הקורונה לא מרסנת את תוקפי OpIsrael#; מה הסיכונים וכיצד נערכים?

איך הארגון יכול להיות ערוך היטב מבחינה ארגונית למתקפות של הגורמים האנטי ישראליים, שצפויות מחר (ג')? מומחה סייבר מסביר

06/04/2020 16:50
האם נחווה את יום התקיפות בעוצמה? OpIsrael

כתב: יוסי ביבס, מנהל מחלקת MSSP ב-2BSecure, חברת אבטחת המידע והסייבר של מטריקס.

בשנים האחרונות קיימת מגמה גוברת של גורמים התומכים בארגונים אנטי ישראליים שמחפשים לפגוע במדינתנו באמצעות המרחב האינטרנטי. מתקפות אלה מתעצמות בכל שנה לקראת ה-7 באפריל (שחל מחר) – יום שמכונה OpIsrael#, שבמהלכו קבוצות האקרים אקטיביסטיים מוחים על פעילותה של מדינת ישראל באמצעות מתקפות סייבר.

השנה אנחנו מתמודדים במקביל עם אתגר מגפת הקורונה, שמשנה תרבויות ארגוניות עם התחברות מרחוק למשאבים ארגוניים, קיום אינטראקציות באמצעות שיחות וידיאו ועוד. עקב כך, חלה עלייה במתקפות על רשתות ארגוניות, במטרה לאתר משאבים ארגוניים פגיעים, שנחשפו לרשת האינטרנט.

השנה קיים סיכוי סביר שיתבצע שימוש בסוגי המתקפות הבאים:

חדירה לרשתות ארגוניות דרך משאבים החשופים לאינטרנט – סבירות גבוהה.
עקב העלייה בצורך בהתחברות מרוחקת למשאבים ארגוניים, הצפי הוא כי תהיינה מתקפות שונות של גניבת פרטי הזדהות. תוקפים עלולים להיעזר בבסיסי נתונים שהודלפו או לבצע מתקפות פישינג ממוקדות על עובדים בארגון על מנת לגנוב פרטי הזדהות ולהשתמש בהם כדי להתחבר לרשת הארגונית. בשבועות האחרונים נראית עלייה חדה במתקפות הפישינג, בדגש על דומיינים שמכילים את המילים Corona או Covid-19. כמו כן, ארגונים רבים מאפשרים גישה לרשת ארגונית באמצעות חיבור VPN. על מנת לצמצם סיכונים, יש לוודא ששרת ה-VPN עבר את כל עדכוני האבטחה האחרונים.

מתקפות מניעת שירות – סבירות גבוהה.
מתקפות אלה מיועדות למנוע אפשרות לקבלת שירות ממערכות שונות, כשהן מתחלקות לשלושה סוגים: מתקפות ברמת תשתיות ה-IT של הארגון, הצפת קו תקשורת על ידי מילוי רוחב הפס, ומתקפה על שכבת האפליקציה בק אנד או מתקפות המתרכזות בחולשת האפליקציה, כמו הרצת שאילתות כבדות, שמעמיסות על בסיס הנתונים.

השחתה של אתרי אינטרנט ואפליקציות ווב – סבירות גבוהה.
למתקפות מסוג זה ערך תדמיתי גבוה יותר לתוקף ונמוך יותר לארגון, אך יישומן מסובך יותר ממתקפות רבות אחרות. המתקפות הללו מאפשרות לתוקפים לשנות את תוכן האתר המוצג לגולשים וכן להחדיר באמצעותו מסרים זדוניים.

מתקפות נעילת קבצים – סבירות גבוהה.
שימוש בטכניקות החדרה כגון Spear Phishing או Water Hole, שיובילו לנעילת קבצים על ידי מתקפת כופרה. זהו אחד האזורים הקשים ביותר לניטור, כי קיים חשש שישנם כלים ייעודיים שפותחו במיוחד למתקפה הקרובה. בדרך כלל מדובר במתקפות מתוחכמות יותר, שקשה יותר לצפות אותן מראש.

פרסום מידע חסוי (כרטיסי אשראי, פרטי משתמשים) – סבירות בינונית.
ייתכן שמידע שהושג בעבר יפורסם ביום המתקפה, על מנת ליצור נפח נוסף למתקפה הכוללת. מניסיון עבר, חלק ניכר מהמידע שמפורסם לא רלוונטי, אך יש להתייחס לכך כאל איום ממשי לארגון – תדמיתי וכלכלי.

הסוד - בהגנה. צילום אילוסטרציה: BigStock

הסוד – בהגנה. צילום אילוסטרציה: BigStock

המלצות ודרכי התגוננות מפני המתקפות

יש מספר טיפים שמומלץ לפעול לפיהם, אך חשוב לציין כי מדובר בהמלצות כלליות, ועל הארגון לבצע הערכת סיכונים מתאימה וכן לקבוע מבעוד מועד את כלי ההתמודדות ואופי השימוש בהם.

העלאת המודעות הארגונית
מומלץ לשלוח מייל מטעם מנהל אבטחת המידע או מנהל התשתיות בארגון, שמתריע על ההתקפה הצפויה ועל הנזק שעלול להיגרם לארגון. במייל זה יש לרשום כללי עשה ואל תעשה ברורים, כמו לא לפתוח מסמך מצורף או לינק שהגיע ממקור לא מוכר, ולדווח על כך מיד כאשר נתקלים בתוכן כזה; לא לחבר לתחנת העבודה התקני מדיה נתיקים ממקור שאינו מהימן; לא ללחוץ על פרסומות ולא להוריד קבצים מאתרים שאינם מהימנים; ולא לתת פרטים מזהים בשיחה טלפונית, בדגש על שם משתמש וסיסמה. כמו כן, רצוי להנחות את העובדים כי צריכת מידע בנוגע למגפת הקורונה צריכה להתבצע מגורמים רשמיים בלבד. באופן כללי, כדאי להנחות את העובדים כי עליהם לדווח באופן מידי לגורמי הביטחון בחברה על כל אירוע חריג אחר, שלא צוין במפורש.

גיבוי
חשוב לוודא שקיים גיבוי מלא של כלל השרתים בארגון של הגדרות התצורה בציוד התקשורת (מתגים, נתבים ומרכזיות), ובמערכות אבטחת המידע הקיימות (פיירוול, IPS ,WAF ,SSL ו-VPN). יש לערוך בדיקה וחידוד של נהלי עלייה לאוויר לאחר התאוששות מאסון, ולערוך בדיקה ו-וידוא כי קיימים גיבויים עדכניים ופעילים לטובת יכולת שחזור מהירה בעת הצורך.

ניהול מערכות, משתמשים, סיסמאות ועדכוני תוכנה
רצוי להגדיר ערוצים בטוחים לחיבור למערכות ארגוניות מרחוק, לדוגמה מערכות ווב עם הזדהות חזקה, אימות דו שלבי, ניטור ותקשורת מוצפנת. אין לחשוף פרוטוקולים כמו RDP או SMB לרשת האינטרנט. מומלץ מאוד לערוך עדכון של מערוכת האנטי וירוס שקיימות בארגון, ולקיים הפצה והתקנה של עדכוני תוכנה ואבטחת מידע עדכניים לכל מערכות ההפעלה, לשרתים ולתחנות העבודה. כמו כן, רצוי להגדיר את מערכות אבטחת המידע השונות לחסימה והתראה על דומיינים שמשויכים לאתרי פישינג מוכרים.

היערכות ארגונית
על מנת להיערך בהתאם מבחינת ארגונית, יש להכין רשימת בעלי תפקידים רלוונטיים, מספרי טלפון וכתובות מייל לטיפול במקרה של אירוע – הן של גורמים פנימיים והן של גורמים חיצוניים. יש צורך להגדיר שרשרת דיווח במקרה של אירוע אבטחת מידע, כולל הגדרת רמות חומרה של אירועים שעליהם יש לדווח או להגיב באופן מיוחד. כמו כן, מומלץ להתעדכן באופן שוטף באתר של ה-CERT הלאומי בדבר המתקפות וכמובן, להיעזר בו בעת הצורך.

גם השנה, כמו בכל שנה, לא ניתן לקבוע בוודאות את אופי המתקפה הצפויה, את שלביה ואת אופי ההתפתחות שלה, אך חשוב להיות ערוכים באופן המיטבי ביותר לכל תרחיש.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים