חליפת הגנה ארגונית אופטימלית – מבחן 100 הארגונים – חלק א'

הכירו את ג'יימס ואלכסנדרה ● האחד מנהל אבטחת מידע - השניה האקרית ● אחת תטעם את טעם הניצחון - השני, טעם של כישלון עצום ● לא מדובר בספר מתח - אלא במה שמצפה לכם במציאות אם לא תקשיבו היטב ללקח

25/04/2018 11:38
דניאל דור, דוקטורנט להנדסת מערכות תוכנה ומידע באוניברסיטת בן-גוריון. צילום: שירן דור

זהו סיפור על מאבק עיקש בין ג'יימס לבין אלכסנדרה.

ג'יימס הוא CISO בארגון אירופי. אלכסנדרה היא האקרית מאחת ממדינות ברית המועצות לשעבר. הארגון שבו עובד ג'יימס מונה 700 עובדים, והוא כפוף ישירות ל-CIO. ג'יימס, הוא מנהל מנוסה ובטוח בעצמו; הוא בקיא בכל רזי התשתית של ארגונו; מכיר את כל נקודותיה וזוויותיה, הן החזקות והן החלשות; הוא גם בקיא לפרטים בפערים הקיימים בה. אך בסיפורנו, ג'יימס "היודע-כל", הפך לטרף קל לאלכסנדרה, כי חליפת ההגנה הארגונית שלו, כשלה.

אלכסנדרה, גם היא דמות אמיתית. אשה מקצועית, מאוד מנוסה. היא נעה בין בירות עולם; משתמשת בתשתיות שונות ומגוונות, כדי להחביא ולהסוות את מתקפותיה. רצה הגורל ובין השאר, ארגונו של ג'יימס עלה על הכוונת שלה.

מרגע שהחל המפגש הוירטואלי, השניים מצאו עצמם מתעמתים לאורך מסע נוקשה ומרתק; מסע, שבקו הסיום שלו, ג'יימס ילמד לקח חיוני ושיעור לחיים.

אך נשוב להתחלת הסיפור; אלכסנדרה הציבה לעצמה שלושה יעדים: הראשון – להצליח לחדור לשרת המיילים בארגון של ג'יימס ואף להתחזות בו לגורם בכיר כדי להעביר כספים לחשבון הבנק שלה. השני – להדביק את מחשבי הארגון ב-Ransomware. השלישי – להצליח להזליג קבצים מתוך הדטה סנטר הארגוני כדי למכור אותם בשוק השחור.

פנים אל פנים עם המציאות הכואבת

על-מנת לבצע את המתקפה ביעילות מירבית, אלכסנדרה מיפתה את כל הממשקים והתשתיות הקיימות לארגון, יחד עם מידת הקריטיות שלהם. היא עשתה זאת באמצעות התחזות בלינקדאין (LinkedIn) לאשת-מכירות תוכנה של אחת הספקיות; בחסות ההתחזות, במהלך שיחה עם אחד מאנשי התשתיות, היא מיפתה את  כלל התשתיות בארגון. מיפוי זה איפשר לה לזהות את האזורים בארגון בהם טכנולוגיות, אנשים ותהליכים כשלו בהגנה על הנכסים.

כך, בתחבולה ובתכסיס, החלה התוקפת לממש את יעדיה. הארגון, שלא עמד על המשמר, סלל למעשה את הדרך. בכדי לחדור לשרת המיילים הארגוני (אשר נמצא בענן), השתמשה התוקפת במנגנון ה-2FA של ספקית המיילים בענן. היא ביצעה אתחול סיסמה לאחד האנשים הבכירים בארגון ויירטה את ה-PIN Code המשמש לאתחול סיסמה באמצעות פגיעויות במערכת הסלולר.

יש להניח כי כשצלחה לאלכסנדרה הדרך להיכנס לארגון, עברה במוחה המחשבה עד כמה היה הדבר אלגנטי, פשוט ובעיקר עד כמה זול היה הדבר. את כל התהליך הנ"ל עשתה באמצעות חשבון לינקדאין, וציוד למתקפה על הרשת הסלולארית בעלות של 500 דולר בלבד.

בסיפור שלנו, אם כן, מסתמנת המציאות הכואבת, כך: היעדים ההתקפיים שאלכסנדרה הציבה לעצמה הושגו במלואם. ובאמצעות התחזות לגורם בכיר בארגון, היא הצליחה לגנוב מאות אלפי דולרים.

טעם של כישלון עצום

ומה קורה בינתיים עם ג'יימס? מסתבר כי ג'יימס וה-CFO הארגוני, זיהו את המתקפה, אבל  באיחור של ארבעה חודשים. נכון, הייתה אינדיקציה על האירוע התוקפני שעלה ב-SOC, אבל צוות ה-SOC היה דל משאבים ולא הצליח להבין בזמן אמת את מהות והיקף האירוע. ובינתיים, אלכסנדרה כבר נעלמה לה עם הכסף.

ג'יימס האומלל נותר עם טעם של כישלון עצום: ראשית, סימני השאלה המקצועיים שהתעוררו היו מטרידים ונוקבים ביותר. שנית, הנזק לארגון היה גדול מאוד – וכמובן, מעל מסלול הקריירה המבטיחה שלו, מרחפת עתה עננה.

עולות אם כן, שלוש שאלות נוקבות: מה היה על ג'יימס לעשות כדי לבנות  את חליפת ההגנה האופטימלית לארגון? כיצד היה עליו לזהות את האירוע ואף להגיב עליו בזמן אמת? מה יש לעשות כדי למנוע אפשרות חוזרת ונשנית של מקרים הרי-אסון כאלה לו ולארגונו?

עלי לציין שוב כי הסיפור המתואר לעיל מבוסס על מקרה אמיתי ובדומה לו, ארעו התרחשויות כאלה לאין-ספור. הסיפור מתאר נושאים המטרידים מאוד CISOs, CIOs, מנהלי תשתיות ועוד בישראל וברחבי-העולם. כל אחד ואחד מבעלי-התפקידים האלה נוהג כראות עיניו; בוחר בדרכו; יהיו ביניהם כאלה שיממשו ISO 27001 ובמקביל יבנו חליפת הגנה המתואמת חלקית עם סטנדרט זה. אחרים, ישתמשו במסמך "תורת ההגנה בסייבר" שנכתב על ידי הרשות הלאומית להגנת הסייבר הישראלית, וינסו באמצעותו לייצר חליפת הגנה איכותית ושלימה. יהיו גם אחרים שישתמשו במסגרת NIST וינסו לייצר באמצעותה תוכנית עבודה רב-שנתית. ויהיו גם כאלה שישתמשו במתודלוגיות שפותחו על ידי CREST כתגובה לאירועי סייבר.

בחלקו השני של המאמר, נציג תובנות ממחקרים שבחנו יותר מ-100 ארגונים לגבי כיצד נכון לייצר את חליפת ההגנה הארגונית האופטימלית.

הכותב הינו דוקטורנט להנדסת מערכות תוכנה ומידע באונ' בן-גוריון, וחוקר בחמש השנים האחרונות תהליכי קבלת החלטות בארגונים לגבי בניית חליפת הגנה אופטימלית של יכולות אבטחת מידע. במקביל למחקריו, מסייע לארגונים ברחבי העולם בבחינה, בחירה והטמעה של מספר מוצרים מתקדמים בפורטפוליו של צ'ק פוינט (Check Point).

המשך יבוא…

תגובות

(1)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים