בעולם הסייבר אין באמת מערכות חסינות לפריצה, יש רק כאלה שלוקח יותר זמן לפרוץ אליהן. וזמן, כידוע, הוא המטבע היקר ביותר במלחמת הסייבר.
האירועים שהתפרסמו בחדשות לאחרונה, בהם הפריצה לחשבון הטלגרם של נפתלי בנט ודליפת תכנים מחשבונות הטלגרם של אישי ציבור אחרים בישראל, מוכיחים כי ברגע שגורם עוין מטרגט אדם או ארגון ספציפי, אין באמת מושג כזה "חסינות". השאלה איננה אם תתרחש פגיעה, אלא כמה זמן ייקח עד שתתרחש והאם התוקף ימצא את התנאים הנכונים לפעול. ברוב המקרים, במיוחד כשמדובר בפרופילים גבוהים או מטרות בעלות ערך, לתוקף יש את הסבלנות, המשאבים והיכולת להמתין להזדמנות הקטנה ביותר - שינוי טכני, טעות אנוש, או רגע של חוסר מודעות.
לכן, ההגנה האפקטיבית ביותר אינה ניסיון "לסגור הרמטית הכול", אלא ניהול אקטיבי של הזמן ואי הוודאות של התוקף. מודעות גבוהה, שגרות יומיות של שינוי ויצירת מצב של חוסר יציבות מבוקר בצד המותקף - החלפת מכשיר נייד, שינוי מספרים, סיסמאות, אמצעי אימות והרגלי שימוש - כל אלו שוברים את רצף ההתקפה. תוקף שמגלה שהמטרה שלו משתנה כל הזמן, הופכת לבלתי צפויה ודורשת ממנו להתחיל מחדש שוב ושוב, מאבד את היתרון המרכזי שלו - הזמן.
זה ההיגיון שעומד מאחורי גישת הגנה באמצעות התקפה (Defense by Offense). לא להמתין לאירוע, אלא לנהל שגרה מתמשכת של שינוי, תקיפה מבוקרת וחשיפה יזומה של חולשות, כך שכאשר מישהו מבחוץ מנסה לתקוף, הוא מגלה שמגרש המשחקים כבר השתנה.
נדרשת בדיקה מחזורית
ניסיוני בעולם טכנולוגיות הסייבר, הפגיש אותי עם שני קצותיו - ההתקפה וההגנה. הבנתי כי הגנה אמיתית לא מתחילה כשהמערכת מתריעה על האיום, אלא הרבה קודם, כשאנחנו חושבים כמו האקר, פועלים כמוהו ומקדימים אותו באיתור חולשות. בסופו של יום, כל מוצר אבטחה נמדד לפי מדד אחד - זמן הפריצה אליו, כי אין הגנה שלא ניתנת לעקיפה, יש רק כאלה שמאתגרות את ההאקר יותר זמן. חשוב להבין שהאקרים לא בוחנים אם אפשר לפרוץ מערכת, אלא כמה זמן זה ייקח להם ומתי הזמן הנכון לביצוע.
במקביל, חשוב להבין נקודה קריטית נוספת - משטח התקיפה של הארגון אינו קבוע, הוא משתנה כל הזמן. מערכות מתעדכנות, שירותים חדשים נפתחים, שרתים חדשים עולים, קוד משתנה, משתמשים מתחלפים. בכל שינוי כזה, נוצרת חולשה חדשה. לכן, גם אם המערכות נבדקו לפני שבוע, זה כבר לא רלוונטי. בדיקות חד-פעמיות או תקופתיות לא מספקות, נדרשת בדיקה מחזורית, תקיפה מחזורית ותגובה מחזורית.
מהתפיסה הזאת הוקמה Armory Defense (ארמורי דיפנס) שדוגלת בהגנה תוך התקפה יזומה ורציפה. אנחנו לא מחכים לאירוע, אנחנו יוצרים אותו בצורה מבוקרת, ובמקום "לגלות" בעיה, אנו מדמים תוקף אמיתי בתנאים האמיתיים של כל ארגון, כל הזמן. הגישה שלנו - Defense by Offense - מבוססת על ביצוע התקפה מחזורית בתדירות גבוהה על מערכות הארגון, כחלק בלתי נפרד מההגנה, כדי לגלות כל נקודת כשל, בכל רגע.
איתור מתמיד של חולשות משתנות
רכיבי המערכת כוללים את:
• פלטפורמת Armory מבוססת AI
המערכת מספקת נראות נרחבת למשטחי התקיפה של הארגון ומבצעת תרחישים התקפיים רציפים על הסביבה האמיתית. הפלטפורמה סורקת ומזהה דפוסים וחולשות בצורה אוטומטית ומאתגרת את מערכות ההגנה באמצעות סימולציות ותקיפות מבוקרות. התוצאה היא איתור מתמיד של חולשות משתנות, לפני שהן מתממשות.
• Hackbooks חיים
תרחישי תקיפה מבוססי מודיעין עדכני שנבנים ומתעדכנים באופן רציף ומבוצעים במחזוריות קבועה, בדיוק כמו שתוקף אמיתי היה פועל. לא דו"חות כלליים, אלא מתקפות מבוקרות. ה-Hackbooks משקפים טכניקות, שרשראות תקיפה ודפוסי פעולה אמיתיים, ומזינים את הפלטפורמה במתקפות מבוקרות וממוקדות, עד לרמת משטחי התקיפה של הארגון.
• (Offensive SOC (OSOC
חדרי מלחמה פרואקטיביים, שמאתגרים את משטח התקיפה של הלקוח על בסיס קבוע ולא רק פעם ברבעון. אנו מאמינים כי התקפה מבוקרת היא לא אירוע - היא תהליך.
• Agentless - יישום קליל ומהיר
בלי הטמעות מורכבות שיוצרות עומסים על הארגון. הפלטפורמה שלנו מחוברת ומוכנה כל הזמן, כך שאפשר לבחון את המערכת בזמן אמת.
זכרו, המערכת שלכם לא תיפרץ רק בגלל איום שקיים בה עכשיו, אלא בגלל איום חדש שיופיע בה מחר. השאלה היא האם תגלו זאת לפני שמישהו אחר יגלה. העולם משתנה ולכן גם ההגנה צריכה להשתנות.
את Armory Defense הקמנו מתוך ההבנה שלא מספיק לבדוק או לסרוק בתדירות כזאת או אחרת, צריך לתקוף, שוב ושוב, כי ההגנה שלכם טובה רק כמו הזמן שלוקח לפרוץ אותה.
הכותב הוא מנכ"ל וממקימי Armory Defense
בשיתוף Armory Defense
