High Tech Magazine

0 3 ‹ מגזין ההייטק הישראלי ‹ הגנת סייבר / כלכליסט המחלקה המסחרית - תוכן שיווקי 2020 דצמבר הסייבר על "שירביט" מצטרפת לגל מתקפת מתקפות על ארגונים בארץ ובעולם המצביעות על שינוי מהותי בדפוסי הפעולה של התוקפים. אם בעבר מתקפות היו "שקטות" ונועדו בעיקר עבור גניבת מידע, הדפוס שרואים כיום הוא התבססות של התוקפים ותכנון שעת "שין" ליצירת נזק רוחבי, תוך התמקדות בפגיעה תפעולית ותדמיתית. דוגמה לכך היא המגמה של מתקפות הכופרה . Wiper ransomware מסוג כולנו שמענו על ארגון שנפגע או שחווינו זאת אישית - ) ולפני Attachment פותחים צרופת אימייל ( שיודעים זאת, מתקפה משתלטת על המחשב ומצפינה את הקבצים. במציאות הנוכחית, התרחיש חמור הרבה יותר, כשההאקרים מתמקדים ב"מחיקה" רוחבית של הארגון. הפריצה הראשונית מושגת במגוון דרכים - הורדת קובץ מאתר לגיטימי שנפגע, מתקפות "דיוג" (פישינג) בדואר, קבלת קבצים משרשרת האספקה וחדירה דרך חולשות נוספות במערך האבטחה. במקרים רבים נעשה "מיחזור" ואריזה מחדש של פוגען ידוע כדי שיוכל להתגבר על מערכות לזיהוי איומים. ברגע שהושגה האחיזה הראשונית מתחיל רצף של אירועים. התוקפים מאתרים חולשות ) pentest ברשת הארגונית, לעתים עם כלי פריצה ( מסחריים. החולשות מאפשרות השגת שליטה מרבית על נקודות הקצה, השרתים, הגיבויים ואחסון הענן של יעד התקיפה. הפצת המתקפה מתבצעת על ידי רכיב ) למעבר מרשתות מנהלתיות אל worm "תולעת" ( הרשתות התפעוליות והרגישות של הארגון. שלב זה עשוי להימשך מספר שבועות תוך מעורבות פעילה וממוקדת מצד התוקפים. חלק משמעותי בשלב זה הוא גניבת מידע רגיש כדי שישמש כמנוף להפעלת לחצים בהמשך. לאחר שהשליטה על הארגון הושגה, תוכנת הצפנה מופעלת בצורה מסונכרנת כדי להשיג שיבוש ארגוני נרחב ומהיר, כך שהארגון לא יוכל לעצור את התפשטות הנזק. לאחרונה ישנה גם מגמה של הצפנה בלתי הפיכה למחשבים שנפגעו, כך שמטרת התקיפה היא השבתת היעד ולאו דווקא תשלום כופר. ראיונות עם האקרים שמאחורי התקיפות מגלים כי הדפוס אינו מקרי. התקיפה הרוחבית יוצרת מנגנון שמפעיל על המותקף לחץ לשלם את הכופר, הן כדי לשחרר את ההצפנה והן כדי למנוע נזק תדמיתי וכספי עקב הדלפת המידע. אז מה ניתן לעשות? במציאות של האיומים הנוכחיים חשוב מתמיד שארגונים יפרסו מערך הגנה מבוסס שכבות ממגוון טכנולוגיות, ויוודאו שהתשתית הקיימת מיושמת באופן מיטבי. במקביל, יש לבחון אילו פערי הגנה קיימים. על פי דו"ח מחקר של חברת מהמתקפות 50%- , קרוב ל Verizon מגיעות דרך קבצים. מסמכי "עבודה" MS - Office ו- PDF ובמיוחד קבצי מהווים ווקטור תקיפה מרכזי, עקב קלות ההטמעה של נוזקות כך שיוכלו סטטית AV להתגבר על סריקת Sandbox וניתוח דינמי באמצעות או באמצעות כלי זיהוי בנקודת הקצה. Content מערכות "הלבנה" או הן כלי מוכח (CDR) Disarm and Reconstruction למניעה מראש של השלב הראשוני של החדרת קבצים פוגעניים לארגון, ובכך עצירת שרשרת התקיפה. Sasa מבית GateScanner המערכות המובילות, כגון משלבות את מיטב כלי הזיהוי, לרבות מערכות Software , כדי לנפות מראש קבצים נגועים, אשר NextGen AV "עברו" שכבות הגנה קודמות. אך מערכות הלבנה יוצאות מנקודת הנחה שזיהוי איומים עשוי להיכשל ולכן מפעילות תהליך נטרול איומים שהופך כל קובץ שנכנס להעתק בלתי מזיק, ובכך מונעות איומים מתקדמים ובלתי ניתנים לזיהוי, לרבות מתקפות אשר מעולם לא נראו לפני כן. שימוש במערכות הלבנה נפוץ מזה שנים רבות בישראל, וכעת רואים אימוץ בינלאומי נרחב, לרבות המלצה של כשכבת הגנה CDR חברת האנליסטים גרטנר לשילוב חיונית לכלל האוכלוסייה. את החשיבות של השימוש בהן ניתן לראות בכך שסאסא סופטוור הוכרזה על ידי ” להגנה על תשתיות קריטיות Cool Vendor גרטנר כ-“ . Cyber - Physical Security אם בעבר השימוש במערכות "הלבנה" היה בעיקר בכדי להגן על רשתות רגישות, הרי שכיום גוברת ההבנה שיש לחבר את המערכות אל מכלול הדרכים להעברת קבצים לתוך וגם אל מחוץ לארגון. ערוצי תקשורת קריטיים הם דואר אלקטרוני, הורדות קבצים מגלישה, שיתוף קבצים, כספות ומגוון רחב של אפליקציות ומערכות צד שלישי. תקופת הקורונה והעבודה מהבית מייצרות אתגרים נוספים. עובדים רבים נמצאים בסביבה שאינה מבוקרת אבטחתית, ואף משתמשים במחשבים אישיים שאינם מותקנים עם כלי ההגנה הארגוניים. לכן, המציאות מייצרת חשיפה מוגברת כיוון שעובדים ולקוחות עשויים לשלוח קבצים ממחשבים אישיים שנפגעו. לדוגמה, במגזר הבריאות נדרשו המטופלים לצמצם הגעה למרפאות, ולכן חל גידול ניכר בתקשורת מרחוק עם הצוות הרפואי. כדי לשפר את רמת האבטחה, אסותא , Deloitte מרכזים רפואיים, במסגרת פרויקט שביצעה על כל הקבצים GateScanner CDR מפעילה כיום את הארגוני. Salesforce CRM שמטופלים שולחים לתוך ה- כדי לתת מענה נרחב, סאסא סופטוור השיקה מגוון , MedOne . בשיתוף פעולה עם SaaS מוצרים כשירות, לקוחות בישראל יכולים כעת להגן על מגוון ערוצים, , Office 365 לרבות הדואר הארגוני כולל חיבור ישיר ל- להשתמש במערכת ייעודית לניהול תוכן, ולחבר מגוון . REST API רחב של אפליקציות באמצעות מנגנון לסיכום, נקודת מפנה חלה השנה גם באיומי סייבר מדינתיים. במתקפה שיוחסה לאיראן, נפגעה חברת התוכנה "עמיטל" כמו גם עשרות מלקוחותיה בתחום השינוע והלוגיסטיקה. האם מטרת מתקפה זו הינה גם שיבוש מערך הפצת חיסוני הקורונה? הרי איראן כבר ניסתה לפגוע במערכות המים בישראל. דפוסי ההגנה שנועדו למנוע את המתקפות ה"שקטות" מהעבר רלוונטיים גם כיום, אך רמת הסיכון עלתה ברמה ניכרת. להגנה מיטבית הכרחי ליישם מנגנוני הגנה המתבססים על מניעה מראש. מערכות הלבנה הן רכיב חיוני בגישה זו, וכעת זמינות גם לקהל הרחב. האנטומיה של מתקפות סייבר כללי המשחק של המתקפות השתנו. מה אנו יכולים ללמוד מהאירועים יעקב ירוסלב האחרונים? / יענקלה ירוסלב, מנכ"ל סאסא סופטוור www.sasa-software.com , א תר: yeroslav@sasa-software.com הכ ותב הוא מנכ"ל סאסא סופטוור, החיבור של GateScanner Salesforce ל- CDR מאפשר הגנה CRM נרחבת לארגון התמונות באדיבות סאסא סופטוור