"ב-'תחרות' בין פושעי הסייבר ושלוחי מדינות – כולם מנצחים"

"בשנים האחרות יש מעין תחרות בין ההאקרים השונים: פושעי הסייבר, העושים זאת ממניעים של רווח כלכלי, שעובדים בצורה עצמאית או כחלק מארגוני פשע – ובין האקרים הפועלים ממדינות, או בארגונים מטעמם, שלוחי מדינות. בתחרות זאת, שני הצדדים מנצחים – ואילו שאר העולם מפסיד", כך אמר טוני קול, סגן נשיא ו-CTO למגזר הממשלתי, FireEye.

לדברי קול, "כל שנה אנו שומעים שהשנה החולפת הייתה הגרועה ביותר בהיבט הגנת הסייבר. אני יכול לקבוע בוודאות כי אכן, 2017 הייתה כזו, הן בהיקף הפריצות והן באיכות שלהן – רמת התחכום, ועומק השימוש בכלי פריצה שונים".

מכאן, אמר, "ניתן לגזור לגבי הצפי השנה: נמשיך לראות את שדה הקרב צפוף יותר, עם יותר מניעים והזדמנויות לפריצות. שדות פעילות חדשים ישמשו את ההאקרים, ובראשם מגמות האינטרנט של הדברים, IoT".

"באוקטובר לפני שנה וחצי העולם חווה מתקפת סייבר ענקית: יעד המתקפה היה דיין (Dyn), חברת תשתיות אינטרנט וספקית שירותי DNS. המתקפה הציפה את חשיבות מגמת האינטרנט של הדברים כאיום חדש, שהביא לנפילת מאות אתרים במתקפה על דיין. מגמה נוספת של פריצות תגיע בשל השימוש ברשת דור 5. תחום פעילות נוסף הצפוי לצמוח בפעילות של הרעים היא מתקפות על מערכות הבקרה התעשייתיות, ICS, שהן פרוצות לאיומים – ונראה יותר אירועים במגזר זה".

סביבת איומי הסייבר גדלה באופן דרמטי

לדברי קול, "דו"ח חדש שהנפיקה FireEye, נדון לפני כחודש בפורום הכלכלי העולמי שהתקיים בדאבוס, שווייץ. החוקרים שלנו כתבו בו כי 'סביבת איומי הסייבר גדלה באופן דרמטי, עם חשש הולך וגובר לעוד מתקפות על תשתיות קריטיות, כמו גם על מפלגות פוליטיות והתערבות קיברנטית במערכות בחירות. מנכ"לים של ארגונים נדרשים להיות מודעים לנוף האיומים החדש, כי איומי הסייבר השנה יפעלו כתמנון אימתני, רב-זרועות, עם וקטורי פעולה רבים'. על פי הדו"ח, השינוי בנוף האיומים, וההתעצמות של גורמי האיום השונים, מביאים לכך שדרגי ההנהלה בארגונים צריכים לערוך תעדוף מחדש של הנכסים שלהם, עם מיפוי מחודש של האיומים".

על פי קול, "שנת 2017 הייתה נקודת מפנה: מדינות וארגוני האקרים שלוחי מדינות תקפו חברות פרטיות. תאגידי ענק איבדו מיליארדי דולרים משווי השוק שלהם בשל מתקפות שהם חוו, מנכ"לים הודחו מתפקידיהם בשל אירועי סייבר".

השנה, הוסיף, "סביבת הפעולה של ארגונים תהייה רוויה באיומים, וניהול הסיכונים ישתנה בהתאם. שתי מגמות עולות יביאו לעוד סיבוכיות: רגולציות קשוחות שייאכפו בחומרה, ואיומי סייבר מפחידים עם וקטורים חדשים של תקיפות".

לפני שהגיע ל-FireEye, קול עבד בתפקידים בכירים בסימנטק (Symantec) ובמק'אפי (McAfee), ולפני כן שירת בצבא ארצות הברית. בתפקידו האחרון במדים היה מנהל התפעול הטכני לרשת האבטחה של הפנטגון.

בתפקידי, אמר, "אני עוזר לממשלות להבין כי האיומים עברו כברת דרך. זה כבר לא הווירוס של פעם. לאיומים המתקדמים יש פוטנציאל נזק הרסני". כך, ציין, בשנה החולפת חשפנו מתקפת APT (מתקפה עקבית ומתמשכת) של האיראנים, על מערכות  SCADA, (ר"ת Supervisory Control And Data Acquisition) – מערכות מחשב המשמשות לפיקוח, שליטה ואיסוף נתונים בתעשייה, המנטרות ושולטות על תהליכים בתחום התעשייה, התשתיות וניהול מתקנים. זו הייתה הפעם הראשונה שהם תקפו את מערכות הבטיחות של מערכות ה-SCADA. דאגתי כעת היא האם נראה עוד מתקפות בסגנון זה, בהן ישולבו מתקפות על המערכות עצמן, עם מתקפות נגד מערכות הבטיחות, החשמל, או מערכת הבקרה לחשמל. פוטנציאל הנזק פה חמור, כי הרעים יציגו מצב שווא, לפיו המערכות פועלות כרגיל".

גישה שונה לזיהוי האיומים

"נדרשת גישה שונה מזו המוכרת לגילוי ולזיהוי איומים", אמר קול. "פלטפורמת מודיעין הסייבר שלנו מפשטת, משלבת ומתפעלת באופן אוטומטי את האבטחה בארגונים מכל גודל ובכל מגזר תעשייה. התפעול נעשה בחצר הלקוח או בענן. הפלטפורמה מאחדת את הנראות של נקודות הקצה עם הרשת, מוצרי אבטחה נוספים ודו"חות מודיעין לטובת יצירת תמונה אחת כוללת. המטרה היא להוריד באופן דרמטי את זמני התגובה, המאמץ והעלות של ההתמודדות עם קריאות השווא ממערכות ההגנה המסורתיות".

חסרונה העיקרי של הרשת, סיכם קול, "הוא בכך שכמו שהיא הביאה להשטחת הידע ולנגישות שלו לחלקים רבים בגלובוס, תהליך דומה קרה גם לידע על מתקפות שהרעים חולקים ביניהם. יש יותר סוגי תוקפים, והם משתדרגים במובן הרע. כאשר הם לא משתפים מידע, או כלי פריצה ביניהם – הם גונבים מידע הגנתי, לטובת שכלול התקיפה הבאה. התחום הזה ממשיך להתפתח, ואי אפשר לדעת מי יהיה יותר הרסני. זה סוג של מארג".

"מה שנדרש ממנהלי אבטחת המידע הארגוניים הוא להבין ולהפנים שכל ארגון הוא יעד למתקפה, וזו תבוא. השאלה היא לא 'האם' אלא רק 'מתי'. עליהם לבנות סביבת IT בה הם יוכלו לזהות את המתקפה במהירות, ובהתאם לבנות יכולות ריפוי מהיר. הכי חשוב זה להבין את ההקשר של המתקפה – ולעשות זאת עם מודיעין (בינת) אבטחה".