לקראת אירוע | הגנה אפקטיבית מפני תקיפות סייבר מתוחכמות
שיחה עם אנדרי דולקין, מנהל טכנולוגיות מתפתחות, Cyber-Ark
מהן הנקודות העיקריות שאתה מתכוון להעלות בהרצאתך בכנס?
ההרצאה בכנס תעסוק בהתקפות סייבר מתוחכמות המאיימות על ארגונים ברחבי העולם ותציג שיטות הגנה אפקטיביות שארגונים יכולים ליישם בכדי להתמודד עם התקפות אלה. התוקפים הנדונים אינם תוקפים אופורטוניסטיים, אלא תוקפים המכוונים לארגון ספציפי ופועלים בשיטתיות להשגת מטרותיהם. בהרצאה, אציג ניתוח של התקיפות שאירעו לאחרונה ואזהה את השלב המרכזי בה – השגת הרשאות וגישה פריווילגית למערכות הרגישות של הארגון.
בהמשך, אציג כלים ושיטות להגנה אפקטיבית על הגישה הפריווילגית, בדגש על מערכת מרכזית לניהול סיסמאות והרשאות, ניהול הגישה הפריווילגית עצמה ובידוד הנכסים הארגוניים הרגישים באמצעות נקודת שליטה מרכזית. בסיכום ההרצאה, המשתתפים יכירו את דרכי הפעולה של התוקפים, יבינו את חשיבות השגת הרשאות הגישה עבור התוקפים וילמדו על כלים ושיטות אפקטיביים להגנה על ארגוניהם מפני תקיפות מתוחכמות.
האם לדעתך מדינת ישראל ערוכה לקראת מלחמת סייבר?
מלחמת סייבר היא אך מצב אחד מבין מגוון רמות העימות עימם מתמודדת וצפוייה להתמודד מדינת ישראל, כאשר מלחמה היא עימות בעצימות הגבוהה ביותר. המצב הצפוי יותר, וזה המתרחש כבר כיום, הוא זה של רצף התקפות ברמות תחכום שונות, המנסות לפגוע במגוון אינטרסים ישראליים – בטחוניים, כלכליים, תדמיתיים ועוד. ההגנה במרחב הסייבר היא אחד האתגרים המורכבים העומדים בפני מדינת ישראל, כאשר התמודדות זו מתרחשת במספר חזיתות, ביניהן החזית הבטחונית, חזית התשתיות הלאומיות הקריטיות וחזית המגזר העסקי.
בחזית הבטחונית ובחזית התשתיות הלאומיות ישנם גופים הפועלים במרץ ליצור הגנה אפקטיבית ובראשם צה"ל והרשות הממלכתית לאבטחת מידע. עם זאת, במגזר העסקי יש פער גדול בנושא אבטחת הסייבר, הן בגלל המורכבות, המגוון והשוני של החברות במשק, הן בגלל היעדר ידע, כלים וסטנדרטים אחידים שיכולים להנחות חברה בתהליך אבטחת הסייבר ובעיקר עקב הפער במודעות לעוצמת האיום. הנ"ל נתמך בממצאי ועדת הגנה, ניטור ובקרה שפעלה השנה במסגרת הועדה בנושא הסייבר בראשותו של פרופ' בן ישראל.
בעקבות המלצותיה של ועדה זו, החליטה ממשלת ישראל על הקמת מטה הסייבר הלאומי שצריך להתחיל את פעילותו ב-2012, כאשר תפקידו המרכזי הוא תחום הסייבר הלאומי האזרחי. הקמת המטה מצביעה על המודעות והחשיבות שמייחסת הממשלה לנושא ומהווה צעד חשוב בכיוון הנכון. עם זאת, אסור למנהלי החברות במשק להמתין לפתרונות מלמעלה – התשתית האזרחית בישראל זקוקה לשדרוג משמעותי בתחום אבטחת הסייבר ועל כל חברה מוטלת האחריות לפעול לאבטחת תשתיותיה.
כיצד על המגזר העסקי להיערך לקראת מתקפת סייבר?
בכדי להיערך אל מול התקפות סייבר, המנהלים במגזר העסקי צריכים ראשית כל להבין את רמת האיום הניצב מולם. כיום, תשתיות המידע מהוות מרכיב קריטי בפעילותה של כל חברה, על כן פגיעה בזמינותן, אמינותן או סודיות המידע המצוי בהן עלולה לשבש באופן מהותי פעילות זו. יתר על כן, בשנים האחרונות אנו עדים ליותר ויותר מתקפות היוצאות מעולם הסייבר אל העולם הפיזי, כך שכיום ניתן, לדוגמא, לפגוע בפס הייצור של מפעל באמצעות תקיפת סייבר מול מערכות השליטה ובקרה שלו.
על כן, תהליך ההיערכות מול מתקפות סייבר צריך לכלול ניתוח של הסיכונים לחברה, תכנון וישום ארכיטקטורה נכונה, הטמעת מנגנוני הגנה ובקרה ומעקב רציף אחר הפעילות. מנגנון מרכזי בכל היערכות הוא ניהול אפקטיבי של הרשאות והגישה הפריווילגית בארגון. סייבר-ארק פועלת מזה זמן רב בתחום הגנת הסייבר ובפרט בהגנה על ארגונים מפני התקפות מתוחכמות, על כן מניתוח הנושא והמחקר שביצענו בתחום אנו יודעים כיצד מתנהגים התוקפים ומהן שיטות הפעולה שלהם. בפרט, אנו יודעים כי צעד קריטי מבחינת התוקפים הוא השגת הרשאות גישה ופעולה ברשת הארגון וניצול ההרשאות לביצוע התקיפה. הרשאות אלה משויכות לחשבונות משתמש מערכתיים, אדמיניסטרטיביים ואחרים, החשופים למגוון איומים ולכן דורשים ניהול וניטור מיטביים.
דוגמא לחשיבות ההגנה על הגישה הפריווילגית בארגון ניתן לראות בתקיפה שחווה ארגון ה-RSA במרץ 2011. בתקיפה זו התוקפים פעלו מול עובדים זוטרים יחסית, אך התפשטו ברשת במטרה להגיע לחשבונות פריווילגיים – אלה, שיש להם הרשאות גישה למערכות ולמידע הרגישים של הארגון. במקרה של RSA, היו אלה חשבונות אדמיניסטראטורים ומנהלי תהליכים עסקיים ששימשו את התוקפים להשגת מטרותיהם. במקרים אחרים, כגון אירוע Stuxnet, מתאפשרת התקיפה הודות לסיסמא רגישה שלא הוחלפה, סיסמא המאפשרת גישה בהרשאות גבוהות לציוד או מערכת מידע.
מנגנון אפקטיבי נוסף להגנה מפני תקיפות סייבר הוא בידוד הגישה הרגישה לשרתים ובסיסי הנתונים של החברה על ידי יצירת נקודת שליטה מרכזית המשמשת לניהול ובקרה על גישה זו. מנגנון כזה מונע את הצורך מהזנת הסיסמא בתחנות הקצה, המהוות את נקודת הכניסה במרבית התקיפות. התוקפים מתקינים על תחנות אלה כלים שמקליטים הקשות מקלדת ומנסים להשיג הרשאות לפעילות ברשת הארגונית. בידוד הגישה הרגישה מגן על הנכסים הארגוניים ומאפשר ניתוח של הפעילות הפריווילגית בכדי לזהות חריגות ולהציף בזמן אמת חשד לתקיפה.
כיצד אתה מנתח את המתקפות של התקופה האחרונה?
בחודשים האחרונים אנו עדים למספר סוגים של תקיפות מול תשתיות ישראליות, ביניהן מניעת גישה (DDOS), פריצה לאתרים לצורך גניבה של נתונים רגישים (כרטיסי אשראי) ופריצה לאתרים לצורך שינוי תכנים (defacement). מתקפות אלה הן ברובן אופורטוניסטיות – אין קשר מובהק בין האתרים והחברות המותקפות והתקיפות עצמן מנצלות חולשות בתשתיות האתרים או סיסמאות ידועות כדי להשיג את מטרותיהן.
אך התקיפות המשמעותיות יותר אליהן עלינו להתייחס קרו ברחבי העולם כולו, ביניהן התקיפות על סוני, RSA, חברות בטחוניות אמריקניות, יפניות ואוסטרליות, ממשלות ארה"ב, צרפת וקנדה, האו"מ, חברות אנרגיה בינלאומיות, אתרים גרעיניים בצרפת ועוד. תקיפות אלה לא היו אופורטוניסטיות, אלא כוונו מול ארגונים ספציפיים, כאשר התוקפים יודעים היטב מהי המטרה אותה הם מנסים להשיג – השגת מידע רגיש, פגיעה ושיבוש של מערכות מידע וניצול מערכות אלה לצרכיהם. הנזק מתקיפה כזו עולה לאין שיעור על הנזק שבתקיפה אופורטוניסטית.
בכדי להתמודד עם תקיפות מהסוג הראשון, ניתן להשתמש במנגנונים הידועים של עדכוני מערכות (updates and patches), מנגנוני ניטור והגנה על רשתות, שרתים ו-datacenters , אנטי ווירוסים וכו'. אך מנגנונים אלה לא יהיו אפקטיביים מול ההתקפות המתוחכמות, שכן התוקפים עצמם יכולים להתקין אותם ולהתאים את כלי התקיפה כך שלא יתגלו על ידם. הגנה אפקטיבית מפני תקיפות מתוחכמות דורשת היערכות יעודית, המשלבת ארכיטקטורה נכונה, מנגנוני ניהול הגישה וההרשאות ברשת הארגונית, מנגנוני ניטור וניתוח ארועים, כמו גם יכולת תגובה והתמודדות בזמן אמת. על מנהלי החברות בישראל להבין את האיום הניצב מולם ולפעול להטמעת מנגנונים להתמודדות עם איום זה.