"מתקפות הסייבר נגד ישראל התעצמו מתחילת המלחמה – ושינו מיקוד"

"מתחילת המלחמה, פעילות הסייבר נגד ישראל התעצמה באופן הדרגתי. בתחילתה, המתקפות היו פשוטות ולא מתוחכמות, כגון השחתות אתרים, ביצוע מתקפות מניעת שירות מבוזרות (DDoS) ובעיקר למטרות נראות. עם הזמן המתקפות הפכו ממוקדות יותר, והן מכוונות לשיבוש ממשי של ארגונים וליצירת אפקט רחב, באמצעות כיוון לחברות שמשמשות שרשרת אספקה לארגונים רבים. פעילות התוקפים עלתה שלב במהלך המלחמה, והיא מתמקדת כיום בתקיפות למטרת שיבוש וגרימת נזק, בעוד שבעבר ההתמקדות הייתה יותר בביצוע מתקפות למטרות ריגול וגניבת מידע. מטרת התוקפים הייתה לשלב יכולות טכנולוגיות ליצירת השג תודעתי וגם מבצעי", כך אמר יובל סיני, ראש מחלקת הגנה אקטיבית במערך הסייבר הלאומי.

סיני דיבר בכנס ICS CyberSec 2024 של אנשים ומחשבים, שנערך היום (ד') באולם האירועים לאגו בראשון לציון, בהשתתפות מאות מומחים בתחום. הכנס פתח את סדרת הכנסים הפיזיים של אנשים ומחשבים. את האירוע פתח יהודה קונפורטס, העורך הראשי של הקבוצה, והנחה אותו דניאל ארנרייך, יועץ אבטחת סייבר לתשתיות קריטיות ויו"ר ועדת התכנים של הכנס.

לדברי סיני, "אחד האתגרים שנדרש היה לעמוד לפניהם בטרם המלחמה הוא להיערך לקראת מימוש של תרחיש שסיכויי ההתממשות שלו נמוכים, אולם הסיכון בהופעתו הוא גבוה. לצערנו, זה קרה לנו".

הוא אמר כי "השווינו את ה-TTP (ר"ת טקטיקות, טכניקות ותהליכים) שהופעלו בסייבר נגד ישראל ומצאנו בהם קווי דמיון לפעילות במלחמת רוסיה-אוקראינה. הדמיון היה בשני היבטים מרכזיים: שימוש בלוחמה פסיכולוגית כאמצעי להדהוד מתקפות סייבר וכן ברשתות חברתיות; ושימוש בכופרות ובנוזקות מסוג מגב, Wiper – נוזקות שמוחקות את המידע במחשב". הוא הוסיף כי "זיהינו כ-15 קבוצות תקיפה עיקריות במרחב הסייבר, ששייכות או קשורות לאיראן, לחמאס ולחיזבאללה, ובחלקן הן משתפות מודיעין האחת עם השנייה".

התרחישים השכיחים בסייבר בעולם ה-IT

סיני פירט את התרחישים השכיחים בסייבר בעולם ה-IT: חדירה לארגון דרך מייל וממשק דוא"ל; חדירה באמצעיות ממשק גלישה, לרבות שימוש ב-API של מערכות מסרים מיידיים; חדירה לארגון על בסיס ממשק תמיכה מרחוק, דוגמת VPN; והפעלת מגבים, מוחקי מידע.

לדבריו, "המענה לתרחישים בעולם ה-OT הם: חקירה פורנזית לבקרים, שמירת העתקי קושחה מנותקים מהרשת, שמירת העתקי לוגיקה במנותק, יכולת התקנה מהירה של קושחה מאפס, זמינות לבקרים חלופיים, שימוש במאמן סייבר וכן יכולת הקמה מהירה של עמדות". "על מנת לשפר את תהליכי הניטור בסייבר", אמר סיני, "נדרש ניטור רציף של גישה לנכסים מרשת הארגון לאינטרנט. זאת, לטובת איתור חריגות".

שני מיזמים, שתי קהילות

לסיום ציין סיני שני מיזמים של מערך הסייבר: TITAN ו-MIRROR. מיזם TITAN (ר"ת Team for Information Threat Analysis and Neutralization) נועד להקמת פורום חברות שמספקות שירותי אבטחה מנוהלים (MSSP), בדגש על שירות SOC As a Service, שעוסקות באיתור, ניטור ומניעת אירועי סייבר במשק הישראלי, ושיש להן סטנדרט מקצועי גבוה. "מטרת המיזם", אמר, "היא לייצר שיתוף של מידע טכני באופן מהיר והדדי בין כל הצדדים המעורבים, על מנת להביא למימוש מרבי של היכולת המצרפית של הקהילה לזהות ולמנוע מתקפות סייבר מוקדם ככל שניתן".

מיזם MIRROR (ר"ת Managing IR Remediation (for) Organizational Resilience) הוא "קהילה מקצועית שאנחנו מקימים עם גורמים שעוסקים בטיפול באירועי סייבר במשק הישראלי, במטרה לייצר שיתוף מידע טכני, באופן מהיר והדדי, בין כל הצדדים המעורבים. גם כאן, המטרה היא להביא למיקסום היכולת המצרפית של הקהילה לזהות ולעצור מתקפות סייבר מוקדם ככל שניתן", ציין.

בהתייחס לשתי הקהילות, ובכלל, אמר סיני כי "חוכמת ההמונים היא זו שמנצחת בסוף".