"המאבק בסייבר חייב להיות קבוצתי – חברות הטק, השוק האזרחי והממשלות"
כתב: יואל שוורצברד, מנהל מכירות בכיר ב-FireEye ישראל.
משאבים לא מועטים מושקעים במאבק המתמשך והבלתי פוסק של ארגונים וממשלות להתמודד מול התוקפים החדשים והישנים המבצעים תקיפות סייבר למטרות גניבת מידע, מניפולציית נתונים או הרס. דוגמה לקבוצות תקיפה אלה ניתן לראות במה שחשפה FireEye בשנה האחרונה: APT 33, APT 34 ו-APT 35, שפועלות בשם איראן, ו=APT 37, אשר פועלת בשם הממשל בצפון קוריאה..
הפער בין הידע, המידע ומיומנויות ההגנה בסייבר לביקוש הגובר לכוח אדם מיומן המסוגל לעמוד באתגרים שמציבים התוקפים המתוחכמים הולך וגדל.
אתגר מרכזי בחמ"לי סייבר הוא ההתמודדות עם כמות מטורפת של התרעות המגיעות ממגוון כלים טכנולוגיים ביחס לכמות המגנים בחזית. קצב העבודה הגבוה לא מאפשר לבצע מחקר מעמיק של כל התרעה ולכן, ישנו קושי להבחין בתקיפות מתקדמות לעומת ה-"רעש" הרגיל אתו מתמודדים מגני הסייבר על בסיס יומיומי, על אחת כמה וכמה אם התוקף בוחר לעשות שימוש בכלים מוכרים או אפילו בכלי קוד פתוח.
במקרים אלה, על מנת להבחין בכך שמדובר בתקיפה מתקדמת וכדי לזהות את כל היקף הפעילות של התוקף ברשת, לא ניתן להסתמך על זיהוי על בסיס מאפיינים טכניים (IOCs) בלבד, אלא נדרש לזהות סממני התנהגות (TTPs) של התוקף.
כאשר מנתחים את דרכי הפעולה של תוקפים מתקדמים אלה, קשה שלא לחשוב האם ומתי, חס וחלילה, ייחצה הקו המאוד שברירי והמפתה (מצד התוקפים) מפגיעה בנכסים של מדינות וארגונים לפגיעה ממשית בבני אדם. דוגמה לכך, שחשפה FireEye, אירעה באחרונה במפעל גדול במזרח התיכון עם מערכות תעשיותיות מסוג Triconex. זהו מקרה שבו הותקפו מערכות הבטיחות של מפעל בתקיפה מתוחכמת, המבוססת על הרושעה Triton.
קבוצות התקיפה שהזכרתי קודם לכן הן רק חלק קטן מבין עשרות קבוצות APT מתקדמות שכבר זוהו, וכן מאות תקיפות ופעילויות סייבר אחרות, לא משויכות לגורם ממשלתי, ש-FireEye עוקבת אחריהן וחוקרת אותן ביום יום. קבוצות תקיפה אלה ממוקדות מטרה ואלימות (במובן הסייברי שלהן). הן אינן בוחלות בשום אמצעי כדי לתקוף ולהשיג את מבוקשן, בין אם הן פועלות בחסות ובמימון מדינתי ובין אם ממניעים כלכליים טהורים.
ההתחמשות של ארגונים בטכנולוגיות הגנה מתקדמות נותנת את אותותיה, ואנחנו מזהים מגמה של שיפור ביכולת של ארגונים מערביים לזהות התקפות סייבר ולהתמודד עמן בפרק זמן קצר יותר מאשר בעבר. יחד עם זאת, בחלקים אחרים בעולם, דוגמת מדינות המזרח התיכון והמזרח הרחוק, אנו מזהים דווקא עליה חדה בזמן השהות (Dwell time) של התוקפים ברשתות פנימיות של ארגונים עד לזיהוי התקיפה והתמודדות עמה.
הצטיידות בטכנולוגיה מתקדמת לזיהוי התקפות, שאינה מבוססת אך ורק על ניתוח טלמטריה, אלא מוזנת גם מאיסוף מודיעין על התוקפים, בין היתר מחקירות בשטח (עבור ערוצי המייל, הגלישה או על המחשב) היא חלק חשוב במאבק, כמו גם שיתוף המידע ולבסוף השימוש בהון האנושי. האתגר לתפעל את כל זה נכון מול השחקנים המדינתיים מייצר ביקוש רב לאנשי מקצוע מיומנים המסוגלים לעמוד באתגרים שמציבים שחקנים אלה. ההיצע פשוט אינו יכול לעמוד בקצב.
המאבק בפושעים אלה הוא לא של יחידים או רק של גופים ייעודיים. המאבק חייב להיות קבוצתי, כשהשחקנים בו הם חברות המודיעין והטכנולוגיה, השוק האזרחי והממשלות. במאבק הזה, שיתוף המידע בזמן אמת בין כל המעורבים קריטי להצלחה ולכן, חשובה שבירת ״המחסום הפסיכולוגי״, שמאחוריו כל אחד שומר רק לעצמו את המידע והידע. אין עוררין על כך שחייבת להיות הפרדה ברורה וחדה בנושא המידע והידע. יחד עם זאת, יש לא מעט מעגלים חופפים ונושקים, כך ששיתוף הידע והמידע בין המגזרים, יזין, יחזק ויעבה את רמת הגנה והמוכנות של כל המעורבים, בכדי להתמודד בצורה מיטבית עם התקפות ולמקצע את אנשיהם. שיתוף מסוג זה, יאפשר שימוש בטכנולוגיות מתקדמות גם בגופים קטנים, שרמת הידע והמוכנות בהם נמוכה יותר ולבסוף, זה גם יעלה את רף ההגנה המדינתית.