להכיר בצורה טובה (תוך רענון תקופתי. לא מספיק פעם בשלוש שנים…) את האיומים הקיימים ודרך ההתמודדות איתם. עליהם להכיר את שיטות ההונאה המוכרות עם דגש רב על רשתות חברתיות, התקנים ניידים ומיילים.

אלמנט נוסף המאפשר הגנה טובה על מערכות הארגון הוא שמירה על מדיניות הפצת טלאים מתאימה. הרבה מההתקפות מבוססות על איתור חולשות מוכרות, שכבר הוטלאו ותוקנו על ידי היצרן. במקרים רבים לא מגיעים טלאים אלה לכל תחנות הקצה בארגון ויוצרים עקב כך חשיפה מיותרת ומזיקה של המערכות להתקפות. צעד מניעתי זה הוא הבסיס להתמודדות עם רוב איומי אבטחת המידע המוכרים כיום. אחת הטענות נגד הפצה מהירה של טלאים היא הנזק שלעתים נגרם למערכות הייצור בארגון ששונות מטבען ממערכות הבדיקה. בארגונים בסיכון גבוה, כמו למשל בחיל האויר האמריקאי, המדיניות היא קיצונית במיוחד: טלאים קריטיים מופצים למערכות השונות במהירות האפשרית ומקבלים עדיפות גבוהה על נושא הבדיקות. טלאי קריטי מופץ לכל מערכות ורשתות חיל האויר תוך יומיים בלבד!

האלמנט השלישי הוא מימוש טכנולוגיות להזדהות חזקה. ככל שיתקדמו ההתקפות הקיברנטיות ויהפכו למתוחכמות יותר, יהיה למרכיב ההזדהות תפקיד משמעותי יותר בהגנה על רשת הארגון. ההתקפה על מערכות RSA היא ניסיון ראשון אמיתי לתקוף מערכות מיחשוב בצורה עקיפה: תקיפת יצרן פתרונות אבטחת מידע ודרכן את מערכות הארגון. דוקא דוגמא זו ממחישה את הצורך במימוש יכולות הזדהות חזקה. חלק מהמומחים ממליצים לעשות שימוש בכרטיסים חכמים ולא בטוקנים בגלל השוני בשיטת ההצפנה (א-סימטרית מול הצפנה סימטרית בטוקנים). שיטת ההצפנה בתצורה זו מקשה על תוקף לחשוף את פרטי ההזדהות של המשתמש בקצה ומורידה את המוטיבציה שלו לעשות כן. מצד שני, הטכנולוגיה הולכת לכיוונים אחרים והתקנת כרטיס חכם נחשבת לפיתרון יקר ומסורבל מדי בהרבה מקומות.

אלמנט מסוג אחר שדרוש כדי להיטיב את ההתמודדות עם התקפות קיברנטיות הוא ההכרח בשיתוף ידע. ידוע שאחת הבעיות בעבודה משותפת בין גופי מודיעין היא החשש מחשיפת מקורות. לכך נוספת בעיה קשה במוטיביציה של ארגון או מוסד מסויים לחשוף ידע הקשור לחולשה במערכות שלו בפני עמיתים אחרים. עם זאת, ברגע שמידע קונקרטי על התקפה יועבר בזמן אמת בין ארגון א’ לארגון ב’, מידת הסיכון עבור ארגון ב’ תרד בצורה משמעותית. כבר כיום מוקמים פורומים בין-ארגוניים שנועדו לעדכן ולהתעדכן בתחום ההגנה הקיברנטית. יש לשאוף ששיתוף הידע יתרחב עד כמה שניתן כדי להגדיל את רשת ההתראה ולקדם טיפול בסיכונים מתהווים.

לסיכום: הדרך להתמודד עם המציאות הקיברנטית החדשה היא קודם כל להפיק את המיטב מהמערכות הקיימות בארגון, לבצע הקשחה כנדרש ולדאוג לעדכן אותן בעדכוני תוכנה מתאימים. הצעד המשמעותי השני הוא העלאת המודעות ורתימת העובדים עצמם למאבק. הארגון ימדד, כמו תמיד, בחוליה החלשה שלו. צעדים בסיסים אלה יורידו מאוד את רמת החשיפה של הארגון לאיומים חדשים ויאפשרו לו לחשוב קדימה על האתגרים הבאים. מימוש טכנולוגיות ומתודולוגיות חדשות הוא השלב הבא. ברמת ארגוני התשתית והמוסדות חשוב לשפר את נושא שיתוף הידע כדי לנסות וללמוד ממקרים וארועים אחד של השני.

סיכום הספר Strategic Cyber Security מאת K. Geers

הספר טוען שאבטחת מידע באינטרנט הפכה בשנים האחרונות מכלי טקטי יומיומי לקונספט אסטרטגי. השילוב של התלות ההולכת וגדלה של העולם במחשבים ובתקשורת אינטרנט ביחד עם היכולות המתפתחות של התוקפים וכניסה של גורמים מוסדיים לתחום, הם שמאיימים כיום על מדינות וארגונים בינלאומיים.

הסופר מתאר את ההסטוריה של הפשיעה והלוחמה הקיברנטית ובוחן ארבע אסטרטגיות אופציונאליות להתמודדות עם האיומים החדשים. אחד מהם, IPv6, הוא טכנולוגי. השני, אסטרטגיית המלחמה המוצגת בדוקטרינה של Sun Tzu “Art of War” היא מנגנון מלחמתי. השלישי, מנגנון הרתעה בעולם הסייבר, הוא שילוב של אמצעים פוליטיים צבאיים וכמוהו האופציה האחרונה: מנגנוני פיקוח על נשק.

IPv6 – פרוטוקול האינטרנט החדש ככלי להתמודדות טכנולוגית עם התקפות קיברנטיות

צילום: flickr, cc-by, giopuo

מאז הקמת רשת האינטרנט העולמית מלווה אותנו הפרוטוקול המוכר והיציב שנקרא IPv4. פרוטוקול זה הסדיר למעשה את כל הקישוריות וההזדהות באינטרנט. הפרוטוקול קבע את טווחי כתובות האינטרנט, את המבנה שלהן ואת הקצאתן (באמצעות גופים שונים) בין הצרכנים בעולם. בשנת 2011 הגענו לסוף דרכו של פרוטוקול זה, כששמונה מאגרי הכתובות האחרונים הוקצו באופן אוטומטי בין מספר גופים אזוריים ברחבי העולם. לפני מספר שנים הוחל בעבודה לפיתוח דור המשך לפרוטוקול הקיים. הפרוטוקול החדש (IPv6) יתמוך בטווחי כתובות רבים עשרות מונים מהפרוטוקול הקיים (2128 במקום 232 כתובות) וימלא את צרכי השוק ההולכים וגדלים במהירות בשנים הבאות.

התכונות הכי חשובות לענייננו הן יכולות האבטחה המשופרות בפרוטוקול. ראשית כל מוטמעות בו ברמת הקוד יכולות הצפנת IPSec אשר מעלות מאוד את ההגנה על התקשורת בין נקודות הקצה. יכולת נוספת היא טווח הכתובות העצום של הפרוטוקול, אשר מאפשר באופן תיאורטי להקצות “לכל דבר” כתובת IP קבועה ולהקשות מאוד על התוקפים לסרוק את הרשת מכתובות IP מזדמנות ללא אימות שלהן.

תכונה נוספת אשר מחזקת את יכולות אבטחת המידע בפרוטוקול נגזרת מפיתוחו הבלתי פוסק על ידי צוותי העבודה ייעודיים של הגוף שהמציא אותו (ה IETF). צוותים אלה מודעים לאתגרים שקיימים סביב הפרוטוקול, במיוחד בנושאי אבטחת מידע ופועלים לשפר אותו כל הזמן.

עדיין, גם IPv6 אינו מושלם כאמצעי להתמודדות עם התקפות מורכבות באינטרנט: קודם כל מדובר על פרוטוקול חדש שכנראה יביא להתקפות חדשות ולא מוכרות. מה גם שכבר היום ידועות התקפות DOS שעובדות בפרוטוקול הזה. עניין נוסף הוא העובדה שהתקפות המבוססות על חולשות במערכת ההפעלה או בתוכנות כלשהן לא ממש יושפעו מהפרוטוקול החדש.

השענות על פרוטוקול זה דורשת הבהרות ומיצוי של נושאים כמו פרטיות, סוגיות חוקיות בין מדינות והתקדמות בפריסת ויישום הפרוטוקול ברחבי העולם.

Art of WAR : רתימת דוקטרינת המלחמה המפורסמת להתמודדות עם cyber warfare

הנחת העבודה המרכזית כאן היא ש cyber warfare, כשמה כן היא: זירת לחימה לכל דבר במימד האלקטרוני. “אמנות המלחמה” היא קלאסיקה סינית בת 2,500 שנה אשר נכתבה על ידי סון דזה (Sun Tzu) כדי לתאר את היסודות המרכזיים, את אסטרטגיה והטקטיקה בכל עימות צבאי. התורה מחולקת ל 13 פרקים מרכזיים ומתייחסת לכל האספקטים הקשורים לניהול וביצוע מלחמה: הכנות לוגיסטיות, בחירת נתיב התקדמות, מיקום המפקד בקרב, טיפול במרגלים במלחמה ועוד.

ספר זה מנסה להראות כי בכל פרק מ 13 הפרקים של אמנות המלחמה ניתן למצוא כלים (לא תמיד מושלמים) ללחימה קיברנטית.
על פי הספר אומנות המלחמה, אסור לנו לחכות לראות האם האוייב יתקיף אותנו, אנחנו חייבים להיות מוכנים לו בכל זמן ולבנות את הביצורים שלנו בצורה המיטבית (מתוך פרק 8 –”תשעת המשתנים”).

האיומים הקיברנטיים נמצאים בתחילת דרכם ולכן טקטיקות הלחימה במרחב הזה לא תמיד ברורות לכולנו. מה שמקשה מאוד על ההתמודדות וההגנה היא העובדה שמדובר בפעילות אנונימית וא-סימטרית. הצד התוקף קשה לזיהוי וקשה מאוד לאתר מקור של התקפה עד לגורם שיזם אותה. כל אלה מקשים על מתכנני אסטרטגיית ההגנה בבואם להתמודד עם מרחב זה.

אף על פי כן, הזמן הולך ואוזל. שדה הקרב במלחמה הבאה יהיה שונה משמהותית מזה של היום. סתם כדוגמא למגמה זו: ב 2010 רכש ח”א האמריקאי יותר מל”טים מאשר כלי טייס מאויישים. אין ספק שבשנים הבאות נראה תחזקות של הזרועות הקיברנטיות בצבאות שונים בעולם (רואים זאת כבר היום במדינות כמו ארה”ב ישראל, צפון קוריאה וכמובן סין).

אחת ההערכות היא, שמכיוון והנשק הקיברנטי מוגדר כנשק א-סימטרי, מדינות עניות במשאבים וטכנולוגיה קונבנצונאלית ינסו להשקיע בתחום זה כדי לחפות על חולשותיהן (זה מאוד דומה לאימוץ אסטרטגיית הלוחמה של סוריה, חמאס וחיזבאללה נגד ישראל, אשר משקיעות בפיתוח יכולות ירי בטילי קרקע-קרקע, קרקע-אוויר וטילי נ”ט בשל נחיתותן מול חיל האוויר הישראלי).

באומנות המלחמה מצויין כי בהתקפה היתרון הוא של המגן, אשר מכיר מצויין את השטח ויודע לנווט את התוקף לשטחי השמדה. בהשאלה לעולם הקיברנטי: למגן יש את כל ההרשאות למערכות שלו והוא יודע לבנות ולתכנן את הרשת ואת המשאבים כך שיוכל להגן עליהם בצורה מיטבית.

כמובן שאחד הציטוטים המוכרים ביותר מספר זה הוא הציטוט הבא שכל כך רלוונטי במרחב הקיברנטי:

“If you know the enemy and know yourself, you need not fear the result of a hundred
battles. If you know yourself but not the enemy, for every victory gained you will also
suffer a defeat. If you know neither the enemy nor yourself, you will succumb in every
battle”. AoW: III. Attack by Stratagem

הבסיס לפי תפיסה זו הוא הכרות והערכות מול מאמצי הצד השני בזירה הקיברנטית. הקמת צוותי עבודה ומטה והזרמת תקציבים לקידום מחקר ורגולציות יכולים לתרום רבות למאמצים להתמודד עם איומים קיברנטיים בשנים הקרובות.

ההשוואה לאומנות המלחמה אינה תמיד מתאימה. לעתים ניתן למצוא הבדלים מהותיים בין הזירה שעליה מדבר סון דזה לבין זו שאנו נתקלים בה במרחב הקיברנטי. כך למשל מתאר דזה שישה טיפוסים של שדות קרב אפשריים. אחד הפרמטרים שנמנים הוא המרחק בין היריבים. במרחב הקיברנטי אין, כמובן, כל משמעות למרחק פיסי בין התוקף למגן. עוד שונות מעניינת היא שימוש חוזר בכלי נשק. בשימוש בחרב התוצאה צפויה בדרך כלל, אולם בשימוש בערכת פריצה (exploit toolkit), התוצאה עשויה להיות שונה מול שתי מטרות זהות לכאורה. כמו כן, לאחר גילוי התקפה ברשת ניתן “לחסן” את המערכת המותקפת כדי למנוע הישנות של התקפות בעתיד. אומנם, גם בשדה הקרב המסורתי ניתן לעטות שכבות נוספות של הגנה מפני להב החרב, אולם מהירות השינוי ומהירות עדכון המערכת המתגוננת גבוהה לעין שיעור יחסית לאפשרות של לוחם מהעולם המסורתי להתאים עצמו לנשק חדש. הנחת העבודה בעולם הקיברנטי היא שכלי נשק נועד לשימוש אחד או לכל היותר שימושים בודדים בלבד לפני שהוא מאבד את הרלוונטיות שלו3.

“עת להלחם”

סון דזה מדבר בספרו על האלמנטים המרכזיים המרכיבים התקפה מוצלחת: מהירות, כוח, הפתעה וחוסר סימטריות. במובן הזה ניתן להמשיל פעילות התקפית במרחב הקיברנטי לפעילות של כוחות מיוחדים אשר מנצלים את כל אותן תכונות כדי לתקוף מטרה ספציפית בהפתעה ולאחר מכן להעלם (לדוגמא, Stuxnet). מצד שני, בעוד שהתקפות של כוחות מיוחדים מוגדרות כאמצעי טקטי בדר”כ, האפקט שפעילות קיברנטית מוצלחת יכולה להשיג עשוי להיות בעל מימדים אסטרטגיים (גם כאן, קחו את Stuxnet כדוגמא).

הפעלה של אמצעים קיברנטיים יכולה, כמובן, להיות במתווים נוספים, כמו למשל הפצת תעמולה ברשת –כך ניתן “להפציץ” ולהגיע לכל רחבי הגלובוס תוך שניות. דרך פעולה אחרת היא פעילות ריגול אשר מאפשרת לתוקף גניבה של מידע אסטרטגי ורגיש מהמותקף.

סון דזה מתריע שהזמן הטוב להתקפה הוא הזמן הכי לא נוח למגן. במרחב הקיברנטי מאומץ עיקרון זה במלואו: רבות מההתקפות מבוצעות בזמנים שבהם הארגון עובד בעצימות נמוכה (חגים, סופי שבוע וכן הלאה). עיקרון נוסף הוא ההשענות על משאבי האוייב במקרה של התקפה – כך המצב במידה מסויימת במרחב הקיברנטי, בו אחד העקרונות להתקפה הוא גניבת זהות ופריווילגיות של עובד\י הארגון המותקף כדי להמשיך את ההתקפה.

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

הגב ראשון!

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

wpDiscuz

תגיות לכתבה: