ממדינות לתאגידים: הטרנספורמציה של מתקפות הסייבר

לא רק סוכנויות ביון ומדינות., התקפות סייבר משמשות תאגידים שמעוניינים לרגל אחר המתחרים שלהם. הצצה לדור הבא של מתקפות הסייבר.

shutterstock cyber

הפוסט נכתב על ידי איציק פרנפס.

מתקפות סייבר היו בעבר נחלתן של מדינות ומבצעים סודיים. היום לעומת זאת, נעשה בהן שימוש כמעט קבוע במגזר הפרטי במסגרת ביצוע עסקאות והן הפכו לעול משמעותי בעבור החברות והארגונים השונים.

בסקר שבוצע לאחרונה, נמצא כי שליש מהחברות מודעות לכך שפועלות נגדן מתקפות דיגיטליות. לדאבונן של החברות, בעוד שהגנה מבוססת רשת רשמה התקדמות משמעותית במהלך השנים האחרונות, מחשבי קצה ארגוניים, מחשבים ניידים ומכשירי כף יד ממשיכים להיות חשופים לאיומי אבטחה ומנוצלים למטרות פריצה לארגונים. גל חדש של סטארטאפים מנסה לגשר על הפער הזה.

עם כל הכבוד לג’ייסון בורן, זו נקודת המבט שלי (גם אם מעט מושפעת מסרטי ריגול) על הטרנד האחרון בתחום ביטחון המידע: פתרונות טכנולוגיית “endpoint” חדשניים הנלחמים במה שידוע כמתקפות”Zero-day” .

לונדון 2006

בדצמבר, חזיתות החנויות בלקסינגטון היו אף יותר יפיפיות מהרגיל. עם זאת, הנציב הסורי שנקרא לו לצורך העניין חמיד*, היה במצב רוח רע. הוא הוביל תהליכי משא ומתן מסובכים עם הצפון קוריאנים תחת הנחיות מדוייקות: בניית הכור האטומי הסודי בדיר א-זור בצפון סוריה, חייבת להמשיך כמתוכנן. לחמיד כבר נמאס מהעקשנות של הקוריאנים במשא ומתן ומההתעסקות עימם. לשמחתו, היה לו את כל אחר הצהריים חופשי. הוא השאיר את המחשב הנייד שלו בחדר המלון ויצא לערוך קניות.
מה שחמיד לא זיהה, זה שבזמן ששוטט ברחובות לקסינגטון עקב אחריו צוות של המוסד הישראלי.

במקביל, צוות נוסף של המוסד נכנס אל חדר המלון שלו, פרץ למחשב הנייד של חמיד, יצר עותקים מהמסמכים שהיו עליו והתקין סוס טרויאני שלאחר מכן יאפשר לצוותי הריגול הישראלים לעקוב אחר הפעולות העתידיות שלו. נתונים מהמחשב הנייד של חמיד, סיפקו את הראייה החותכת שבסופו של דבר הובילה לתקיפה אווירית על הכור האטומי הסורי, והרסה אותו בספטמבר 2007.

איפשהו בארה”ב 2011

במעמקיו של תאגיד הענק דו-פונט, יושבת מחלקה עסקית שעוסקת בכימיקלים תעשייתיים.על מנכ”ל היחידה העסקית, נקרא לו לצורך העניין ברנס, עובר יום מלחיץ במיוחד. הוא מעורב במשא ומתן אינטנסיבי בנסיון לרכוש חברה מתחרה בריטית. הוא יודע שיש עוד משתתף במכרז, כנראה מסין.

ברנס מתוח. הוא זוכר היטב כי הבונוס השנתי שלו שממנו תכנן לממן את לימודי האוניברסיטה של בנו, תלוי בהצלחתה של הצעת המחיר הזו.

*האירועים והדמויות המצוינות מעלה מבוססים על דוחות מדיה ותעשייה רלוונטים. השמות שלהם פיקטיביים.

הוא עוזב את המשרד כדי לשאוף קצת אויר, ועוצר ב-Starbucks כדי לעבור על הצעת המחיר הסופית שאותה הוא מתכוון להגיש יום למחרת. בזמן שהוא עובר על המיילים שלו הוא מזהה הודעה מאחד מעובדי החברה בבריטניה. כשהוא פותח את קובץ ה-PDF המצורף, המחשב שלו מגיב מעט לאט יותר מהרגיל ולאחר מכן מופיעה על המסך חשבונית על ניקוי יבש. הוא מגלגל את עיניו. העובד כנראה בלבל בין ברנס לבין מנהל החשבונות של המחלקה.

ברנס לא שם לב שהמייל היה מזוייף. השולח האמיתי צירף קובץ PDF שהכיל קוד “zero day” לא מוכר, שניצל חולשת תוכנה לצורך הרצת קוד זדוני. שנתיים לאחר מכן, הקוד יזוהה ב-National Vulnerability Database בתור CVE-2013-3341. הקוד הזדוני זיהם את המחשב הנייד שלו. בן לילה, עותקים של קבצים מהמחשב הנייד של ברנס נדחסו ונשלחו לשרת שהותקן במיוחד למטרת המתקפה הזו. שלא במפתיע, הצעת המחיר של הסינים לרכישת המתחרה הבריטית היתה גבוהה בדיוק במידה הנכונה כדי לזכות במכרז על העסקה.

חשיבות ההגנה על נקודת הקצה (endpoint)

שני האירועים הללו שקרו בהפרש של 5 שנים ובשתי יבשות שונות, רק מדגישים עד כמה השתנה התחום של מתקפות סייבר. לא עוד מתקפות ממוקדות על נכסים לאומיים; מתקפות סייבר הפכו להיות מכוונות הרבה יותר כלפי תאגידים והן נעשות יותר ויותר נפוצות. דוחות עדכניים שפרסמו Symantec ו-Mandiant חושפים תעשייה שלמה של מתקפות שמכוונות כלפי תאגידים: הן כוללות גניבה של קניין רוחני, נגישות למידע מסחרי רגיש ואפילו מתקפות ממקורות עויינים שמונעות שירות ופוגעות בתשתיות חיוניות – כולנו קראנו השנה את הסיפורים על פריצות לחשבונות Twitter, מתקפות על בנקים קוריאנים וריגול אחר ארגוני חדשות כמו ה-New York Times.

חלק מהסיבה שבגללה מתקפות כאלו מתרבות היא שרוב פתרונות האבטחה עדיין מתרכזים בבטחון רשת היקפי (תחשבו על זה כמו על גדר מסביב לבית). סוג כזה של אבטחה עדיין בעל ערך והפתרונות בתחום הזה משתפרים: ההנפקה הבורסאית המוצלחת של Palo Alto Networks מוקדם יותר השנה, והרכישה של Sourcefire שהתבצעה לא מזמן ע”י Cisco ב-2.7$ מיליארד, מדגימות זאת.

סוללה נוספת של טכנולוגיות זיהוי וניתוח חדשות, מסייעת גם היא לחברות ומפעילה את האזעקה כאשר זוהתה תוכנה מזיקה בתוך הרשת. האימוץ הרחב של Splunk ו-NetWitness שמאתרות דפוסים לא רגילים של תנועה כדי למצוא תוכנות מזיקות חשודות ברשת, מגלה עובדה פשוטה אך מפתיעה: רוב מנהלי מערכות המידע בחברות היום, מניחים שהרשת שלהם נתונה באופן קבוע תחת איום של מתקפה. במילים אחרות – אם היית מניח שפורצים קופצים מעל הגדר שלך באופן קבוע ונכנסים אליך הביתה, למרות שאולי יש לך מצלמות אבטחה, לא היית מאכסן את התכשיטים שלך בכספת?

מכאן מגיע הצורך בביטחון נקודות קצה, כלומר אבטחת מכשירים כמו מחשבים ניידים ודסקטופים, בדרך כלל ע”י התקנה של תוכנות אנטי-וירוס. למרבה הצער, פתרונות בתחום בטחון נקודת הקצה, עדיין תקועים בשנות ה-90′ והם לגמרי לא מתאימים נגד מתקפות ממוקדות כמו אלו שתיארנו.

כל מערכת “מגיבה”- כלומר מערכת שמותנית בכך שהתוכנה המזיקה זוהתה בעולם הפתוח ע”י החותמת הייחודית שלה, ורק אז פותחו אליה מנגנוני הגנה, היא בהגדרה חסרת תועלת נגד תוקף שנחוש לחדור אל מספר מטרות ועושה זאת על ידי ניצול נקודות תורפה הידועות רק לו (zero day).

שימוש בתוכנות אנטי-וירוס כדי להתגונן נגד מתקפות ממוקדות זה ממש כמו להתגונן עם חרב בקרב אקדחים. מספר שינויים שקרו יחסית לאחרונה בתחום המחשוב בתאגידים מחמירים את הבעיה. בעבר, חברות הניחו שמשתמשים יתקשרו עם שרתים שממוקמים פיזית בחברה דרך מכשירים שהחברה סיפקה, בעיקר ממשרדי החברה. הפרדגימה הזו יצרה את הרעיון ההקפי – של איזור בטוח שבתוכו טכנולוגיות מידע פחות או יותר נשלטות. הפרדיגמה הזו נעשית ללא רלוונטית מאחר ו:

1. שרתים היום יכולים להיות ממוקמים בכל מקום: עם כל כך הרבה תוכנות חיוניות שמגיעות מחוץ לחברה ותשתיות IT שמגיעות דרך משאבי ענן ייחודיים, לא ניתן לדעת היכן יושבים בפועל שרתי התאגיד. זה הופך את אבטחת השרתים למסובכת הרבה יותר.

2. התפתחה מדיניות של “Bring Your Own Device” וחברות נענות יותר להעדפה של עובדים לעבוד על מכשירים משלהם. המשמעות היא שימוש באותו המכשיר גם לענייני עבודה וגם לצרכים אישיים, דבר שמגביר את הקושי בהגנה על נקודות הקצה.

3. כוח האדם היום נייד יותר. עובדים יכולים להיות בכל מקום בכל רגע נתון ולפיכך לא יכולים בדרך כלל להתעסק עם פרוטוקולי גישה מסורבלים. עבודה נוחה ומיטבית עם משאבי החברה מחייבת גישה בלתי פוסקת אליהם עם כמה שפחות מגבלות, שלמעשה פותחת לחלוטין את רשת הארגון.

למעשה, שרתים, מחשבים ניידים ומכשירים סלולריים משוטטים היום בחופשיות אל מחוץ למעטפת החברה המאובטחת ולתוכה.

הדור הבא של אבטחת נקודות קצה

לאחרונה ראינו כמה גישות מודרניות שנוקטות במספר דרכים שונות לחלוטין כדי להגן על נקודות קצה:

1. הכשלה: טכניקה זו מתנהלת על ידי הקשחת מערכות הפעלה בדרך שהופכת משפחות שלמות של מתקפות לבלתי ניתנות למימוש. במקום להמתקד בחתימה של תוכנה מזיקה אחת, או לתקן נקודות תורפה אחת אחרי השניה, סוג זה של טכנולוגיה מנטרל את כל הטכניקות בהן משתמשים הפורצים. מאחר וקיימות מעט טכניקות פריצה והן לא מתפתחות לעיתים קרובות, הכשלתן וחסימתן מהוות הגנה מצויינת. חברות כמו **Cyvera הישראלית למשל, משתמשות בטכניקת ההכשלה ע”י פיתוח שכבות הגנה משמעותיות למערכת ההפעלה שחוסמות מתקפות בלי קשר לנקודות תורפה מסוימות.

2. Sandboxing: שמקודמת על ידי חברות כמו Invincera ו-Bromium, היא גישה שמשתמשת בטכניקות מבוססות וירטואליזציה או אחרות על מנת להכיל הפרות אפשריות של יישומים וכך מגבילות את היכולת של התוכנות המזיקות להתפשט במחשב הנתקף או ברחבי הארגון.

אנחנו מאמינים שלא קיימת דרך היום עבור ארגון מודרני, נייד, המשתמש בשירותי ענן להגן על עצמו נגד מתקפות ממוקדות ומכוונות מבלי להשתמש בזן החדש הזה של אמצעי הגנה על נקודות קצה. עם הזמן אנחנו מאמינים, נראה עוד חברות סטרטאפ חדשניות בתחום הזה ככל שעוד חברות יבינו את גודל האיום.

**Battery Ventures השקיעה לאחרונה בCyvera.

קרדיט תמונה: Shutterstock.

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

הגב ראשון!

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

wpDiscuz

תגיות לכתבה: