זה לא היה עוד אירוע סייבר שגרתי, וזה בהחלט לא הרגיש כך בחדר המצב של חברת הגז והאנרגיה באותו בוקר. הבהלה הייתה מוחשית והיא נבעה מכך שעל המסכים רצו שורות קוד של קבוצת תקיפה זרה, כאשר השרתים החלו להינעל בזה אחר זה בתהליך הצפנה דורסני.
"הם התקשרו אלינו בלחץ רב", משחזר שי נחום, מייסד ומנכ"ל חברת Cyght, המתמחה בזיהוי, חדירה ועצירת מתקפות סייבר. "הם ראו איך 20 מכונות כבר מוצפנות להם מול העיניים והבינו שהם מאבדים שליטה על תשתית לאומית קריטית".
בשלב הזה, הזמן הוא האויב הכי גדול. ל- Cyghtלא הייתה גישה מוקדמת לרשת של הלקוח, ובתנאים רגילים הסדרת גישה מרחוק מאובטחת (VPN) והגדרת הרשאות במערכות הארגון היא תהליך בירוקרטי וטכני שיכול לקחת שעות - זמן שלחברת האנרגיה פשוט לא היה. בתושייה של רגע, נחום וצוותו יזמו פגישת Microsoft Teams דחופה עם אנשי המחשוב של החברה. דרך השתלטות מרחוק על מחשב הקצה בתוך הפגישה, הם הזריקו קוד PowerShell ייעודי שפיתחו מראש.
התוצאה נשמעת כמו סצנה מסרט מתח: תוך 60 שניות בלבד מרגע תחילת השיחה, הקוד של Cyght הצליח לשבש את פעולת התוקף בתוך הרשת ולעצור את ההצפנה כליל. "זה היה הרגע שבו הלחץ בחדר התחלף באנחת רווחה", מספר נחום. "הצלחנו להוכיח שאפשר לבלום תקיפה מדינתית בזמן אמת, גם כשאתה מתחיל בנחיתות מוחלטת. מבחינתנו, הגנה על הלקוח הוא ערך עליון. אנחנו לא עוצרים עד הגעה להישג חסר תקדים".
שילוב הגנה-התקפה כמכפיל כוח קריטי
היכולת הזו לפעול בנחישות ודיוק בלב הסערה אינה מקרית. היא חלק מארסנל הכלים הרחב של חברת Cyght, המתמחה בפעולות סייבר התקפיות, בדיקות חדירה מתקדמות ותגובה מהירה לאירועים (IR).
בנוסף ליכולת שיבוש הצפנה ומחיקת קבצים זדוניים ללא השבתת פעילות, יכולות שפותחו בלעדית על ידי החברה, Cyght מציעה שירותי Red Team כדי להעריך את חוסן הסייבר של הארגון. היא מביאה טכניקות של סייבר מדינתי אל שולחן העבודה של ארגונים אזרחיים ותשתיות קריטיות, מתוך הבנה שבעידן הנוכחי, הגנה פסיבית פשוט אינה מספיקה.
"כדי להגן באמת, אתה חייב לחבוש את הכובע של התוקף", מסביר נחום. "בניגוד לגישה המסורתית בשוק, שמפרידה בין צוותי הגנה לצוותי התקפה, אנחנו עושים שימוש משולב ואינהרנטי גם ביכולות הגנה וגם ביכולות התקפה, בו-זמנית. השילוב הזה הוא מכפיל כוח קריטי. הוא מאפשר לנו לא רק לזהות את הפריצה בזמן אמת, אלא להקדים את התוקף בצעד אחד ולנטרל את האיום מהשורש".
לדבריו, השילוב הזה אינו רק טכנולוגי אלא אסטרטגי: "בסופו של דבר, אנחנו יודעים לבוא ללקוח עם תשובות חד-משמעיות. אנחנו משחזרים את מהלכי התוקף, מנתחים את נתיב החדירה ובודקים האם בוצעו מניפולציות במידע. זה מאפשר לנו לקבוע בוודאות מה היו הישגי התקיפה - האם דלף מידע, ואם כן, מהו היקפו ואיכותו. יש הבדל תהומי בין זליגה של 100 מגה לבין אובדן של כמויות טרה-בייט; אלו נתונים קריטיים בממשק מול הרגולטור, שיכולים להכריע האם הארגון יספוג קנסות וסנקציות כבדות או לא".
בדיקת נתיב החדירה, מסביר נחום, חיונית כדי למנוע הישנות חדירות דומות. אך במקרה של חדירה אפקטיבית, נחום וצוותו יכולים גם לקבוע האם התוקף השאיר טכניקות הישארות, שבאמצעותן הוא יוכל לתקוף בעתיד. למשל במקרה של אתחול מחדש של המערכת. כמו כן, Cyght יכולה לקבוע האם אפשר לבטוח בקבצים אחרי תקיפה פולשנית. המטרה היא להחזיר את אמון החברה באובייקטים הדיגיטליים שלה, בתהליכים שהיא מבצעת ובמכונות עצמן.
ה-AI - משטח תקיפה חדש לחלוטין
שי נחום הוא בוגר יחידת ממר"ם, שם שירת במספר תפקידים החל מתפקידי תקיפה ועד רמ"ד הגנה בסייבר, וכיום הוא פעיל בעמותת בוגרי היחידה. במקביל לשירותו, השלים לימודים אקדמיים בהנדסת מערכות מידע באוניברסיטת בן-גוריון ובטכניון (תואר ראשון ושני). לאחר שחרורו בדרגת סרן הוא המשיך לעסוק בתחומים רגישים בשירות המדינה, פעילות שעל פרטיה לא ניתן להרחיב אך היא זיכתה אותו ואת צוותו בפרס ביטחון ישראל.
ב-2018 החליט נחום לתרגם את הניסיון שצבר ואת המומחיות שלו כחוקר סייבר, האקר אתי ומומחה פורנזיקה וניתוח פוגענים למודל עסקי והקים את חברת Cyght.
קהל היעד של החברה מורכב מארגונים גדולים בעלי פרופיל סיכון גבוה, המחזיקים במידע רגיש ונתונים לרגולציה מחמירה, בהם בנקים, מוסדות פיננסיים, חברות ביטוח, מפעלי תעשייה, חברות אנרגיה ותשתיות קריטיות, אך גם סטארט-אפים. עבורם, הפתרונות שמציעה Cyght הם קריטיים לניהול סיכונים וכבסיס להחלטות ניהוליות וביטחוניות.
כמומחה ללוחמת סייבר, כיצד אתה רואה את השפעת ה-AI על שדה הקרב הדיגיטלי?
"אנחנו נמצאים בפתחה של מהפכה שהיא גדולה יותר מהמהפכה התעשייתית", קובע נחום. "השינוי מתבטא קודם כל בצניחת חסמי הכניסה - העלות פחתה, הזמינות עלתה, ובעיקר הקצבים הפכו למהירים עשרות מונים. ה-AI מאפשר לתוקפים לפעול בהיקפים ובדיוק שלא הכרנו בעבר. ארגונים חייבים להפנים שהבינה המלאכותית אינה רק כלי עזר לתוקף, אלא משטח תקיפה חדש לחלוטין. מדובר בחולייה קריטית בשרשרת, שכן השתלטות של תוקף על מערכות ה-AI של הארגון עשויה להעניק לו מפתח לשליטה מלאה על הארגון כולו".
תפיסה מבצעית חדשה
בצד התקיפה, נחום מצביע על יכולות חדשות לחדירה למערכות, למכונות ולטכנולוגיות תפעוליות, אך מדגיש זווית מסוכנת לא פחות: "אנחנו רואים מעבר ממתקפות טכניות בלבד למבצעי השפעה רחבים על התודעה. ה-AI מאפשר להריץ קמפיין השפעה אגרסיבי ומותאם אישית שקשה מאוד לזהות כזיוף".
היכולות הללו מקבלות משנה תוקף כשמסתכלים על האיום המדינתי. "זה מוביל אותנו ישירות לאיראן", מסביר נחום. "הם כבר לא רק פורצים לשרתים; הם משתמשים בכלים הללו כדי לייצר כאוס תודעתי ולתקוף תשתיות קריטיות בשיטות שהופכות ליותר ויותר אוטונומיות".
תוכל להרחיב על כך?
"איראן הפכה לשחקן סייבר משמעותי, שמשלב יכולות טכנולוגיות עם לוחמה פסיכולוגית. אחד הגורמים המשמעותיים לשינוי הזה הוא שיתוף הפעולה המתהדק עם רוסיה. אנחנו מזהים זליגה של ידע, כלים ומתודולוגיות מרוסיה לאיראן. זה שילוב מסוכן בין הטכנולוגיה והניסיון הרוסי בתקיפת תשתיות קריטיות יחד עם המוטיבציה האיראנית לפגוע ביציבות הישראלית. הם כבר לא רק מחפשים לפרוץ לשרת, הם מנסים לייצר שיבוש וכאוס, למשל על ידי פגיעה במערכות של בתי חולים או תשתיות אנרגיה, ואז להדהד את זה ברשתות החברתיות כדי לייצר בהלה בציבור".
המעבר הזה, לטענתו, דורש שינוי תפיסתי מצד הארגונים בארץ. "האיראנים מנצלים את העובדה שהרבה ארגונים עדיין מגנים על עצמם בשיטות של אתמול. הם משתמשים באוטומציה וב-AI כדי לאתר פרצות בשרשרת האספקה של חברות ישראליות, וברגע שהם בפנים, המטרה שלהם היא להסב נזק מקסימלי בזמן מינימלי".
כמענה למגמות הללו, תציג CYGHT בכנס סייברטק הקרוב תפיסת פעולה מבצעית חדשה. "המענה שלנו משלב תקיפה, מודיעין איומים והגנה בזמן אמת", מסכם נחום. "בכנס נציג כיצד השילוב בין יכולות התקפיות לזיהוי איומים מוקדם מאפשר לא רק לחסום את הפריצה, אלא לשבש את הלוגיקה של התוקף עוד לפני שהוא מסב נזק".
חמש טעויות אבטחת המידע הנפוצות ביותר
ארגונים רבים ממשיכים להיפגע ממתקפות סייבר לא בשל טכנולוגיות מתקדמות, אלא עקב כשלים בסיסיים ומתמשכים בניהול אבטחת המידע. בפועל, יישום עקבי של עקרונות הגנה מוכרים היה יכול למנוע חלק משמעותי מהאירועים.
להלן חמש הטעויות הנפוצות ביותר שחוזרות על עצמן בארגונים מכל מגזר וגודל, ויוצרות לתוקפים נקודות כניסה נוחות וזמינות:
- היעדר אימות רב-שלבי (MFA) לכלל המשתמשים - כולל משתמשים עם הרשאות גבוהות, חשבונות שירות וספקים חיצוניים, מה שמאפשר השתלטות קלה באמצעות סיסמאות שדלפו.
- הרשאות אדמין מיותרות בנכסים כמו מחשבים ושרתים - ללא אכיפה שוטפת של עקרון ה-Least Privilege וללא בקרה רציפה על שימוש בהרשאות חריגות. כל בדיקת חוסן שבה השגנו אדמין מקומי נגמרה בשליטה מלאה ברשת (דומיין אדמין).
- השארת רכיבי תקשורת וניהול חשופים לאינטרנט - כגון VPN, חומת אש, ממשקי ניהול, שרתי גיבוי ומערכות תשתית, המהווים יעד מועדף לסריקות וניצול אוטומטי. יש להוסיף שם שכבת הגנה נוספת בעדיפות לנכס לא של הארגון.
- היעדר עדכון שוטף של מערכות הפעלה, תשתיות ואפליקציות - המאפשר לתוקפים לנצל חולשות ידועות וזמינות שאינן דורשות יכולות מתקדמות, אלא רק שימוש בPOC- שקיים באינטרנט. עדכון טלאים או חסימת (מיטיגציה) ספציפית של הרכיב עם החולשה מונעת ניצול משאירה עקבות ועוצרת את התקיפה.
- הסתמכות על מערכות AV/EDR כשכבת ההגנה הראשונה והאחרונה - ללא שכבות הגנה משלימות, ניטור חריגות והיערכות לתרחישי כשל. ארגונים רבים נשארים עיוורים ברגע שהתוקף עקף סוכן AV במחשב אחד. הוספת שכבה נוספת של הגנה על עמדות קצה יכולה להוביל את התוקף לעשות טעויות מרובות.
בשיתוף חברת Cyght
