"איומי המחר דורשים אבטחה חדשה – ברמות אחרות"

"אבטחת המידע של אתמול הייתה זו של תחנות קצה, אנטי-וירוס ופיירוול. זו של היום מדברת על אבטחה בענן ובדטה סנטר, לצד אבטחת עולם הסלולר. איומי המחר הם בסביבות חדשות, בעולם האינטרנט של הדברים, אבטחה ברמת ממשלה לאיחוד כל התשתיות – קריטיות ולא קריטיות", כך אמר מתי אפשטיין, מנהל מכירות גלובלי לתשתיות קריטיות ו-ICS (מערכות בקרה תעשייתיות) בצ'ק פוינט (Check Point).

אפשטיין דיבר בכנס ICS-CYBERSEC, שדן בהגנת סייבר על תשתיות חיוניות ומערכות שליטה ובקרה (SCADA). הכנס, בהפקת אנשים ומחשבים, נערך אתמול (ב') במרכז הכנסים אווניו, קריית שדה התעופה, בהשתתפות מאות מקצוענים בתחום. את הכנס הנחו יהודה קונפורטס, העורך הראשי של אנשים ומחשבים, ודניאל ארנרייך, יועץ ומרצה להגנת הסייבר.

לדברי אפשטיין, "העולם הולך לאבטחה של מערכות בקרה תעשיתיות, הפועלות במגוון מגזרים – מים, אנרגיה, חשמל, תחבורה, נפט, גז, מיכון תעשייתי ותשתיות קריטיות". הוא ציטט מחקר שערך ה-CERT האמריקני, לפיו בין 2014 ו-2015 חל גידול של 20% בהתקפות על תשתיות קריטיות, וכי המגזר המותקף ביותר היה ייצור ותעשייה, ולאחריו מגזר האנרגיה.

תקיפה קלה לביצוע

האינטרנט, אמר, "הוא פלטפורמה פופולרית ל-Spear Phishing, מתקפת פישינג ממוקדת. התוקפים באים ממגוון מקומות, וזהותם משתנה – החל ממדינות, עבור בעובד מתוסכל נקמן, וכלה בילדים או האקטיביסטים. כאשר הם באים לתקוף מערכות SCADA – מדובר בתקיפה קלה יחסית לביצוע".

הסיבה לקלות של מתקפות על מטרות אלו, הסביר אפשטיין, "נעוצה בכך שהן קלות לחדירה. המערכות הן במקרים רבים ישנות, מערכות מורשת, בציוד שלא נבנו בו אמצעי הגנה, שנבנו בתצורה של ברירת מחדל. יש בהן פחות עדכונים או שאין בהן כלל עדכונים. יש בהן פחות הצפנה או כלל לא. כך, נוצר מתח בין הרצון לתפעול מהיר ובין הטמעת מערכות אבטחת מידע".

וקטורי התקיפה, ציין אפשטיין, "מגיעים לרשת ה-OT. זה נעשה, בין השאר, באמצעות מדיה נתיקה, או טכנאים העובדים מרחוק ואז פותחים להם את הרשת. יש פגיעות של התוכנה, ובנוסף, יש נוזקות מיוחדות לתחום".

"מתקפת Spear Phishing, היא פופולרית, והצליחה לפחות בשני מקרים כשהיעד היה תשתיות קריטיות – מפעל פלדה בגרמניה, ומתקפה על תחנות כוח באוקראינה לפני שנה בחג המולד", אמר, וציין כי גם המדיה הנתיקה מהווה כר נרחב לפגיעה. "מחקר הצביע על העובדה כי יותר ממחצית מהאנשים, אם הם מוצאים USB, הם יתקינו אותו בתוך שש דקות, מבלי להיות מודעים לכך שהוא עלול להכיל נוזקות".

מהו רגיל ומהו חשוד?

המסקנה המתבקשת, אמר אפשטיין, "היא שיש לאבטח את שתי הסביבות – IT ו-OT. בשלב הראשון, הבסיסי, יש להשתמש בטכנולוגיות הגנה על תחנות הקצה ולמנוע איומים. לאחר מכן נדרש לאבטח את ה-OT".

"יש לבנות ארכיטקטורה נבונה, לבנות סגמנטציה ברורה בין שני העולמות, ואז לטפל במידע אשר רץ בסביבה התעשייתית, סביבת ה-SCADA". כך, אמר, "נוצרת הגנה בשלושה מימדים: אבטחת מידע, פילוח ברור בין ה-IT וה-OT, ומערכות הגנה ל-ICS ול-SCADA".

אנו בצ'ק פוינט, ציין אפשטיין, "לומדים את התעבורה, לומדים את התנהגות הרשת, שמים חיישן ברשת שלומד פרוטוקולים וקולט את הנתונים המתעדים את תהליך הייצור והבקרה. כך, יש לנו הבנה מהי ההתנהגות הרגילה, ועל בסיסה אנו מגדירים מהו רגיל ומהו חשוד. זה הבסיס לבניית האבטחה – זיהוי חריגות, בין אם הן מתקפות או טעות של משתמש. אז ניתן התראה או נבצע חסימה".

"אנו חברת מניעה, משמע כמה שאפשר למנוע התקפות מראש", סיכם אפשטיין. "את כל המהלכים הללו צריך לנהל. זה לא מובן מאליו, נדרשת מערכת ניהול מורכבת".