ממתקפות סייבר מתוחכמות לדור הבא של פתרונות ההגנה

שי דודפור, מוביל תחום הסייבר ב-HPE העולמית ומוביל תחום פתרונות ואסטרטגיית סייבר כחלק מחטיבת Pointnext ב-HPE ישראל' העוסק במענה הנדרש לרמת האיומים שהולכת וגוברת בעולם הסייבר, מספר בראיון בעקבות כנס Fortinet 361° Security Forum, על עתיד הסייבר והגנתו.

מה השתנה אצל התוקפים ומה מוביל אותנו לחפש פתרונות מתקדמים יותר?
"לאחרונה נצפית עליית מדרגה ניכרת בשיטות התקיפה במרחב הסייבר, המאופיינת ברמה חסרת תקדים של תחכום מצד התוקפים. עם משאבים כמעט בלתי מוגבלים הם פועלים יחדיו לתקיפות סייבר מתואמות ומתמשכות. כבר לא מדובר רק על זאבים בודדים עם אג'נדות שונות – הפשע הקיברנטי יותר דומה כיום לעסק, עם ארגוני פשע ברחבי העולם שפועלים בדיוק כמו ארגונים לגיטימיים, מקדישים משאבים וזמן ניכר למציאת שיטות התקיפה המהירות, הקלות והמתקדמות ביותר".

"מימד נוסף שהתחדש הוא שלתוקפים יש גם כלים טובים יותר מבעבר. הם יכולים לפתח או להשתמש במלאי רחב של כלים חדשניים יעילים וקלים לתפעול, כדי להקל על אלה שאינם בהכרח בעלי רקע טכני להפעלת מתקפות סייבר".

הכוח המניע הגדול ביותר מאחורי המתקפות מתוחכמות יותר הוא הגידול במה שתוקפי הסייבר יכולים להרוויח. אם נתמקד רגע בדלף מידע, כיום, עם טכניקות כריית נתונים מתקדמות ואחסון נפחי מידע גדולים ביותר של הארגון, היעד יכול להיות בעל שפע של מידע רגיש ובעל ערך עבור התוקף".

"הפשע הקיברנטי הפך לתעשייה בפני עצמה, לכן אין זה מפתיע שמספר המתקפות הקיברנטיות המתוחכמות ממשיך לגדול משנה לשנה. ולכן הארגון המודרני חייב להישאר צעד אחד קדימה".

תוכל לציין דוגמה?
"בהחלט. רק לפני מספר חודשים, כפי שפורסם בכלי התקשורת, הסוכנות האמריקנית לביטחון לאומי, ה-NSA, חוותה בחודשים האחרונים פריצה מסיבית של האקרים לארגון. ה-NSA הוא גוף הביון החשוב ביותר בארצות הברית שמאגד נתונים רבים על האזרחים ועל פי דיווחים – פועל בסייבר מול אויביה".

"נראה כי קבוצת האקרים בשם 'The Shadow Brokers', שהופיעה לראשונה בקיץ 2016, פרצה ל-NSA וגנבה כלי אקספלויט (קטעי קוד שמנצלים פרצות אבטחה או באג בתכנה או חומרה, להפעלת קוד תוכנה זדוני) שעל פי דיווחים שימשו את ה-NSA עצמם למטרות ביון".

"ה-Shadow Brokers ניצלה את גניבת כלים אלו, לניצול בין היתר של ביצוע מתקפות Zero Day (מתקפות שמנצלות פרצה חדשה שהתגלתה, שאין לה עדיין תיקון ומוצרי האבטחה השונים לא מכירים אותם). כולנו זוכרים את אותו גל אחרון של מתקפות ה-Ransomware (מתקפות דרישת כופר) במוקדים רבים ברחבי העולם, שגרם לנזקים גבוהים מאוד לארגונים ומדינות בחודשים מאי ויוני האחרונים. לפי החשדות, ככל הנראה נעשה שימוש בקוד ה-NSA שדלף, בכדי לנצל חולשות בארגונים ולתקוף אותם".

"בשנים האחרונות אנחנו ערים למרדף צמוד בין הישויות התוקפות לפתרונות ההגנה בתחום הסייבר. החבל מתוח מאוד. מצד אחד, התוקפים מפתחים שיטות מתקפה חדשות ומתוחכמות ביותר ומנגד, חברות וסטארט-אפים רבים פועלים ללמוד את שיטות המתקפה החדשות ומיישמים הגנות מתוחכמות חדשות כחלק מהפתרונות שלהם או שמקימים פתרונות חדשים".

"אך התוקפים לא נשארים חייבים והם לומדים כיצד שיטות ההגנה החדשות עובדות ומנסים לפתח שיטות חדשות שידעו לזהות אותם בזמן שהמתקפה מגיעה לארגון וילמדו לעקוף אותם או שפשוט יעקפו אותם".

אז איפה האתגר החדש שלנו? ומה עושים?
"אני מניח שעוד נראה לא מעט מתקפות חדשות כאלו, בין אם כאלו שמצאו פרצות ללא תיקון או בין כאלו שהתוקפים למדו איך ניתן לעקוף את מערכות ההגנה עצמן, או כאלו שפיתחו שיטות חדשות ומתוחכמות, כאלו שעוד לא ראינו בעבר והן חדשות לכולם".

"אז ארגונים שואלים את עצמם, כיצד ניתן עוד להתגונן? אנחנו משקיעים רבות במערך האבטחה של הארגון, מטמיעים לא מעט תהליכים, פתרונות ומוצרים בהשקעה גדולה מאוד ועדיין לא מוגנים לחלוטין? אז נכון, אין בעולם ה-Security הגנה הרמטית, אך אני טוען שאפשר לעלות עוד שלב מהותי ברמת ההגנה".

"בכדי להבין מהו השלב הבא שאותו אני ממליץ לבחון, להלן סקירה קצרה לאבולוציה של הפתרונות.  אם ניקח לדוגמא את עולם ה-Endpoint Security, כולנו מבינים שאותם פתרונות בקטגוריית ה-Traditional Security כגון מנועי ה-AV השונים שהיו מבוססי חתימות, אינם רלוונטיים יותר עבור המתקפות המתוחכמות של היום".

"גם אם ניקח לדוגמה את עולם ההגנה על הרשת הארגונית, כולנו מבינים שה-FW המסורתי אינו מספק ונדרש לשלב בו יכולות נוספות כמו הסתכלות ברמת שכבת האפליקציה, זיהוי איומים לא ידועים, הגנה בפני מתקפות השבתת שירות וכו' (זו למעשה פסקה שמתמצתת מאמר שלם שהיה רלוונטי להיכתב לפני מספר לא מועט של שנים)".

"לכן, במהלך העשור האחרון, נולדו פתרונות חדשניים ומתקדמים  רבים בעולם בכלל ובישראל בפרט, הנקראים "The Next Generation Solutions". מדובר על פתרונות עם יכולות מתקדמות שונות בשיטות הזיהוי/האכיפה של מתקפות. רובם יאתרו מתקפות על סמך זיהוי אנומליות או מענה הולם אד הוק לשיטות מתקפה מתקדמות ספציפיות. אך אפילו פתרונות אלו כבר לא תמיד מספיקים כדי להתמודד עם שיטות חדשות שמפתחים אותם תוקפים".

"אז איך מתמודדים? ישנה רמה אחת למעלה, מעל ה-Next Generation Solutions, שאני אישית מאוד אוהב ללמוד ולחקור. אולי זה ה-Next Generation החדש, עדיין לא הומצא לזה שם. נקרא להם לצורך העניין, "פתרונות הפרמיום". פתרונות שנולדו מתוך הבנה, כי המרדף אחרי לימוד שיטות המתקפה החדשות הוא טוב אבל לא תמיד יעיל, לכן, פיתחו שיטות חדשות המבוססות על טכניקות חדישות שאינן מתבססות על זיהוי על פי שיטות המתקפה השונות שנחקרו ונלמדו, אלא פתרונות מתוחכמים ביותר כגון זיהוי ואכיפת מתקפות מתקדמות שלומדות את מערכות ההגנה, טכניקות הטעיה של התוקף, שיבוש היכולת של התוקף לייצר מתקפת APT ופתרונות אכיפה של שיטות מתקדמות כמו Ransomware".

ולסיכום?
"בעולם החדש של מתקפות הסייבר של היום, אנחנו נדרשים לאמץ גישות חדשות".

"גישה אחת הינה מעקב צמוד אחר רמת האיומים שהולכת וגוברת ומצד שני היכרות עם החדשנות הטכנולוגית בעולם הגנת הסייבר. ברור לכולנו, שלא נרוץ ונרכוש כל טכנולוגיות הגנה, גם לא מהמתקדמות ביותר, ללא מיפוי סיכונים ואיומים ממוקדים לארגון, אסטרטגיית הגנה ברורה לעולם הסייבר, תכניות עבודה מותאמות לתקציב הנתון ותעדוף נכון של הנושאים לטיפול".

"גישה נוספת הינה הסתכלות מערכתית. ולהסתכלות הזו מספר מאפיינים ויתרונות. כגון: אבטחת התשתית כולה ולא רק אזורים ספציפיים בה, לספק ויזיביליות של כל התשתית ממקום אחד, ושיתוף מודיעין פרואקטיבי בארכיטקטורה רב-שכבתית בין הרכיבים השונים, החל מה Cloud, ה-Perimeter החיצוני, ערוצי הכניסה והיציאה השונים בארגון ועד ה-Endpoints. ישנן לא מעט חברות אבטחה ברמה הבינלאומית שמאמצות גישה זו על ידי פיתוח ויישום פלטפורמות מתקדמות מתאימות עבור לקוחות ברחבי העולם, כדוגמת ה-Security Fabric של פורטינט (Fortinet)".

"ואחרי כל המאמצים וגם הטמעת הפתרונות המובילים ביותר (פתרונות הפרמיום), איומים מתקדמים בסופו של דבר חודרים ואין הגנה הרמטית. לכן, צריכים לצאת מנקודת הנחה שהאיום כבר עקף את כל מערך ההגנה והוא כבר בפנים, וכל מה שנשאר לעשות הוא לדעת על קיומו ולמזער מהר ככל שניתן את עוצמת הנזק.

בהקשר זה בדיוק, אשמח להפנות את תשומת לב הקוראים למאמר שכתבתי והתפרסם רק לא מזמן בנושא Threat Hunting, כאשר נקודת ההנחה היא שהאיום כבר בפנים ועבר את כל מערכות ההגנה של הארגון.