המערב מתריע מפני "מתקפת סולארווינדס נוספת"

חברי חמש עיניים (Five Eyes) הברית המודיעינית המשותפת לניו זילנד, ארצות הברית, אוסטרליה, בריטניה וקנדה, הנפיקו אתמול (ד') מסמך שבו הם מביעים חשש כי עלולה להיות בקרוב מתקפה דומה בהיקפה לזו שבוצעה על סולארווינדס, שגרמה לנזקים רבים.

המסמך כולל המלצות מעשיות מעודכנות לאבטחת סייבר עבור ספקיות שירותים מנוהלים (MSPs), כדי להבטיח ששרשראות האספקה בעולם תישארנה מאובטחות. חמש המדינות ציינו בו כי "יש לבחון את ההקשר של המתקפה המתוקשרת על שרשרת האספקה, כפי שבאה לידי ביטוי בפגיעה בסולארווינדס, ועל ספקיות השירותים לעשות זאת כעת במשנה תוקף – במיוחד עכשיו, כשרוסיה פלשה לאוקראינה".

לפי מובילי הגנת הסייבר של Five Eyes, "מורכבות התקיפה לא צריכה להיות נקודת המוקד. במקום זאת, על ספקיות השירותים לשקול את ההשפעה הכוללת של המתקפה (משמע, היקף הארגונים שנפגעו ועוצמת הנזק – י"ה)".

קצת היסטוריה

קבוצת ההאקרים APT29 התפרסמה בביצוע מתקפת הענק שהחלה בסולארווינדס ב-2019, התגלתה ב-2020, ומשם המשיכה לעשרות סוכנויות אמריקניות פדרליות ולמאות ארגונים ברחבי העולם. הקבוצה, שידועה גם בשם Cozy Bear (דובי חמים ונעים), מקושרת ל-SVR ולעתים גם ל-FSB – שירות הביטחון הפדרלי הרוסי, ה-"יורש" של הקג"ב. זמן מה לאחר חשיפת הפריצה לסולארווינדס קבעו גורמי ביון מערביים כי הקבוצה היא האחראית למתקפת הסייבר הענקית, אף שמוסקבה, כצפוי, הכחישה זאת כמה פעמים.

APT29 אף קושרה לפריצה למחשבי המפלגה הדמוקרטית בארצות הברית במהלך המרוץ לנשיאות בין הילרי קלינטון ודונלד טראמפ ב-2016. מיקרוסופט קבעה בעבר שהמתקפה הרוסית על סולארווינדס הייתה מתקפת הסייבר המתוחכמת ביותר בהיסטוריה, שבוצעה על ידי יותר מ-1,000 מהנדסים.

"ארגונים צריכים להבטיח ביצוע בקרות אפקטיביות"

לדברי לינדי קמרון, ראשת מערך הסייבר בבריטניה, ה-NCSC, "המסמך שהנפקנו יחד עם שותפים בינלאומיים שלנו נועד להעלות את המודעות של ארגונים לאיום הגובר של מתקפות על שרשראות האספקה והצעדים שהם יכולים לנקוט, על מנת להפחית את הסיכון שלהם".

"פגיעויות בעולם שרשרת האספקה הן בין איומי הסייבר המשמעותיים ביותר, הניצבים בפני ארגונים כיום", ציינה ליסה פונג, מנהלת מערך הסייבר הלאומי בניו זילנד. "ארגונים צריכים להבטיח שהם מיישמים בקרות אפקטיביות כדי להפחית את הסיכון של פרצות סייבר במערכות שלהם – באמצעות ספקיות טכנולוגיה בכלל וספקיות שירותים מנוהלים בפרט. ארגונים נדרשים להיות מוכנים להגיב ביעילות כאשר מתעוררות בעיות".

לפי חמש סוכנויות האבטחה, "עלולים לחלוף חודשים עד שתתגלה מתקפת סייבר – או פריצה בסייבר. לכן, ההמלצה שלנו היא לשמור את היומנים החשובים, שבהם יש תיעוד ורישום של לוגים, למשך שישה חודשים לפחות". בנוסף, נכתב, "על הארגונים לדרוש מספקיות השירותים להעניק להם יכולות נראות רשתית". עוד ממליצים גורמי הגנת הסייבר של חמש מדינות הברית להשתמש באימות מרובה גורמים – MFA. לדבריהם, "זהו אחד האמצעים שארגונים יכולים לנקוט בקלות, כדי לשפר באופן דרסטי את רמת אבטחת הסייבר שלהם, עם אבטחת גישה מרחוק למערכות ו/או הגנה על תשתית קריטית".

הנחיות נוספות

עוד נכתב במסמך המשותף כי "ספקיות השירותים צריכות לערוך ניהול סיכונים לארכיטקטורות הפנימיות שלהן ולבצע הפרדת רשתות פנימיות. הן נדרשות, במידת האפשר, להבטיח שיש להן מערכות עסקיות קריטיות מבודדות ברשתות שלהן, ולבצע שורת פעולות שיגבילו את ההשפעה של המתקפות".

"מומלץ ללקוחות הארגוניים לבדוק ולאמת את חיבורי הרשת, תוך הקפדה על שימוש ב-VPN ייעודי, כדי להתחבר לתשתית של ספקית השירותים המנוהלים", צוין. "עליהם להבטיח שהרשתות המופעלות בינם ובין הספקיות – מופרדות".

הנחייה נוספת היא "להבטיח שמשתמשים פנימיים וחיצוניים יקבלו את הרשאות המשתמש הנכונות ולא תתאפשר גישה בלתי הולמת למשתמשים שלא זקוקים לה". עוד הנחיות במסמך דנות בצורך "לנהל, באופן יזום, את חשבונות המשתמשים, ואת תשתית הרשת שלהם – כדי להסיר או לבטל חשבונות משתמש שאינם בשימוש, או להשבית מערכות ושירותי רשת שאינם בשימוש". עוד מצוין במסמך נושא העדכונים והתיקונים של הפגיעויות של הארגונים: "יש להבטיח שכל תוכנה מאובטחת מפני המתקפות העדכניות ביותר".

המסמך מסתיים באזכור של עוד שני נושאים: "נפגעי מתקפות כופרה זוכים לעתים קרובות לביקורת, על כך שאין להם תוכניות גיבוי מקיפות, מה שמוביל אותן לשלם את דמי הכופר בסבירות רבה יותר. יש לעדכן את הגיבויים הללו באופן קבוע, ולהרחיק אותם מחיבורי הרשת, שניתן להשתמש בהם כדי להפיץ תוכנות כופר ברחבי הארגון. כמו כן, יש לפתח תוכניות תגובה והתאוששות לאירועים, עם עותקים דיגיטליים ופיזיים כאחד, ויש לתרגל אותן באופן קבוע ולהבטיח שכל האנשים המעורבים באסטרטגיית ההתאוששות מאומנים באופן מלא כיצד להגיב כראוי".