Close
שליחת קורות חיים

מתקפות סייבר – האם אנחנו באמת מוגנים?

25/03/2015

*נמרוד לוי
למרות שמתקפות סייבר הן אינן סוגיה חדשה, הן עדיין מצליחות לגרום לפאניקה ציבורית רחבה – ובצדק: פריצה למערכות ארגוניות היא הרבה יותר קלה ממה שאתם חושבים, לא בגלל היעדרן של מערכות ההגנה, אלא בגלל השימוש הלקוי בהן
מתקפות סייבר. בשנתיים האחרונות צמד המילים הזה הפך להיות באזז בטחוני, כמעט כמו "אירן" או "דאעש". למרות שלא מדובר בסוגיה חדשה, ולמרות שטכנולוגיות ההתמגנות בתחום, ההולכות ומתפתחות, הופכות לאחד ממנועי הצמיחה החשובים בעולם המחשוב, איכשהו, מתקפות הסייבר עדיין מצליחות להעלות את רמת הפאניקה הציבורית (הן במגזר הפרטי והן בזה העסקי) לעיתים קרובות. סקירה לא דקדקנית של החודשים האחרונים מעלה לא מעט מקרים זכורים: דליפת תמונות העירום של כוכבות הוליוודיות; כנופיית Carbanak שהצליחה, די בקלות, לגנוב מיליארד דולר מ- 100 מוסדות פיננסים בעולם; התקליט של מדונה; חשיפת פרטי האשראי של מליוני לקוחות רשת  Target  וכמובן – הפריצה למחשבי סוני. זאת מבלי להזכיר את ימי המתקפות המרוכזים, המוכרזים, בעיקר על מטרות ישראליות, על ידי קבוצות שונות, בהן אנונימוס וספיחיה השונים. שאלה לגיטימית היא איך, למרות הכל, זה עדיין קורה?
פריצה למערכת ארגונית – יותר קל ממה שחשבתם
יש לא מעט תשובות לשאלה זו, אבל את כולן מרכיבה עובדה בסיסית משותפת: לפרוץ למערכות ארגוניות זה למעשה הרבה יותר קל ממה שאתם עלולים לחשוב. הקלות היא לא נגזרת של היעדר של מערכות הגנה: אלו קיימות כיום בכל ארגון, אלא עקב שימוש לקוי במקרה הטוב, או שגוי לחלוטין במקרים הרעים יותר. הדבר לא נעשה במזיד. יש להבין: לא מעט שיקולים עסקיים ולוגיסטיים עומדים לצד אופן תפעול מערכות ההגנה הארגוניות, ואלה מתנגשים לא מעט פעמים עם צרכי ההגנה האמיתיים ועול דרישות הרגולציה.
כך למשל, לא כל ארגון מחזיק מערכות להגנה מפני חיבור התקנים לא מאושרים (בעיקרון, כל התקן שמתחבר למחשב, דרך חיבור USB או חיבורים אחרים), מפני ששיקול זה מושפע מעלויות של המוצר. כמו כן לעיתים רבות קיים שיקול של "נוחות המשתמש" מה שגורר פרצת אבטחה גדולה. הדרך גם לייצר נוחות למשתמש וגם להישאר מאובטחים על ידי שימוש בפתרונות הלבנה לדוגמא, היא גם יקרה וגם מורכבת לתחזוקה ולכן ארגונים רבים מרימים ידיים עוד בשלבי התכנון.
לא רק בנושא עלות הפתרונות יש פערים: מערכות הגנה דוגמת FireWall מחייבות שימוש נכון, אחרת הן יכולות לגרום הרבה יותר נזק מאשר תועלת. כך גם אנטי וירוסים שלא עוברים עדכון יומי, מערכות הפעלה ישנות (ארגונים רבים עדיין משתמשים בחלונות XP, שכבר לא זוכה לעדכוני אבטחה ממיקרוסופט), גישה לא מאובטחת לממשקי ניהול, הגדרות לקויות ועוד.
מערכות מודרניות יודעות ללמוד את הפעילות השגרתית בארגון, וכך, כאשר פעילות שאינה שגרתית מתבצעת – המערכת תדע לזהות אותה. בפועל, לא מעט פעמים נתקלתי במערכות שנותרו למשך תקופה ארוכה על ההגדרה הדיפולטיבית של "למידת" הארגון. במקרה הזה המערכת "לומדת" גם את הפרצות, המעקפים והתקיפות, ומגדירה אותן כשגרתיות. זו נקודת התורפה הראשונה שהתוקפים מחפשים. כך, אגב, התבצעה הפריצה למערכותיה של סוני: פריצה למחשב "נידח" – של משתמש בדרגה זוטר, עליו הביקורת נמוכה יותר או לא קיימת כלל, וממנו מגיעים לאיזור המרכזי. התוקפים יודעים שהאזורים המרכזיים מבוקרים, ולכן מחפשים נקודות גישה במחשבים נידחים.
לצד אלו, כמובן, קיימים איומי הפריצה בזמן אמת (Real Time) – התחברות פיזית למחשבי הארגון וחיבור התקן פשוט, לדוגמה דיסק און קי המזדהה כמקלדת (בעגה המקצועית הוא נקרא Programmable HID USB Keystroke Dongle) שיודע להקליד באופן אוטומטי ובאמצעות כך לדוגמא, לייצר סקריפט אשר משתלט על המחשב הנתקף, ואפילו על חשבון האדמין – מה שיכול לתת שליטה, למעשה, על הארגון כולו. פריצה ב-60 שניות. המניעה במקרים כאלו קשורה לא מעט בחינוך עובדים לאבטחת מידע, אבל לא באמת ניתן להסתמך רק על כך: חישבו, כמה פעמים השאירה אתכם הפקידה בבנק לבדכם בעמדה? עזבתם את העמדה שלכם בעבודה כדי להכין קפה? או להבדיל – האם טרחתם לכבות את המחשב שלכם לפני שקפצתם למרחב המוגן בימי צוק איתן? חיבור ההתקן זה החלק הקל, החוכמה הארגונית היא לא רק לחנך את העובדים, אלא גם לעשות חסימות ספציפיות ברמה הטכנולוגית.
שוגים בתפיסת ההגנה
בפועל, ארגונים רבים שוגים בתפיסה ההגנה. זה לא שמערכות ההגנה שהם רוכשים אינן טובות דיין, להיפך, שוק אבטחת המידע הוא שוק בצמיחה, המציע מגוון פתרונות מעולים לאתגרים רבים, אלא שהלקוחות לא משתמשים בהם כמו שצריך. ארגונים קונים מוצרים במיליונים, אבל חוסכים בפונקציה שאמורה לדאוג שהמוצרים הללו עובדים כמו שצריך – אולי כדי לצאת ידי חובה אל מול הרגולטור, אולי כדי להשקיט את המצפון. זה קורה בבנקים, בתי חולים, קופות תשלום, משרדים ממשלתיים ועוד.
הפתרון הוא פשוט יחסית, אך מצריך משאבים: ארגונים צריכים להתאים את הגדרות מוצרי ההגנה  על פי הרציונאליות הארגונית: לעבוד על מה שצריך ולוותר על מה שלא. זאת הדרך הבטוחה לחסום לפחות 70% מהתוקפים. כשלוקחים בחשבון שישנן אינסוף אפשרויות לפריצה, וביקורת בסיסית תספק פתרון נקודתי ללא בדיקה מעמיקה והיקפית, עולה הצורך באיש Hands on  שיידע לשים את הפיירוול במקום הנכון, להפעיל את מערכות הלמידה ולהפסיקן במועד, ולטייב את כלל מערכות ההגנה באופן המותאם אישית לארגון בו הוא עובד.
ומילה אופטימית לסיום: לאחרונה הוקמה הרשות הלאומית לסייבר, שאמורה לרכז ולהתריע בפני תקיפות אפשריות, ולעבוד בצמוד לארגונים אזרחיים הנוגעים בתחום. אחת המשימות הראשונות בפתחה הוא התמודדות עם ליקויים אלו, כדי לשמור על המידע של כולנו מוגן ובטוח. בהצלחה.
 *נימרוד לוי הוא יועץ אבטחת מידע בכיר ב-2BSecure מבית מטריקס