מתקפת הסייבר על "שירביט" מצטרפת לגל מתקפות על ארגונים בארץ ובעולם המצביע עלשינוי מהותי בדפוסי הפעולה של התוקפים. אם בעבר מתקפות היו "שקטות" ונועדו בעיקר עבור גניבת מידע, הדפוס שרואים כיום הוא התבססות של התוקפים ותכנון שעת "שין" ליצירת נזק רוחבי תוך התמקדות בפגיעה תפעולית ותדמיתית. דוגמה לכך היא המגמה של מתקפות הכופרה מסוג Wiper ransomware. כולנו שמענו על ארגון שנפגע או שחווינו זאת אישית - פותחים צרופת אימייל (Attachment) ולפני שיודעים זאת, מתקפה משתלטת על המחשב ומצפינה את הקבצים. במציאות הנוכחית, התרחיש חמור הרבהיותר, כשההאקרים מתמקדים ב"מחיקה" רוחבית של הארגון. הפריצה הראשונית מושגת במגוון דרכים - הורדת קובץ מאתר לגיטימי שנפגע, מתקפות "דיוג" (פישינג) בדואר, קבלת קבצים משרשרת האספקה וחדירה דרך חולשות נוספות במערך האבטחה. במקרים רבים נעשה "מיחזור" ואריזה מחדש של פוגען ידוע כדי שיוכל להתגבר על מערכות לזיהוי איומים. ברגע שהושגה האחיזה הראשונית מתחיל רצף של אירועים. התוקפים מאתרים חולשות ברשת הארגונית, לעתים עם כלי פריצה (pentest) מסחריים. החולשות מאפשרות השגת שליטה מרבית על נקודות הקצה,השרתים, הגיבויים ואחסון הענן של יעד התקיפה. הפצת המתקפה מתבצעת על ידי רכיב"תולעת" (worm) למעבר מרשתות מנהלתיות אל הרשתות התפעוליות והרגישות של הארגון. שלב זה עשוי להימשך מספר שבועות תוך מעורבות פעילה וממוקדת מצד התוקפים. חלק משמעותי בשלב זה הוא גניבת מידע רגיש כדי שישמש כמנוף להפעלת לחצים בהמשך. לאחר שהשליטה על הארגון הושגה, תוכנת הצפנה מופעלת בצורה מסונכרנת כדי להשיג שיבוש ארגוני נרחב ומהיר, כך שהארגון לא יוכל לעצור את התפשטות הנזק. לאחרונה ישנה גם מגמה של הצפנה בלתי הפיכה למחשבים שנפגעו, כך שמטרת התקיפה הינה השבתת היעד ולאו דווקא תשלום כופר. ראיונות עם האקרים שמאחורי התקיפות מגלים כי הדפוס אינו מקרי. התקיפה הרוחבית יוצרת מנגנון שמפעיל על המותקף לחץ לשלם את הכופר, הן כדי לשחרר את ההצפנה והן כדי למנוע נזק תדמיתי וכספי עקב הדלפת המידע.
במציאות של האיומים הנוכחיים חשוב מתמיד שארגונים יפרסו מערך הגנה מבוסס שכבות ממגוון טכנולוגיות, ולוודא שהתשתית הקיימת מיושמת באופן מיטבי. במקביל, יש לבחון אילו פערי הגנה קיימים. על פי דו"ח מחקר של חברת Verizon, קרוב ל-50% מהמתקפות מגיעות דרך קבצים. מסמכי "עבודה" ובמיוחד קבצי PDF ו-MS-Office מהווים ווקטור תקיפה מרכזי, עקב קלות ההטמעה של נוזקות כך שיוכלו להתגבר על סריקת AV סטטית, ניתוח דינמי באמצעות Sandbox או באמצעות כלי זיהוי בנקודת הקצה. מערכות "הלבנה" או Content Disarm and Reconstruction (CDR) הן כלי מוכח למניעה מראש של השלב הראשוני של החדרת קבצים פוגעניים לארגון, ובכך עצירת שרשרת התקיפה. המערכות המובילות, כגון GateScanner מבית SasaSoftware משלבות את מיטב כלי הזיהוי, לרבות מערכות NextGenAV, כדי לנפות מראש קבצים נגועים, אשר "עברו" שכבות הגנה קודמות. אך מערכות הלבנה יוצאות מנקודת הנחה שזיהוי איומים עשוי להיכשל ולכן מפעילות תהליך נטרול איומים שהופך כל קובץ שנכנס להעתק בלתי מזיק, ובכך מונעות איומים מתקדמים ובלתי ניתנים לזיהוי, לרבות מתקפות אשר מעולם לא נראו לפני כן.
שימוש במערכות הלבנה נפוץ מזהשנים רבות בישראל, וכעת רואים אימוץ בינלאומי נרחב, לרבות המלצה של חברת האנליסטים גרטנר לשילוב CDR כשכבת הגנה חיונית לכלל האוכלוסייה. את החשיבות של השימוש בהן ניתן לראות בכך שסאסא סופטוור הוכרזה עלידי גרטנר כ-“CoolVendor” להגנה על תשתיות קריטיות Cyber-Physical Security. אם בעבר השימוש במערכות "הלבנה" היה בעיקר בכדי להגן על רשתות רגישות, הרי שכיום גוברת ההבנה שיש לחבר את המערכות אל מכלול הדרכים להעברת קבצים לתוך וגם אל מחוץ לארגון. ערוצי תקשורת קריטיים הם דואר אלקטרוני, הורדות קבצים מגלישה, שיתוף קבצים, כספות ומגוון רחב של אפליקציות ומערכות צד שלישי. תקופת הקורונה והעבודה מהבית מייצרים אתגרים נוספים. עובדים רבים נמצאים בסביבה שאינה מבוקרת אבטחתית, ואף משתמשים במחשבים אישיים שאינם מותקנים עם כלי ההגנה הארגוניים. לכן, המציאות מייצרת חשיפה מוגברת כיוון שעובדים ולקוחות עשויים לשלוח קבצים ממחשבים אישיים שנפגעו.
לדוגמה, במגזר הבריאות נדרש לצמצם הגעה פיזית של מטופלים אל המרפאות, ובעקבות זאת חל גידול בתקשורת מרחוק עם הצוות הרפואי. כדי לשפר את רמת האבטחה, אסותא מרכזים רפואיים, במסגרת פרויקט שביצעה Deloitte, מפעילה כיום את GateScanner CDR על כל הקבצים שמטופלים שולחים לתוך ה-Salesforce CRM הארגוני. כדי לתת מענה נרחב, סאסא סופטוור השיקה מגוון מוצרים כשירות, SaaS. בשיתוף פעולה עם MedOne, לקוחות בישראל יכולים כעת להגן על מגוון ערוצים, לרבות הדואר הארגוני כולל חיבור ישיר ל -Office 365, להשתמש במערכת ייעודית לניהול תוכן, ולחבר מגוון רחב של אפליקציות באמצעות מנגנון REST API.
לסיכום,
נקודת מפנה חלה השנה גם באיומי סייבר מדינתיים. במתקפה שיוחסה לאיראן, נפגעה חברת התוכנה "עמיטל" כמו גם עשרות מלקוחותיה בתחום השינוע והלוגיסטיקה. האם מטרת מתקפה זו הינה גם שיבוש מערך הפצת חיסוני הקורונה? הרי איראן כבר ניסתה לפגוע במערכות המים בישראל. דפוסי ההגנה שנועדו למנוע את המתקפותה"שקטות" מהעבר רלוונטיים גם כיום, אך רמת הסיכון עלתה ברמה ניכרת. להגנה מיטבית הכרחי ליישם מנגנוני הגנה המתבססים על מניעה מראש. מערכות הלבנה הן רכיב חיוני בגישה זו, וכעת זמינות גם לקהל הרחב.
הכותב הוא מנכ"ל סאסאסופטוור, yeroslav@sasa-software.com
