מיתוס מס' 1: "הבעיה לא קיימת! ואם היא קיימת זה רק במאבקים בין מדינות!"
ובגרסה האחרת שלו: "אם האיום הוא כזה ממשי ומתגבר, למה בעצם לא שומעים על זה הרבה?". אז זהו שלא! רוב הארגונים מאוד מסתייגים מלחלוק את העובדה שסיכון הנכסים של הארגון נעשה באמצעים פיזיים, כיוון שזה מציג באור מאוד שלילי את האבטחה הפיזית של הארגון, או לחילופין הם סבורים בטעות שהתקפה מסויימת נבעה מ - PHISHING או מעובד שלחץ על לינק שאיכשהו הצליח להסתנן מבעד למערכות ההגנה כשבפועל באמצעות שימוש בכלי תקיפה זולים ופשוטים אפשר לייצר את אותה הנגישות עם אותה חתימה פורנזית. בחינה של תקני אבטחת מידע (NIST CMMC, GDPR) מגלה שנושא ה-Hardware assets "מככב" בראש הרשימה. לא השתכנעתם? בואו נסתכל על דוגמא שכן מקבלת תהודה ציבורית, התקפות על ATM, להלן "הנכס", המוגן פיזית (כספת, מגנוני ANTI TAMPERING) ווירטואלית (הקשחה של מערכת הפעלה, ניהול Privileged users, נעילת פורטים, IDS , IPS, DLP) ונחשו מה? 2020 היתה השנה הכי טובה (מבחינת התוקפים) עם מספר רב של התקפות מוצלחות באמצעות BLACK BOX (התקן חומרה שמאפשר לבצע USB MiTM) ובאמצעות Physical Layer implants (תקיפה דרך כבל הרשת שמחובר ל- ATM). עד כמה הנכס שלך, שמחובר כרגע בסלון של העובד שלך, מוגן טוב יותר מ-ATM?
מיתוס מס' 2: "אנחנו מוגנים!"
כדי לדעת מה הנכסים המוגנים, צריך ראשית לדעת מהם הנכסים. בוחן פתע! כמה זמן ייקח לכם לענות על השאלה: האם (וכמה) עכברים אלחוטיים של LOGITECH יש במחלקת R&D? במועד חידוש חוזה תחזוקה למצלמות של HIKIVISION, מחלקת הרכש מבקשת לדעת כמה כאלה יש לנו? האם ישנם מתגים שלא עברו עדכוני אבטחה קריטיים? אם אתם צריכים לחכות יותר מעשר שניות כדי לקבל תשובות, אז "יוסטון, יש לנו בעיה!".
נכון, שמתם דלת פלדה עם אין-סוף מנעולים, מגדלי תצפית, דחלילים להטעייה, אבל התעלמתם מעובדה אחת חשובה - התוקפים הפוטנציאלים תמיד חכמים ויודעים לבצע את ההתאמות הנדרשות. מה שתקף באתגרי העולם הפיזי, תקף גם בעולם הסייבר. רוצים דוגמה? בבקשה - כשהחמאס הבין שפני השטח מכוסים בצורה כמעט הרמטית על-ידי תצפיתניות ואמצעים טכנולוגיים אחרים, הוא ביצע את ההתאמות הנדרשות ועבר אל מתחת לפני השטח ולמשך מספר שנים לא מועט, ניצל את חסרונן של מערכות זיהוי בתחום. בעולם שלנו, התוקפים יודעים בדיוק מה אמצעי ההגנה שברשותכם! וגם אם ה- EPS , NAC , IDS שברשותכם עושים עבודה נהדרת בהתקפות המתרחשות ב-LAYER 2 ומעלה, התוקפים השכילו להבין מהן ה-Blind Spots בפתרונות הללו והחלו לעשות שימוש באמצעי תקיפה ב-LAYER 1 (השכבה הפיזית) ונהנים מהעובדה שרוב הארגונים טרם סגרו את הפרצה הזו.
מיתוס מס' 3: "את מי אנחנו מעניינים?"
לכל ארגון יש נכסים הקורצים ליריבים חיצוניים. אתם מעניינים הרבה יותר ממה שאתם חושבים, גם אם אתם לא כור גרעיני או מעבדה שמפתחת חיסון לקורונה. מעבר לדוגמאות הברורות של הונאות פיננסיות והתקפות על תשתיות קריטיות, שתמיד "מככבות" במצעד האירועים, קיימות דוגמאות נוספות רבות. אם מתחרה שלכם מעוניין להשיג מידע בנוגע לתרכובת פולימרית מסויימת שאתם שוקדים עליה – הוא ירצה לשים יד על מאגר הלקוחות שלכם ב-HUB SPOT, על הגשות פטנט, על טיוטת דו"ח Due diligence לפני M&A שמתנהל בדיסקרטיות ואז יש לו שתי אפשרויות: הראשונה, ללכת "ראש בראש" אל מול פתרונות האבטחה הקיימים ולנסות להתחכם ולעקוף אותם. השנייה, ללכת לאזורים בהם ההגנה דלילה (אם בכלל).
אם תבחנו את מתקפות ה-RANSOMWARE, תגלו שהתופעה לא מוגבלת לתחום מסויים או להיקף מסויים של ארגונים. עכשיו כשהפנמתם שמתקפות אלו עלולות לחדור לארגון גם דרך התקני החומרה (אם אתם רוצים לראות הדגמה של התקפה שכזו, דברו איתנו), תבינו שאתם הרבה יותר "על הכוונת" ממה ששיערתם.
מיתוס מס' 4: "אצלנו אסור להשתמש ב-USB והכל חסום! "
הצהרה ששמענו אין-ספור פעמים. מה שבאמת עומד מאחוריה זה שימוש ביכולות ה-WHITE LISTING בפתרונות DEVICE CONTROL, EPS/EDR בדרך כלל כדי לחסום התקני אחסון, טלפונים, מצלמות מקלדות ועכברים עם VID/PID מסויימים וכדומה. כששואלים את מנהל אבטחת המידע: "או.קיי., איך אנשים מקלידים?", התשובה היא: "אה, ברור, במקלדת!". ואיך היא מחוברת? "בחיבור USB". איכשהו נוצרה אבחנה לא מובנית בין התקני HID "לשאר ההתקנים". מקלדת ועכבר תמיד יהיו שם, וכל עוד הם שם, גם ההתקנים המתחזים להם יהיו שם.
מיתוס מס' 5: "אם העובדים שלי עובדים ב- VPN, VDI, או RDP, למה אני צריך לדאוג?"
בסופו של דבר, בקצה מערכת המיחשוב, קיים בן-אדם שצריך להקליד או לנווט באמצעות עכבר. כלי תקיפה המתחזים בצורה מושלמת (מבחינה לוגית) להתקני HID, מתחזים בעצם לבן אנוש שמקליד פקודות (עם רנדומליות בהקשות כדי למנוע זיהוי) כך שהעובדה שתחנת הקצה נמצאת בענן או ב- REMOTE על תחנה פיזית מרוחקת, אינה משנה או מקהה את יעילות ההתקפה.
מיתוס מס' 6: "אין מה לעשות, זה עוד איום שנצטרך לחיות איתו במטריצת הסיכונים!"
חדשות מצויינות סוף-סוף! הצלחנו לייצר פתרון שמספק Visibility לכל נכסי הארגון (בין אם הם IT/OT/IoT), יכולת אכיפה של הנחיות (Policy Enforcement) בהתאם לסוג ההתקן, המחלקה בארגון והעובד הספציפי בבית וכמובן, היכולת לזהות תקיפות דרך ממשק ה- USB (HID Emulators, NIC manipulator וכדומה) או דרך ממשק ה- ETHERNET (PASSIVE TAPS, SPOOFING DEVICES , UNMANGED SWITCHES וכדומה).
פתרון ה-HAC-1 שלנו, ניתן להטמעה בקלות. כמה בקלות? תנו לנו 24 שעות ותיווכחו בעצמכם. הערך שהיכולות הייחודיות שלו מספקות, הן לאנשי ה-IT והתשתיות אצלכם והן לאנשי אבטחת המידע, ויכולת השילוב שלו במערך האבטחה הקיים שלכם (באמצעות אינטגרציה מובנית לפתרונות אבטחה מובילים בשוק) יתנו BOOST לרמת השליטה והאבטחה שלכם, והכי חשוב - בפעם הבאה שתוקף פוטנציאלי יבחן את הארגון שלכם, הוא יעדיף לעבור למתחרים שלכם...
הכותבת היא מנהלת המדיה החברתית בחברת Sepio Systems
