נמצא כלי חוקי לתקיפת הטכנולוגיות של התוקפים

סימטריה (Cymmetria), המפתחת פתרונות מקיפים לביצוע הטעיית תוקפי סייבר, השיקה היום (ג') מוצר Hack Back (התוקף את כלי התקיפה של התוקפים) חוקי. הכלי, בשם MazeHunter, מאפשר תגובה לאירועי סייבר בזמן אמת במסגרת החוק, ומהווה השלמה לטכנולוגיית ההטעיה של החברה, MazeRunner.

מיקוד הפעולה של פתרון ה-Hack Back הוא בחלק של התשתית, הנמצא בשליטת התוקפים. הוא מאפשר לארגון המבקש להתגונן מפני מתקפת סייבר – להטעות את היריב, לשבש את פעילותו, למנוע ממנו הישגים, לפגוע בו ואף להשמיד את הכלים שלו. הוא מבצע את הפעולות הללו כחלק אינטגרלי מנוהל התגובה לאירועי סייבר – ובמסגרת מגבלות החוק. הפיתוח מאפשר לארגונים להגן באופן יזום על התשתית שלהם, על ידי הפעלת אמצעים פעילים כנגד תוקף זריז.

MazeHunter אף יכול לסייע ביצירת מידע משמעותי על המתקפה בזמן אמת, והוא מאיץ את גילויין של מכונות נוספות ברשת שנפגעו במתקפה. הפתרון יודע לסייע בזיהוי כלי הפריצה המשמשים את התוקף, מקל על זיהוי המידע שנגנב ומסוגל להביא לעצירה של ההתקפה.

על פי סימטריה, הכלי שלה נבנה בהתאם לדרישות הרגולציה, הבינלאומית והישראלית, והוא לוקח בחשבון את החוק הפדרלי האמריקני, CFAA (ר"ת Computer Fraud & Abuse Act).

בעוד שחלק מהפעולות (המבוצעות באופן אוטומטי ובזמן אמת) הנכללות בפתרון אינן שונות מסדר הפעולות הרגיל המופעל בתגובה לאירועי תקיפת סייבר, הרי שהוא מעניק לארגונים את האפשרות להפעיל אמצעים אחרים, שפריסתם דורשת הפעלת שיקול דעת של המפעיל. סימטריה תפרסם ניתוח משפטי, הכולל מודלים מוצעים לקביעת מדיניות תגובה ולהליך קבלת החלטות, שבאמצעותם יוכלו לקוחותיה לקבוע: מהן הפעולות שהם רוצים לבצע, באילו תנאים, באיזה היקף ובאיזו אגרסיביות הם יגיבו לאירועי סייבר.

גדי עברון, מייסד ומנכ"ל סימטריה. צילום: יח"צ

"הגיע הזמן שנחזיר אלינו את השליטה על הרשתות שלנו. המונח Hack Back מטעה ומבלבל. יש הרבה מה לעשות במסגרת החוק, בהתמודדות עם התוקפים החודרים לרשתות שלנו", אמר גדי עברון, מייסד ומנכ"ל סימטריה, "טכנולוגית ה-Hack Back החוקית שלנו מוסיפה כלי נוסף לתגובה לאירועים, ומרחיבה את היכולות הקיימות גם עבור תשתית הנמצאת בשליטת תוקפים, בתוך הסביבה הארגונית".

הצידוק החוקי לתקיפה

לדברי עו"ד יונתן ברוורמן, יועץ משפטי, סימטריה, "המחקר שערכנו בסוגיית ה-hack-back העלה שחלק ניכר מהטכניקות שמשמשות חברות לביצוע תגובה לאירועים, Incident response הן מאותה 'משפחה' כמו טכניקות ה-hack-back, מה שמרמז על כך שאין בהכרח הפרדה מוחלטת בין התחומים".

לדבריו, "לכן, יותר נכון למקד את הדיון סביב הטכניקות שנעשה בהן שימוש, ולא סביב ההגדרה שלהן כ-'hack-back'. אם הפעלת כלים לאיתור מידע אודות תקיפה היא טכניקת עבודה לגיטימית, אז יש לשאול איך ראוי להוציא את המידע הזה ולא להתמקד במיקום ההפעלה של הכלים הללו – אצל התוקף, המגן, או בצד ג'".

"ייתכן שיש להטיל מגבלות על שימוש בטכניקות פורנזיות שיש להן פוטנציאל נזק, וזה יהיה נכון יותר מאשר להגביל אותן 'גיאוגרפית'. אלא שהחוק הפדרלי, הדן בפעולות הגנתיות במרחב הסייבר, לא מאפשר לקיים את הדיון הזה".

לכן, אמר עו"ד ברוורמן, "מי שמעוניין לבצע הגנה מרחבית במרחב הסייבר, תוך שימוש ברכיבים אגרסיביים, צריך לתכנן מראש את גבולות הגזרה שלו בהתאם לאילוצים המוכתבים לו. אנחנו מציעים מודל שמאפשר לקבוע בצורה ראשונית את שיטת הפעולה הזאת. לפי המודל, יש להקפיד שאמצעי ההגנה האקטיביים ייפרסו אך ורק בתוך הרשת המצויה בשליטה המלאה של המגנים. זאת, כי החוק אוסר על פעילות בלא סמכות במחשב זר, ולכן – אם פועלים במחשבים שיש לך לגביהם סמכות מלאה לפעול בהם ועל גביהם, פותרים חלק ניכר מן הקשיים העולים מנוסחו הנוכחי של החוק".

הוא סיים באומרו כי "אם תוקף מתחבר בצורה בלתי חוקית למחשבים של רשת מוגנת, במטרה להוציא ממנה קבצים, יש כמה פעולות שהארגונים המגנים יכולים לבצע על גבי הקבצים הללו, עוד בטרם הוצאתם, כדי להגביר את האבטחה שלהם – כגון לשתול משואות איכון או איתור בקבצים הללו (honeydoc) ששולח את כתובת ה-IP של המחשב שבו הקבצים נפתחו בחזרה אל מחשב מוגדר מראש, בדומה למה שבנקים עושים עם חבילות של כסף ומאכני GPS – או חבילות צבע מתפוצצות".