אחת השאלות הקשות שמתעוררת בעת התרחשות אירוע סייבר היא עד כמה אירוע מסוג זה עשוי להיות קטלני, כלומר לסכן את עצם קיומה של החברה, או שניתן להתמודד עימו ולהכיל את האירוע? "אנו מאמינים שניהול נכון של האירוע, תוך תגובה מהירה, מדוייקת ומובנית, יכול כמעט בכל המקרים למנוע את הרס חברה ולא פחות חשוב מזה - להפחית את הנזק בצורה משמעותית", אומר אריה זילברשטיין, סמנכ״ל Incident Response בחברת הייעוץ סיגניה (Sygnia), המסייעת לחברות להתמודד עם אירועי סייבר וצברה רקורד מרשים במיוחד של הצלחות בתחום. "אמנם ראינו ארגונים שנפגעו קשה ממתקפות, אולם אחרים הצליחו להתאושש ואפילו לצאת חזקים יותר, מכיוון שהאירוע אפשר להם להסתכל בעין נכוחה על הבעיות ולשפר את החוסן שלהם לעתיד. עם זאת, מדובר, בלי ספק, באירוע מכונן עבור חברות ולעיתים עשוי להיות מהמשברים הגדולים ביותר שחברה עלולה לחוות".
מה הדבר הראשון שצריך לעשות כדי למנוע מאירוע סייבר להיהפך לקטלני? מה הדרך של סיגניה להגיב לתקיפות?
"במתודולוגיה שלנו, התגובה לאירוע מתחלקת לשלושה שלבים, שבהם השלב הראשון הוא הקריטי ביותר - זוהי התגובה ב-24 עד 72 השעות ראשונות", משיב זילברשטיין. "שלב זה כולל חקירה אינטנסיבית ומהירה כדי להבין את תכלית התקיפה, תוך שימוש בטכנולוגיות ייחודיות שפיתחנו ; הנעה של פעילויות הכלה ראשונות כדי להסיר איום מיידי ולמגר התפשטות ; וייעוץ להנהלת הארגון בניהול המשבר - מול התוקף ומול גופים נוספים, כמו הלקוחות, העובדים, הממשל ועוד. חלק מהאירועים יסתיימו כבר בשלב הזה, בעוד שאירועים מורכבים, כגון מתקפת כופר, ימשכו לעוד שני שלבים: חקירת עומק לטובת מיפוי כלל הנכסים ופעילויות התוקפים ברשת, ולאחר מכן ולעיתים במקביל, בהתאם לממצאי החקירה - בנייה ומימוש של תוכנית תיקון והשבה כדי להחזיר את הרשת למצב תקין, נקי ושגרתי.
"הצלחת הטיפול והתגובה לאירוע מושפעות ממגוון משתנים, ובעיקרם מהירות, איכות ונחרצות התגובה", הוא מוסיף. "בנוסף, גם יכולת טכנולוגית להגיב באופן אופטימלי והימצאות המשאבים, ובפרט האנשים המתאימים, משפיעות רבות על יכולת התגובה. כאן מגיעה לידי ביטוי היכולת המיוחדת שלנו.
"יש לציין, שבנוסף לתגובה לאירוע עצמו, תרגול והיערכות מוקדמת הינה קריטית ליכולות של הארגון להבין אירועי סייבר ולהכין מבעוד מועד את התהליכים הארגוניים ואת הטכנולוגיות הנדרשות. היערכות מוקדמת ותרגול של אירוע משברי של כלל הגורמים המעורבים - מהדרגים הטכניים ועד דרכי הנהלה - עוזרת משמעותית לארגון להתמודד עם אירוע סייבר, לכשיקרה".
מניעה, זיהוי והכלה בזמן קצר
מתקפות סייבר והארגונים שעומדים מאחוריהן מהווים כיום תעשייה משגשגת ומתעצמת. בשנים האחרונות התוקפים אינם מבחינים בין ארגונים ומגזרים, ובשורה התחתונה כמעט אין ארגון שאינו יעד למתקפה.
המתקפה השכיחה ביותר היא מתקפה משולבת של סחיטה וכופרה המשלבות הצפנה של הרשת עם איום בהדלפת מידע רגיש על מנת לשכנע את הארגון לשלם כמה שיותר. לצד המתקפות בעלות האופי הפיננסי, השנה האחרונה הבליטה והזכירה שקיימות מתקפות חריגות בתחכום שלהן, רחבות היקף וחשאיות, שמכוונות לתכליות מדיניות, למשל, אירוע SolarWInds. תקיפה זו העמידה את המגזר הפרטי ואת הממשל האמרקאי מול שאלות קשות בדבר היכולת לזהות, למנוע ולהכיל מתקפות מורכבות מסוג זה. התוקף היה פעיל בחלק מהארגונים למעלה משנה, בלא מפריע, כולל בארגונים עם יכולות זיהוי מתקדמות.
"בהסתכלות על שני סוגי המתקפות הללו מתגלית תובנה מטרידה - ככל שעובר הזמן, מתעצם הדמיון בין מתקפות בעלות אופי מעצמתי ומתוחכם, למתקפות שמוציאים לפועל ארגוני פשיעה", מדגיש דוד ורשבסקי, סמנכ״ל Enterprise Security בסיגניה. "עבור הארגונים הנתקפים זהו אתגר משמעותי, מכיוון שרוב החברות אינן ערוכות ואין להן את המשאבים הנדרשים להתגוננות מפני מתקפות מתוחכמות. מגמה נוספת שאנחנו רואים בבירור היא שארגוני התקיפה הופכים למאורגנים ו'תעשייתיים'. רואים בבירור שימוש במודלים מסחריים הדומים לחברות רגילות, כגון שיתופי פעולה טכנולוגיים ו'עסקיים', השכרת כלים ויכולות, חלוקת עמלות, ועוד - תופעות המחזקות את מהירות ועוצמת המתקפות".
עד כמה הטרנספורמציה הדיגיטלית והמעבר לסביבות ענן העלו את היקף התקיפות עקב הגידול במשטחי התקיפה?
"לטכנולוגיות ענן יש פוטנציאל לספק ביצועים טובים יותר של שירותי ליבה ולפתור צווארי בקבוק הנוגעים לזמינות משאבי מחשוב, וכל זאת בעלות תפעולית נמוכה בהרבה. מאז פרוץ הקורונה אנחנו עדים להאצה נוספת במעבר של ארגונים, בהם גם מסורתיים, לטכנולוגיות ענן, במקביל למגמה של עלייה בעבודה מהבית וגישה מרחוק. זהו צעד טבעי וחיובי. באותה עת, מעבר לסביבות טכנולוגיות מתקדמות כמו ענן מביא עימו מורכבויות רבות, ובפרט היעדר ניסיון ומומחיות בכל הקשור לאבטחה של הסביבות הללו, שלא לדבר על זיהוי מוקדם של תקיפות ובניית יכולת תגובה מתאימה. התוקפים מצידם מיהרו לזהות את ההזדמנות, לנצל את המצב לטובתם ולכן אנו רואים עלייה במתקפות של ארגונים בסביבות ענן.
"סיגניה נתקלה בשנים האחרונות במתקפות רבות מסוג זה ופיתחה מומחיות במניעה, זיהוי והכלה שלהן בזמן קצר במיוחד, וכן בסיוע לארגונים בבניית החוסן הנדרש על מנת להקטין את הסיכוי להצלחתן של המתקפות. התפיסה שמביאה איתה סיגניה היא הרבה מעבר לאבטחה גרידא. היא יכולה לעזור בכל המחשבה והתפיסה העסקית של החברה ולהפוך אותה ליותר גמישה, דינאמית ותחרותית.
עם אסטרטגיה נכונה, המעבר לטכנולוגיות מתקדמות מאפשר לארגונים לנצל את ההזדמנות, לתקן פערים היסטוריים ולחזק את הארגון ואת מערכותיו, בהשקעות נמוכות יחסית".
איזון בין יעילות טכנולוגית וארגונית לאבטחה
התקפת הכופרה האחרונה על בית החולים "הלל יפה" בחדרה העלתה שוב את השאלה האם נכון לנהל מו"מ עם התוקפים. "כשאפשר, אנחנו כמעט תמיד ממליצים לנהל מו"מ עם התוקפים", משיב אריה זילברשטיין. "מטרת המו"מ היא לקבל מידע אודות התקיפה ומניעת פעולות נוספות של התוקפים ברשת לאחר המכה הראשונה. ברוב המקרים זה מאפשר להשיג שליטה גדולה יותר בסיטואציה הרגישה, כמובן אם מנהלים את השיח בצורה נכונה וחכמה.
"אחד מהשלבים הראשוניים טרום המו"מ ובמהלכו הוא לזהות את המוטיבציות של התוקפים (כסף, נקמה או אחר) ובפרט מה עומד לרשותם כאמצעי סחיטה - האם זוהי יכולתם להשבית את הארגון, או שמא ברשותם גם מידע רגיש שיכול להעצים את הנזק לארגון. הניתוח מסתמך על מכלול של אינדיקציות, חלקן טכנולוגיות-פורנזיות, אך חלק הארי מגיע מלמידה ואיפיון דפוסי ההתנהגות של התוקפים. היכולת שלנו לתקשר עם התוקף קונה זמן יקר לצוות לבצע חקירה מקיפה והרבה פעמים להשיג שליטה מחדש על הרשת ולצמצם את היקף הפגיעה".
סיגניה ביצעה מאות חקירות פורנזיות של אירועי סייבר. אלו מגמות שכיחות אתם מזהים?
"לעיתים, החקירה מאפשרת לזהות תקיפות שמוכוונות לתעשייה מסוימת, למשל בנקים, גופים ממשלתיים וכדומה. המאפיינים יכולים להיות כלי תקיפה דומים או זהים, ניצול פגיעויות זהות ועוד. לעיתים קרובות החקירה מאפשרת לזהות כלים ודפוסי תקיפה, שאותם ניתן בהמשך לנצל לטובת זיהוי מוקדם של התקפות. בלא מעט מהמקרים אנו מזהים שהתוקף ניצל פגיעויות של מערכות שאינן ספציפיות לארגון מסויים. אנו מפיצים את המידע ללקוחותינו על-מנת להזהיר אותם ולאפשר להם להיערך מבעוד מועד".
מה אתם ממליצים לעשות כדי להפוך את המערכות הארגוניות לחסינות יותר?
"החוכמה היא למצוא את האיזון בין יעילות טכנולוגית וארגונית לאבטחה", משיב דוד ורשבסקי. "החברות שהצליחו למנוע מתקפות, לא היו בהכרח אלה עם מוצרי האבטחה הכי חדשים בשוק, אלא אלה שידעו להיערך נכון ולעבוד עם מה שיש להן בצורה אופטימלית. ארגוני התקיפה עובדים על ROI (החזר השקעה) ובדרך כלל מנסים תחילה לחדור לארגונים באמצעים פשוטים. כך למשל, את התקיפה על צינורות הנפט בארה"ב התחילו בכניסה שהתאפשרה בשל חוסר מימוש אמצעי אבטחה בסיסיים.
"האיזון הזה הוא קריטי וכדי להשיג אותו, על הארגון להגדיר מה הנכסים החשובים ביותר שלו ולמפות את דרכי ההגעה אליהם - אם זה רשימת הלקוחות, אפליקציות ארגוניות או חיצוניות, מידע רגיש, ספקים וכיוצ"ב. בשלב הבא צריך לוודא שהנכסים מוגנים. לדוגמה, באיזה כלים הם עטופים, מהם מגבלות הגישה לנכסים הללו, האם הם מגובים, ואפילו אם האם הגיבויים מוגנים. נתקלנו לא מעט פעמים במקרים בהם הדבר הראשון שהתוקף עשה היה למחוק את הגיבויים. זה משאיר את הארגון במצב מאוד פגיע.
כיצד אתם בוחנים אם הארגון מוכן למתקפה?
"סיגניה בנתה מתודולוגיה שאותה מימשנו במאות ארגונים בעולם. היא מבוססת על בחינה של מאפיינים רבים של אבטחת הארגון - מארגון גוף האבטחה, דרך ארכיטקטורת ומימוש מערכות האבטחה ועד מודעות העובדים והמוכנות של הארגון למקרה של התקפה. העבודה שאנו עושים כוללת גם תקיפה מבוקרת בפועל על מנת לנבא כיצד התוקף יפעל ברשת, ובתוך כך לגשר על הפער, שקיים תמיד, בין מה שהארגון מאמין שיש לו לבין מה שקורה בפועל. במסגרת העבודה אנו בוחנים כיצד הארגון מוכן למניעת פריצה והתפשטות של מתקפה ברשת מצד אחד, ובמידה וזה אכן קורה - כיצד לצאת מהסיטואציה במינימום נזק, מצד שני. יש ארגונים שהשקיעו כסף רב בהגנה על הרשת, אבל אם תוקף מצליח לחדור, הוא יכול בתוך שעה להשתלט על הארגון. לכן, אנו בוחנים את כל הדברים הללו ומגישים לארגון סדרת המלצות מתועדפת, תוך דגש על אלו שיביאו תועלת גבוהה וניתן ליישם בזמן קצר יחסית".
"להעסיק את האנשים הטובים ביותר"
סיגניה היא חברת ייעוץ ותגובה לאירועי סייבר המסייעת לארגונים לבנות אסטרטגיות הגנה מפני מתקפות סייבר, לבלום מתקפות בזמן אמת ולהתאושש לאחר מתקפות. "מכיוון שהחברה מעורבת על בסיס יומי בחקירות ובשיקום של חברות שספגו מתקפות, ובשל כוח האדם יוצא הדופן שאנו מגייסים באופן קבוע, הידע שלנו משתפר ומשתכלל, והוא מסייע בהטמעת האסטרטגיות המניעתיות המעודכנות והמתקדמות ביותר אצל הלקוחות", אומר שרון יצחקי, סמנכ"ל Cyber Security Services-EMEA בחברה.
סיגניה הוקמה ב-2015 כחלק מקבוצת Team8. היא צמחה בצורה אורגנית דרך המלצות של לקוחות, וכיום היא מסייעת למאות ארגונים ברחבי העולם, כולל חברות מרשימת פורצ'ן-100. לחברה משרדים בישראל, ניו-יורק, לונדון, מקסיקו סיטי וסינגפור. "אנחנו עובדים עם הנהלות, דירקטוריונים, צוותי מערכות מידע והצוותים הטכניים בחברות הגדולות בעולם, בתחומי הפיננסים, התקשורת, הלוגיסטיקה, הטכנולוגיה, המשפטים, הפארמה, הטלקום, הייצור והקמעונאות", מוסיף יצחקי. "סיגניה מגובה על-ידי קבוצת הסייבר Team8, שבה נמצאות גם חברות מובילות נוספות בתחום הסייבר, וכן על-ידי אחד הגופים הגדולים החזקים בעולם, חברת ההשקעות Temasek מסינגפור. השילוב הזה מאפשר לנו להעסיק את האנשים הטובים ביותר וללקוחות שלנו הוא מספק את הביטחון שהחברה שלהם בידיים בטוחות".
לחשוב כמו התוקפים
כדי להפוך את הא-סימטריה בין תוקפים ומגינים צריכים לחשוב כמו תוקפים. זהו אחד העקרונות שסיגניה מקדמת בעולם התוכן הסייברי. השאלה היא כמובן איך עושים זאת, הלכה למעשה. "יש כיום א-סימטריה בין תוקפים למגנים", מדגישים בחברה. "בעוד שתוקפים זקוקים רק לפרצות אחדות, ארגונים שמנסים להגן צריכים לוודא שאין אף פגיעות שתוקף יכול למנף. בנוסף, תוקפים פועלים בצורה מהירה, דינאמית וללא בקשת רשות, בעוד שארגונים לעיתים זזים לאט ומאפשרים לתוקף לעבוד בעצמאות וחופשיות ברשת שעליה רוצים להגן. בנוסף, לתוקפים יש מטרה אחת - להשיג מידע או כסף, בעוד שהארגון מתמקד בפעילות העסקית שלו והאבטחה היא גורם משני. הדברים האלה ואחרים נותנים לתוקפים יתרון.
"כדי להפוך את הא-סימטריה הזאת ולנצח, אנחנו מאמינים שצריכים לחשוב כמו תוקפים ולחקות את הטקטיקות שלהם. אנו מיישמים ניסיון של עשרות שנים במעורבות בפעילות סייבר ברמת המדינה ובניתוח מתמיד של איומים, מה שמאפשר לנו גם לחזק את האבטחה של ארגונים כנגד יכולות תקיפה מתקדמות ביותר, ולהגיב בצורה נחושה לכל מתקפה במטרה להביס אותה".
