2016 בסייבר: שנת המגה-מתקפות

השנה חווינו מתקפות ענק בעולם הסייבר, אבל הן צפויות להיות כאין וכאפס לעומת מה שנחווה בשנים הקרובות ● ההמלצה לארגונים היא לא לקפוא על השמרים

מאיר אברג'ל, מנהל חטיבת הסייבר ואבטחת המידע של בינת תקשורת מחשבים. צילום: יח"צ

בראייה לאחור, בתחום הגנת הסייבר, 2016 החלה עוד בדצמבר 2015, כאשר תשתיות האינטרנט הלאומיות של טורקיה חוו מתקפת מניעת שירות רחבת היקף, שהובילה להפלתם של למעלה מ-400 אלף אתרי אינטרנט לתקופה של כשבועיים. שרתי האינטרנט של משרדי ממשלה, ספקיות האינטרנט המובילות ומרבית הבנקים הטורקיים סבלו מפגיעה בתפקודם, במתקפה שהיקפה הוערך ב-220 ג'יגה-ביט, ושהוגדרה "מיוחדת" ו-"חסרת תקדים".

ובכן, מה שהחל כחסר תקדים בסוף 2015 הפך עד מהרה לנורמה ולסטנדרט במהלך 2016, במה שיוכל להיזכר כראשיתו של עידן המגה-מתקפות – מתקפות בקנה מידה רחב, שביכולתן לפגוע בתשתיות אינטרנט ותקשורת בקנה מידה מדינתי, יבשתי ואפילו גלובלי.

המדינה הבאה שספגה מתקפה מסוג כזה הייתה אוקראינה. כך, לדוגמה, פגיעה ברשת החשמל האוקראינית הותירה מאות אלפי אזרחים בעלטה ובקור בעיצומו של החורף שעבר.

לשיא חדש הגענו במתקפה שהתבצעה בסתיו האחרון על תשתיות הרשת של חברת האינטרנט האמריקנית Dyn, שמנעה גישת גולשים לאתרים הגדולים ולאפליקציות המרכזיות בעולם – דוגמת PayPal, ווטסאפ (WhatsApp), טוויטר (Twitter), נטפליקס (NetFlix) ואמזון (Amazon), ולדיווחים על האטה משמעותית במהירות הגלישה בכל צפון אמריקה.

המשותף למתקפות האלה הוא שמדובר באירועים גדולים יותר ממה שהורגלנו להם בעבר ובתדירות גבוהה יותר, ושמאחוריהם עמדו גורמים מדינתיים, אך גם ארגוני פשיעה וקבוצות האקרים. עוד אלמנט משותף למתקפות אלה הוא התחכום של כלי התקיפה והתוקפים, שמאפשרים הסוואה שלהם, ובמקביל מאפשרים מתקפה מסודרת ומאורגנת, מבוססת על כלי אוטומציה שיכולים לתזמן מתקפות לאורך משכי זמן ארוכים יותר. אלמנט שבא לידי ביטוי במתקפה על Dyn כלל ניצול חולשות באביזרי אינטרנט של הדברים, דוגמת מדפסות, מצלמות IP ואפילו מוניטורים של תינוקות שמחוברים לאינטרנט. מספרם מוערך במיליארדים וגדל בקצב מהיר, וראינו השתלטות עליהם מרחוק ושימוש בהם כצבא אפקטיבי.

מה עוד היה לנו ב-2016? ומה נראה בשנה החדשה?

ניצול חולשות – אחת התופעות שראינו ב-2016 היא שכ-99% מהמתקפות הגדולות בוצעו על ידי ניצול חולשות ידועות. בין אם מדובר בחולשות או פגיעות של רכיבי תוכנה או חומרה, אלה לרוב פרצות מוכרות, שהספקיות הפיקו עבורן עדכונים והארגונים מצדם טרם הספיקו להפיץ כדי לסגור אותן. אלא שההאקרים לא מחכים לארגון כדי שיחסום פרצות אלה וממשיכים בניסיונותיהם לחדור לתוך הארגון תוך ניצול החולשות המוכרות גם להם. המלצתי לארגונים היא לחזק את התחומים של עדכוני החתימות המיידיות, וניהול מסודר של ביצוע עדכוני תוכנה וחומרה במערכות הארגוניות.

פישינג – מתקפות אלה הפכו השנה מתוחכמות ויעילות יותר מבעבר, כשאין כיום כמעט בנמצא אובייקט לתקיפה שאי אפשר, בשיטוט ברשתות החברתיות, לבנות עליו תיק מטרה בקלות ובאפקטיביות. פישינג משמש כמתודה לא רק לגניבת מידע ופרטים אישיים, אלא גם להחדרת וירוסים, נוזקות או כופרות לתוך ארגונים. ההמלצה שלי היא לחזק את כלי הסינון הארגוניים ולהגביר את המודעות של העובדים לסכנות.

תקיפת תשתיות קריטיות – ההנחה היא שמדינות, אך גם ארגוני פשיעה גדולים, עוסקים בכל רגע נתון במחקר על התשתיות הלאומיות של מדינות ובחיפוש אחרי חולשות. מאחורי התשתיות הקריטיות נמצאים, על פי רוב, בקרים מיושנים, לעתים משנות ה-80, שכלל לא תוכננו בראיית איומי הסייבר המודרניים. אלה מנהלים את התשתיות הקריטיות ביותר, דוגמת המים, החשמל, הסכרים והרמזורים. חלקם מתחברים לרשת האינטרנט והגעה אליהם מאפשרת גישה לבטן הרכה של התשתיות. כדאי לארגונים להצטייד במערכות שיספקו מנגנון של ניהול והגנה מרכזי לעולמות ה-IT וה-OT בארגון – דבר שיביא להקטנת הפגיעות של אותם בקרים ושל התשתיות.

התגברות איומי יום אפס – אמנם, 99% מהמתקפות מנצלות חולשות מוכרות, אולם ארגונים חייבים לקחת בחשבון את אותה נוזקת יום אפס – פרצת אבטחה לא מוכרת, שאמצעי אבטחת המידע לא מזהים כמתקפה. ההסתברות לחדירה כתוצאה ממתקפה כזו היא מאוד נמוכה, אך הנזק שיכול להיווצר כתוצאה מכך עלול להיות קריטי לארגון, ומכאן הצורך להתמודד גם עם סוג זה של איומים. רצוי שארגונים יבנו אסטרטגיה של אבטחת מידע שנוגעת בחולשות המוכרות ובנוסף לוקחת בחשבון את הפרצות הלא מוכרות, אלה המוכרות בשם פרצות יום אפס.

גניבת הרשאות – זהו בסיסן של מרבית המתקפות המודרניות. כך, לדוגמה, המתקפה נגד תחנות הכוח האוקראיניות החלה בגניבת הרשאות מתוחכמת, על מנת להשיג שליטה במערכות הבקרה ולהשבית את הפעילות שלהן. המלצתי היא ליישם שלוש שכבות הגנה,המבוססות על הזדהות חזקה, מנגנון ניהול הפרופילים וההרשאות של המשתמשים בארגון ויישום אפקטיבי של הגנה על תחנות הקצה.

לסיכום, נקודת המוצא של מנהלי אבטחת המידע והגנת הסייבר צריכה להיות שהאירועים והטרנדים שראינו בשנה החולפת יהיו ניסוי כלים לעומת מה שנראה בעתיד. הגורמים התוקפים עוברים שדרוג משמעותי ביכולות ובכלים שלהם, והמשמעות היא שגם הצד המגן אסור שיקפא על השמרים. עליו, כלומר – על הארגונים, ללמוד את הטרנדים העכשוויים, ולבנות אסטרטגיה עדכנית והוליסטית שתתאים להיקף האיומים והתגברותם.

הכותב הינו מנהל חטיבת הסייבר ואבטחת המידע של בינת תקשורת מחשבים.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים