"הדרך הקלה לחדור לארגון – לתקוף אנשים"

"פעמים רבות אנו, מנהלי ואנשי אבטחת המידע והגנת הסייבר, מגינים על הארגון. זאת, בעוד שהתוקפים מתמקדים באנשים. לכל אדם יש ג'ימייל, לצד הדואר הארגוני, ואם אין לו, אז יש למי מבני משפחתו. התוקפים מבינים שהדרך הקלה להגיע ולחדור לארגון – היא לפרוץ לאנשים", כך אמר גיא מזרחי, מנכ"ל CyPros.

מזרחי דיבר בפורום CSC מבית אנשים ומחשבים, להגנת סייבר ואבטחת מידע. חברי הפורום נפגשו אתמול (ג') באולם יס פלאנט בראשון לציון, ונושא המפגש היה "סייבר 2.0 אחרי המלחמה – אסטרטגיות למציאות חדשה". מזרחי, יו"ר הפורום, הנחה את המפגש.

מהן יכולות הסייבר של איראן?

"לאיראן", אמר מזרחי, "יש בסייבר יכולות התקפיות טובות יותר מכפי שאנו מעריכים. הם עדיין עושים שימוש בחולשות עבר, מ-2021, ולעתים, גם בחולשות ותיקות, מהעשור הקודם".

"ההנחה לפיה לאיראן יש יותר יכולות מהנהוג לחשוב", אמר מזרחי, "מתבססת על כך שיש מספיק חברות אזרחיות בעולם הסייבר ההתקפי, המפתחות כלים מתקדמים בתחום. הרוב של אותן עשרות חברות, המוכרות סוסים טרויאניים למדינות – לא ימכרו לאיראן, אבל חלקן בהחלט יכולות לעשות זאת, למשל מרוסיה. ולחילופין – בהחלט ייתכן שהאיראנים מפתחים יכולות כאלו בעצמם".

"רוב המתקפות שנעשו בגיבוי איראן, ושפורסמו", אמר, "היו מה שמכונה 'מתקפות הזדמנות', למשל איתור חולשות. אעז לומר שהיכולות של האיראנים בסייבר גדולות יותר". מזרחי הסביר כי ייחוס המתקפות "היה תמיד קשה, כי יש בעיה מובנית בייחוס בסייבר. כיום זה שונה – הייחוס הוא דרך המתפארים במתקפה, ורבים מהתוקפים לא חושפים עצמם".

"מתקפת סייבר הנערכת על ידי תוקפים בגיבוי מדינה", הסביר מזרחי, "זה לא 'מוניות – מי פנוי באלנבי?' זו מתקפה שהושקעו בה משאבי זמן, כספים ותכנון".

"כאשר פושעי סייבר בגיבוי מדינה תוקפים מטרות בישראל", ציין, "מדובר בתוקפים איכותיים, המסווים עצמם בתשתיות איכותיות. הם עושים שימוש בכלי תקיפה שנרכשו בעקיפין, ואינם מקושרים אליהם. גם היציאה למתקפה נעשית דרך שרתים בחו"ל, למניעת הזיהוי".

"כשהאקרים בגיבוי מדינה תוקפים", המשיך, "הם עושים שימוש בכלים איכותיים, הם יודעים לעקוף מערכות הגנה, הם מתוחכמים. אם מדינה רוצה לפרוץ בסייבר, היא תצליח ותפרוץ. מחיר של מתקפה אחת בחסות מדינה עשוי להגיע למיליונים, ויש מתקפות, דוגמת סטוקסנט, שעלו עשרות מיליונים".

"זיהוי התוקפים", אמר, "נעשה על בסיס טעויות של תוקף. גם אז יש סיכוי לשגות, כי הזיהוי נעשה על בסיס מציאת דפוסים דומים, בשיטות או בכלים. אלא שבהחלט ייתכן מצב שבו התוקף יתחזה לתוקף אחר, ואז ייעשה זיהוי שגוי".

"אין כל סיכוי להצליח ולהגן מול תוקף מעצמתי", סיכם מזרחי, "כי היריב מוכן להשקיע – ומשקיע – כסף, זמן, וכוח אדם, ועושה שימוש בכלים לא קונבנציונליים, בעוד שהמגן לא נותן מענה הגנתי מספק".

דפנה ינין, מנהלת אירועי סייבר, מערך הסייבר הלאומי. צילום: יח"צ

"למרות שמשקיעים בהגנה – ארגונים מותקפים"

דפנה ינין, מנהלת אירועי סייבר במערך הסייבר הלאומי, אמרה כי "פעמים רבות, למרות שארגונים משקיעים משאבים רבים בהגנה, הם מותקפים. זאת כי למרות שהגוף עצמו לא היה חשוף – אצל אחד מהספקים שלו נותר ממשק ישן פתוח, כי שכחו לסגור אותו". כך, אמרה ינין, "שרשרת האספקה מאפשרת ערוץ תקיפה עקיף: התוקפים לא יתמקדו בארגון היעד, הגדול – אלא יחפשו ספקים קטנים שלו".

"דפוסי המתקפה הם רבים", סיכמה ינין, "שימוש בדלף בו יש פרטי התחברות, המון סיסמאות חשופות, ניצול חולשות וממשקים ובקרים פתוחים, מתקפות שמטרתן אינן הרס ומחיקה – אלא איסוף מידע, ועוד".