עולם הסייבר עובר מזיהוי למתקפות יזומות

במשך שנים אבטחת מידע התמקדה באיתור, מניעה ותגובה לפירצות אבטחה. בשנים האחרונות עברנו מזיהוי להתקפה מקדימה

מאת איציק קוטלר

המתודולוגיה הפופולארית בעולמות ההגנה מפני פרצות אבטחה בנויה מ-3 שלבים עיקריים: Prevention, Detection ו-Respond, ובשפה פשוטה ״לחסום את מה שאפשר, לנטר את מה שאי אפשר לחסום ולהגיב כמה שיותר מהר להתקפה אם כבר התוקפים בפנים״.

בראשית ימיו של תחום Information Security, החברות פיתחו מוצרי Prevention שמטרתם הייתה למנוע בעיות אבטחת מידע כגון: הדבקה של וירוסים על תחנת קצה או התקפות רשתיות בין מחשבים. בגלל פערים טכנולוגים אי אפשר היה לזהות באופן אוטומטי את כל ההתקפות ולכן התפתח עולם של Detection שמטרתו לתת Context על איזושהי חריגה (“Anomaly”) על מנת לסייע לאנאליסט לקבל החלטה האם זה מקרה אמת או טעות בזיהוי. ברגע שהאנאליסט מחליט שמדובר במקרה אמת (או, כמו במקרים רבים, מודיעים לו על כך שהארגון כבר נתקף והתוקף בפנים) הוא עובר ל-Respond שם הוא מבצע פעולות מגננה כגון שינוי הגדרות במוצרי אבטחת מידע, מנתח את ההתקפה בשביל ללמוד לקחים וכו׳.

החולשה של המתודולוגיות הקיימות

למתודולוגיה הקיימות יש מספר חולשות, שהמרכזית שבינהן נמצאת בשלב המניעה (Prevention). מנהלי אבטחת המידע מקבלים בכל יום עשרות False-Positive, התראות שלמעשה יתבררו כהתראות שווא, כלומר, המערכת מזהה פעילות כתקיפה אך בפועל זה לא תקיפה אלא פעולה לגיטימית. מוצר אבטחת מידע שמגן מפני התקפות על אתר יגרום לכך שבמקרה של False-Positive לקוח לגיטימי גולש לאתר אבל הבקשה שלו תחסם וכתוצאה מכך האתר איבד עסקה ובפוטנציאל לקוח. עקב כך, רק מעט מוצרים במעט מקומות בחברה מופעלים במצב ״חסימה״.

החולשה העיקרית של Detection היא התלות באנאליסט אנושי שידע להבין במה מדובר ולהגיב בהתאם. כמובן שיש גם מגבלות טכנולוגיות לגבי טיב הזיהוי וטיב המידע שמועבר לאנאליסט אבל עדיין הבעיה היא שבסופו של יום יש הגבלה במספר האנאליסטים שחברה יכולה להעסיק אבל אין הגבלה לכמה הודעות ומידע המערכות הנ״ל שולחות אליהם. כל פעם שהאנאליסט טועה בהבחנה או לא מטפל באירוע בזמן החברה ״מפסידה״ בקרב.

גם הטמעה של מערכות מהסוג הנ״ל לפעמים מסובכת בגלל ריבוי מוצרי אבטח מידע, סביבות פעולה עם הנחיות שונות וכמובן בירוקרטיה כגון: ״למי מותר ללחוץ על הכפתור ולמי לא״. מה שלא מעניין את התוקף ועלול להסב נזק ממשי לארגון.

החולשה הכללית היא שאף-אחד מהרכיבים הנ״ל לא יודע להגיד מתי הוא לא הצליח לזהות התקפה. התוקף מצידו יכול להרשות לעצמו לתקוף את החברה מיליון פעמים והמגן חייב לזהות ולהגיב לכל אותם אירועים. מספיק פעם אחת שהמגן לא הצליח בשביל שהתוקף יתקדם בשרשרת התקיפה ויהיה קרוב יותר להשיג את מטרתו.

בוא ניקח לדוגמא את מתקפת נוזקת הכופר האחרונה שעוררה הד בינלאומי גדול – WannaCry. בעוד שאף-אחד לא יכול לחזות Zero Days, עדיין ההתפשטות של ההתקפה הייתה נרחבת בין אם בסריקה של מרחב כתובת IP-ים לבדוק אם פורט ספציפי פתוח ולנסות להתחבר אליו או דרך שליחה של לינקים במייל וניסיון לרמות את המשתמש להוריד את התוכנה ולהפעיל אותה. הטכניקות הללו ידועות ומוכרות וכבר עכשיו ניתן היה לסמלץ התקפה ולבדוק בדיוק איפה זה יצליח לתוקף ואיפה לא. הכלים היו שם – מנהלי האבטחה נרדמו בשמירה.

להכנס לראשם של ההאקרים

עד עכשיו ראינו שכל המתודולוגיות מבוססות על העבודה שהמגן ״מגיב״ לתוקף (ולכן באופן טבעי, תמיד יהיה צעד מאחוריו) וזה תמיד המגן שנשאר בסוף עם השאלה האם הפעולה הצליחה להדוף את התוקף או לא (ולא דווקא האם הפעולה הצליחה כשלעצמה אלא האם היא הצליחה בזמן, האם היא הצליחה להדוף את התוקף מהמשאב שהוא תקף וכו׳). הדילמות הללו, וחוסר האפקטיביות לעיתים להתמודד עם המתקפות הולידו מתודולוגיה חדשה הנקראת: Breach and Attack Simulation. המתודולוגיה העדכנית הופכת את הארגונים ממגיבים לפרואקטיביים המסוגלים לצפות את הבאות ולחשוב לא רק על איך להתמודד עם האיום אלא איך האיום הזה נראה והאם האיום הזה באמת משפיע על הארגון או לא. הדרך לענות על השאלות האלה היא בעזרת סימולציה. סימולציה בלתי פוסקת של איומים ומתקפות יזומות – המשתמשות במתודולוגיות עדכניות של האקרים. סימולציה של מתקפות יזומות ממקדת את צוותי האבטחה, עוזרת להגדיר עדיפות השקעה במוצרי אבטחה חדשים ולוודא שמערכות האבטחה הקיימות עובדות כפי שנדרש מהן וזאת באופן מתמשך. לעיתים יגלו מנהלי האבטחה כי המוצרים הקיימים שיש להם מצויינים, רק השימוש בהם לא בהכרח נכון. בדרך זו יוכלו הארגונים להיות פרואקטביים ומובילים ולא לרדוף אחרי התוקפים בניסיון לזהות האם מדובר במתקפת אמת או לא, מצבה האמיתי של מערכת האבטחה וההגנה על הארגון ולבסוף – להיות מובילים ולא מגיבים.

הכותב הינו CTO וממייסדי חברת הסייבר SafeBreach, חוקר אבטחת מידע ובוגר יחידת 8200

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

6 Comments on "עולם הסייבר עובר מזיהוי למתקפות יזומות"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 
Sort by:   newest | oldest | most voted
דוד
Guest

מה עם שיטות של התקפת התוקף? ההגנה הכי טובה היא ההתקפה.

זומבה
Guest

ואם התוקף משתמש במחשב שלך לתקיפת תאגיד ללא ידיעתך? אתה מסכים שהתאגיד יתקיף את המחשב שלך כתגובה? שלא לדבר על אי החוקיות של זה…

ואם התוקף משתמש במחשב של חברת החשמל ללא ידיעתה לתקיפת מטרות אחרות. תרצה שחברת החשמל תותקף? כי אם כן, אז כדאי שתכין מלאי גדול של נרות ;)

No body home
Guest

צודק ב10000 אחוזים

No body home
Guest

סוף סוף קיבלו שכל אני מעריצה אותכם .
לא חוקי לתקוף תוקף פוטנציאלי לא חוקי להוריד לו את השרת ומה שקורה שזה נותן לגיטימציה למי שאינו שומר על חוקי האתיקה לבצע פריצות זדוניות ולא רק לעשות סימולציות מוצלחות .
אני פשוט מעריצה אותכם .

המחבר
Guest

שווה ללמוד שיטות תקיפה מעבודת תזה ב 1990 באוניברסיטת חיפה…”וירוס מחשבים – מיתוס או מציאות”, ותראו שלפני חכמי המאה ה 21 כבר ידעו טוב מה לעשות, אלא שאין נביא בעירו…לא כל כותב ומומחה אקס 8200 הוא באמת הנביא, כי היו נביאים גם לפניו, במאה הקודמת…

רון
Guest

כמה שטויות בכתבה אחת.
רואים שהכותב חרטטן על כמו כל יוצאי 8200.
חבורת שרלטנים שמשחקים אותה כאילו הם מבינים אבטחת מידע.
גייקטיים – פרסומות צריכות להיות מסומנות כפרסומות, ולא להתחזות לכתבות.

wpDiscuz

תגיות לכתבה: