מהבית הלבן ועד לוקהיד מרטין, מה זו בכלל התקפת סייבר?

בשנת 2001 תולעת שהתפרצה ברחבי העולם כללה קוד בו הסתתרה מטרה אחת ויחידה: פנייה לאתר הבית הלבן בתאריך מסויים ובשעה מסויימת, מאז ועד היום עברנו כברת דרך ארוכה

הפוסט נכתב על ידי גיא ניצן, אנליסט סייבר בחברת סייבריה.

תמונה: flickr, cc-by, Glyn Lowe Photoworks

בשנים האחרונות אנו עדים יותר ויותר לשימוש במוושגים כגון: cyber security, cyber defense אירועי סייבר וכו’. בעבר נהגו מומחי אבטחת מידע למינהם להשתמש בעיקר במושג: “אבטחת מידע” ונגזרותיו :”אירועי אבטחת מידע”, “תפיסת אבטחת מידע” וכו’. הוכחה לשינוי בעולם המושגים ניתן לראות בגרף המצורף למטה, המתאר את כמות החיפושים של המונחים בגוגל ברחבי העולם. הגרף מראה כי ישנה עלייה גדולה בכמות החיפושים של הגנת סייבר (כחול) לעומת ירידה כמעט ביחס ישיר של חיפושי אבטחת מידע (באדום).

אנשים רבים תוהים האם בכלל קיים הבדל בין המושגים? ישנם הטוענים כי המושגים מייצגים את אותו הדבר בדיוק, וכי המשתמשים במונחי “סייבר” עושים זאת כדי לתאר “אבטחת מידע” בצורה סקסית יותר. לטענתם אין הבדל בין המונחים והשימוש במושג “סייבר” נעשה ע”מ למסך או לעמעם חוסר ידע מקצועי. אז האם אכן מדובר באותה גברת בשינוי אדרת?

לדעת רוב העוסקים כיום בהגנה על מרחב הסייבר, קיים הבדל מהותי בין השניים. ההבדל טמון בתפיסה של מרחב האחריות עליו מגנים. בתפיסת “אבטחת מידע” אנו רואים במידע כגורם עליו אנו אחראים להגן. המידע הוא הנתונים (ביטים) העוברים במערכות התקשורת עליהם אנו אחראים והתוצרים הפיזיים שלו, למשל דף המכיל מידע מסווג על הארגון נכלל בתחום האחריות הנרחב ביותר של “אבטחת מידע”.

נתון במחלוקת

רבים משתמשים במושג ה”סייבר” למטרות שונות ומגוונות, כך שנדמה שאין בעצם משמעות אחת למושג. כדי להבין את תפיסת “ההגנה בסייבר”, נצטרך תחילה להגדיר מהו מרחב הסייבר. כמו ברבים מהמושגים הקיימים בתחום, ישנה אי הסכמה בין העוסקים בנושא. כך למשל, גרמניה רואה במרחב הסייבר רק את הרובד הלוגי המקושר באופן גלובאלי – כלומר בעיקרון רק את רשת האינטרנט העולמית ורשתות המקושרות אליה באופן ישיר. לעומת זאת בריטניה רואה במרחב זה את הרובד הלוגי באופן נרחב יותר – כולל בתוכו גם רשתות מבודדות שאינן מקושרות לרשת האינטרנט. ארה”ב רואה במרחב זה את הרובד הלוגי והפיזי, מרחב לחימה כמו יבשה, אוויר, ים וחלל.

לראייתנו מרחב הסייבר מורכב מ-3 רובדים: לוגי, פיזי ואנושי.

  • הרובד הלוגי הוא למעשה המידע והנתונים העוברים ברשתות השונות.
  • הרובד הפיזי הינו אמצעי החומרה במרחב זה: אותות אלקטרוניים, מעבדים, מסכים וכו’
  • הרובד האנושי מורכב מהמתכנתים, גורמי ה-IT , גורמי אבטחת מידע, משתמשים, אורחים וכו’

ההגנה במרחב הסייבר הינה אפוא על מרחב גדול בהרבה מזה שבתפיסת ה”אבטחת מידע”. למעשה, אבטחת המידע היא רק חלק מההגנה בסייבר – נגזרת של החלק הלוגי. מעבר אליו, אנו מתייחסים גם לאיומים על האמצעים הפיזיים והגורמים האנושיים במרחב הסייבר. ההגנה על הגורמים האנושיים הינה למעשה עולם האבטחה הפיזית ומחלקת הביטחון- אמצעי אבטחה, בקרות כניסה, סיווג, הגדרת רגישות מידע וכו’. מרחב הסייבר מהתך את הרובד האנושי עם שאר הרבדים. דוגמא טובה לאירוע סייבר שיזוהה אך ורק מ”היתוך”(קורולציה) שכזה הינו משתמש לגיטימי המתחבר לרשת הארגון בצורה תקינה אך בלי שהעביר תג זיהוי בכניסה לבניין – האם מדובר במרגל הגנב את נתוני ההזדהות של אותו אדם?

באמצעים פיזיים נכליל גם בקרי צנטריפוגות להעשרת אורניום, אשר קוד תוכנה הוא זה המורה להן באיזו מהירות להסתובב ולאורך כמה זמן, ושינוי באותו קוד יכול להוביל להשבתת אותן צנטריפוגות. דוגמא זו מובאת כאן כדי להבהיר את מהות הרובד הפיזי אך גם כדי לתאר את “נקודת המפנה” בהתייחסות למרחב הסייבר, והיא תולעת ה”סטאקנט” אשר התפרסמה בשנת 2010.

לא ארחיב בפרטים על התולעת המפורסמת אשר עפ”י גורמים איראניים פגעה במתקני הגרעין האיראני וגרמה לפגיעה משמעותית בפרוייקט הגרעין שלהם, והובילה את צבאות העולם כולו להבין כי העתיד כבר כאן – ישנו נשק סייברי, הוא הופעל ובהצלחה לא מבוטלת, והגיע הזמן להיערך מבחינה הגנתית. בעקבות התפרצות התולעת והבנת ההשלכות, החלו לצוץ ברחבי העולם גופים העוסקים בהגנה בסייבר. גם בצה”ל מרחב הסייבר הוגדר כמרחב לחימה לכל דבר, והוקם גוף אשר כל מטרתו לעסוק בהגנה על מרחב הסייבר הצה”לי. בנוסף הוקם בארץ מטה הסייבר הלאומי.

הסקנו כי אבטחת מידע היא חלק מההגנה בסייבר. אם כך, האם כל אירוע אבטחת מידע הוא בהכרח אירוע סייבר? התשובה לכך בפשטות היא לא, אם כי יש הרבה מאד תחום אפור בנושא אשר נתון לפרשנויות שונות. נקח לדוגמא מספר אירועים וננסה לנתח האם הם אירועי סייבר או אבטחת מידע, ב-5 פרמטרים: זהות התוקף, מטרת התוקף, שיטת התקיפה, היקף הנזק והשפעת הנזק.

מהבית הלבן ועד לוקהיד מרטין

בשנת 2001 תולעת בשם “Code Red 1” מתפרצת ברחבי העולם כאשר בקוד שלה מסתתרת מטרה אחת ויחידה – פנייה לאתר הבית הלבן בתאריך מסויים בשעה מסויימת, ע”מ לגרום להשבתת האתר – מתקפת DDOS קלאסית. זהות התוקף אינה ברורה אך ההשערה היא שהסינים עמדו מאחורי התקיפה. מטרת התוקף במקרה הזה ברורה – הפלת אתר הבית הלבן. היקף הנזק קטן – השבתת האתר למספר שעות (למרות שהתקיפה לא צלחה בשל שינוי כתובת ה-IP של אתר הבית הלבן). השפעת הנזק יכולה הייתה להיות בינונית – הבית הלבן מייצג משהו משמעותי עבור האומה האמריקאית, ומבחינה פסיכולוגית פגיעה באתר היא פגיעה בו ויכולה להוריד את המורל הציבורי. עם זאת כיוון שמדובר אך ורק בפגיעה באתר הבית הלבן ולמספר שעות בודדות – כלומר תקיפה פשוטה עם היקף והשפעת נזק קטנים יחסית, ניתן להתייחס לאירוע זה כאירוע אבטחת מידע.

בשנים 2007 – 2008 נתקפו אתרי ממשל וציבור רבים במדינות אסטוניה וגיאורגיה ע”י כתובות IP רוסיות. התקיפה על גיאורגיה לוותה במלחמה גם במרחב האווירי והיבשתי. זהות התוקף הינה הרוסים, וברור שמתקפה גדולה שכזאת כוונה ע”י הממשלה הרוסית. שיטת התקיפה הייתה DDOS והשחטת אתרים (באמצעות SQL INJECTION וכו’). מטרת התוקף הייתה לפגוע ביכולת המשילות ואמון הממשלה בדעת הציבור במדינות הנפגעות. היקף הנזק היה גדול – עשרות ומאות אתרים שנפגעו בכל מדינה. השפעת הנזק הייתה גדולה – פגיעה ביכולת המשילות ובמורל הציבור במדינות הנפגעות.תקיפה באמצעים פשוטים יחסית, אך עם היקף והשפעת נזק גדולים ומדינה העומדת מאחורי התקיפה, ולכן נתייחס לאירוע זה כאירוע סייבר.

בשנת 2011 בוצעה תקיפה על חברת RSA, חברת אבטחת המידע מהגדולות בעולם. זהות התוקף אינה ברורה, אך ניתן לשער כי זו מדינה בשל מטרת התקיפה הסופית. שיטת התקיפה הייתה שימוש בהנדסה חברתית, שימוש ב DAY-0 להדבקה והתקנת “סוס טרויאני” ברשת הנתקפת. מטרת התוקף הייתה השגת אלגוריתם ייחודי של מוצר “SecureID”. היקף הנזק היה גדול – האלגוריתם הייחודי הינו נכס רגיש מאד של חברת RSA. השפעת הנזק הייתה גדולה גם כן – בעקבות השגת האלגוריתם יכלו התוקפים לפרוץ לחברות רבות אשר השתמשו באותו מוצר אבטחה, ואכן כחודשיים לאחר התקיפה על RSA נתקפה חברת “לוקהיד מרטין”, חברת ייצור הנשק הגדולה בעולם, ונגנב ממנה מידע יקר ערך. רבים מעריכים כי התקיפה בוצעה באמצעות השימוש ב”שלל הטכני” מהתקיפה ב-RSA אשר היה רק שלב א’ בתקיפה, ורואים ביעד התקיפה את חברת “לוקהיד מרטין”. תקיפה באמצעים מורכבים, היקף והשפעת נזק גדולים וגם כאן נראה כי מדינה עומדת מאחורי התקיפה, ולכן נתייחס לאירוע זה כאירוע סייבר.

לסיכום, ניתן לומר כי תפיסת ההגנה בסייבר הינה “אבולוציה” של תפיסת האבטחת מידע. לא ניתן להפריד בין השניים, וכל אדם המתיימר לעסוק בהגנה בסייבר חייב להבין באבטחת מידע, אם כי לא באופן העמוק והטקטי אלא יותר במישור האסטרטגי – תפיסתי של אבטחת מידע, אשר מהווה את הרובד הלוגי. ההגנה בסייבר מכילה בנוסף את הרובד האנושי – מה שתוכלל בעבר אצל גורמי הביטחון והאבטחה הפיזית (סיווג ביטחוני וכו’), ואת הרובד הפיזי – אותם אמצעי חומרה ( מעבדים, מעגלים חשמליים וכו’) המרכיבים את מרחב הסייבר ואלו המושפעים ממנו בצורה ישירה (בקרי צנטריפוגות, בקרי מכונות הנשמה וכו’). לא כל אירוע במרחב הסייבר הוא בהכרח אירוע סייבר – ישנם אירועים פשוטים יחסית אשר מטופלים היטב באבטחת מידע, כמו שישנם אירועים ביטחוניים פשוטים אשר מטופלים במחלקת הביטחון ואינם מגיעים לדרגת אירוע סייבר.

הפוסט פורסם לראשונה בבלוג ZuLL, יומנו של האקר.

 

Avatar

כתב אורח

אנחנו מארחים מפעם לפעם כותבים טכנולוגים אורחים, המפרסמים כתבות בתחומי התמחות שלהם. במידה ואתם מעוניינים לפרסם פוסט בשמכם, פנו אלינו באמצעות טופס יצירת קשר באתר.

הגב

1 תגובה על "מהבית הלבן ועד לוקהיד מרטין, מה זו בכלל התקפת סייבר?"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
yanivf
Guest

מהבית הלבן ועד לוקהיד מרטין, מה זו בכלל התקפת סייבר? http://t.co/CEDXnpZs

wpDiscuz

תגיות לכתבה: