"כבוד": ישראל מובילה בהיקף מתקפות ה-DDoS נגדה

"ישראל והארגונים בה מהווים אחד היעדים הפופולריים על ההאקרים במתקפות סייבר בכלל ומתקפות מניעת שירות מבוזרות, DDoS – בפרט. בכל פעם שעולה מתיחות פוליטית, היא מניעה את גורמי האיום לתקוף בסייבר. מדובר במתקפות מאורגנות, של מדינות, או קבוצות איום, הפועלות בחסות ובגיבוי מדינות לאום, עם משאבים כספיים ומחשוביים. הם אינם 'ילדים חובבי סקריפטים', הפועלים בלילות מאיזה מוסך ביתי. מחקרים מצביעים כי בארבעת החודשים האחרונים, מאז השבת הארורה של ה-7 באוקטובר, ישראל מובילה בהיקף מתקפות ה-DDoS כנגדה", כך אמר שי רפפורט, מנהל פעילות אבטחת מידע ב-ITway מקבוצת הענן של נס (Ness).

רפפורט הרצה במסגרת וובינר שערכה החברה אתמול (ג') ללקוחותיה בנושאי אבטחת מידע והגנה מפני מתקפות DDoS. רפפורט פועל בתחום זה כשני עשורים ובעברו הקים חברת הזנק לזיהוי בוטים ומתקפות רובוטיות.

רפפורט ציטט מחקרים, שעולה מהם, כי בארבעת החודשים האחרונים ישראל מובילה בהיקף מתקפות DDoS בעולם, לפני ארה"ב, טורקיה, דרום קוריאה, רוסיה, וייטנאם ופיליפינים – "מדינות גדולות מאיתנו עשרות מונים. ריבוי ההתקפות נעשה באמצעים שונים, בהם ריבוי השימוש בבוטים להעצמת והגדלת יעילות המתקפה וניצול רכיבי IoT המחוברים לרשת. כבר כיום יש 20 מיליארד מכשירים שכאלה, ובתוך שנתיים הנתון יוכפל". הוא הסביר כי "מאז ה-7 באוקטובר חווינו המון מתקפות והרבה יותר ניסיונות תקיפה. אלו התאפיינו במיקוד פרטני, למשל על אתרי מדיה וחדשות, אתרי ממשל ומהמגזר הציבורי ואתרים המתריעים על אזעקות ונפילות. בשבועות הראשונים למלחמה, יותר ממחצית ממתקפות DDoS כוונו נגד אתרי חדשות. נתון מפתיע מעלה, כי שליש מהן כוונו נגד חברות תוכנה כשירות, ספקיות שירות וחברות סטארט-אפ. מטרתן היא לפגוע בתדמית ההיי-טקיסטית של ישראל ובכלכלתה. מאז תחילת הלחימה, אתרי עיתונות ומדיה היו היעד העיקרי של מתקפות ה-DDoS האנטי ישראליות, והיוו 56% מכלל המתקפות נגד אתרים מהארץ. הענף השני שבו התמקדו ההאקרים נגד ישראל היה תעשיית התוכנה: כמעט 34% מכל מתקפות ה-DDoS כוונו לחברות שכאלה. המגזר השלישי שהותקף באופן מסיבי היה  הבנקאות והפיננסים, כולל חברות שירותים פיננסיים וביטוח (BFSI). אתרי הממשלה הישראליים הגיעו למקום הרביעי בדירוג". כך, אמר רפפורט, " בכל יום, ישראל חווה עשרות אלפי מתקפות על אתרים. זו כמות אדירה. באוקטובר, המתקפות הגיעו לשיאים של מאות אלפי ומיליוני בקשות חיבור לאתרים או אפליקציות שהותקפו בכל שנייה (RPS) – וזה מאוד מאתגר את אמצעי ההגנה הארגוניים".

דפוס פעילות נוסף, הסביר רפפורט, "הוא מתקפות כשירות, DDoSaaS. ברשת האפלה ניתן לרכוש שירות שכזה בעלות של 7 דולרים לשעת מתקפה, זה יותר זול מכרטיס כניסה לקולנוע. החיסרון לתוקף נובע מיכולת הזיהוי של כתובות ה-IP שהשתמש בהן במתקפות קודמות. כלומר שימוש חוזר בתשתיות התקפה מעלה את הסיכוי לזיהוי שלהן על ידי מערכות ההגנה הארגוניות".

"מתקפות ברמת הרשת, שכבה 3 ו-4", הסביר, "הן פחות מתוחכמות וניתנות לעצירה, וארגונים היושבים בענן הציבורי, ובעיקר אצל הספקיות המובילות, מוגנים בדרך כלל יותר מאשר בחוות שרתים מקומיות". הסיבה להצלחה החלקית בלבד של התוקפים, ציין, "היא שרבים מהאתרים נמצאים בענן הציבורי, שם התשתיות מוגנות. לעומת זאת, למתקפות ברמה האפליקטיבית, בשכבה 7 – אין גבול להתחכמות וגם אתרים שסבורים שהם מוגנים עלולים להיות מופתעים".

"ראינו שחלק מאסטרטגיות ההגנה של הארגונים, נכשלות בזמן מתקפות", סיכם רפפורט. "פתרונות של WAF מבוססי VM, הסומכים על Auto-scale בזמן מתקפה, לא מצליחים להתרחב בזמן, ומפילים את השירות. לכן ההמלצה שלנו ב-נס היא, להביא לצמצום של ה-א-סימטריה בין התוקף לקורבן. הדרך האפקטיבית ביותר היא להשתמש ב-WAF של ספקית בעלת תשתית מבוזרת וגדולה, שה-WAF הוא חלק אינטגרלי שלה ושלא צריכה להתרחב בזמן המתקפה ולהתכווץ אחריה. רק פתרונות שכאלה מסוגלים להתמודד עם הזרם הגובר של מתקפות של מיליוני בקשות בשנייה, ולהגן על האפליקציות ואתרי ארגון בצורה אופטימלית".