התקפות הסייבר כיום מתוחכמות מאי פעם ואמצעי ההגנה המסורתיים (Firewalls, אנטי-וירוס וסגירת פורטים), אינם מספיקים. מתקפות רבות מתבצעות בצורה שקטה וקשה לזיהוי, ולכן נדרשת פעילות יזומה ופרואקטיבית כדי למנוע נזקים אפשריים.
אבטחת סייבר התקפית למטרות הגנה (Offensive Cyber Security for Defensive Purposes) היא גישה מתקדמת לאבטחת מידע, שמטרתה לזהות ולתקן חולשות לפני שתוקפים ינצלו אותן. במקום להסתמך על אמצעי הגנה פסיביים ולהמתין לתקיפה, ההנחה היא שהתוקפים כבר מחפשים פרצות וזה רק עניין של זמן שהן ימצאו. לכן, יש לחשוב ולפעול כמותם כדי להתכונן באופן יעיל יותר ולמנוע מראש את התקיפות. פעילות התקפית מסוג זה נעשית במסגרת מוסדרת, באישור הארגון ובגבולות מוגדרים מראש, על ידי אנשי מקצוע מנוסים ואמינים.
סימולציות תקיפה מבוקרות
נחדד תחילה מושגים בסיסיים:
Red Team (צוות אדום) - צוות שמתנהג כמו תוקפים אמיתיים, מבצע תקיפה מתמשכת של הארגון בלי ליידע מראש את צוותי ההגנה. המטרה - לבדוק עד כמה עמוק יוכלו לחדור למערכות הארגון מבלי שיזהו או יעצרו אותו. אם נדמיין מבצר שעל חומותיו ניצבים שומרים, לא נסתמך על השמירה אלא נשלח "סוכנים חשאיים" שינסו באופן אקטיבי לפרוץ את מערך השמירה. כך ניתן לחשוף חולשות אבטחה ופערים בהגנה ולבדוק את מוכנות הארגון בפועל.
Blue Team (צוות כחול) - זהו צוות ההגנה, שמטרתו לזהות, לבלום ולנטרל פעילות עוינת בזמן אמת.
הצוות הכחול יכול להכיל מערכי הגנה שונים:
SOC ע(Security Operations Center) - מרכז תפעול אבטחת מידע שבו צוות ייעודי עוקב אחר פעילות רשת הארגון, מזהה איומים ומגיב להם בזמן אמת. תפקידו של ה-SOC הוא לספק הגנה רציפה באמצעות ניטור, ניתוח וטיפול באירועי אבטחה, כחלק ממערך ההגנה הכולל של הארגון. בשנים האחרונות, עולה המודעות לצורך בשילוב הגישה ההתקפית במערך ההגנה הארגוני וכך התפתח המושג החדשני SOC התקפי.
OSOCכ(Offensive Security Operation Center) - גישה מתקדמת שבה מערך התפעול האבטחתי לא רק מגיב לאיומים, אלא גם יוזם פעולות תקיפה מדומות כדי לשפר את ההגנה. הרעיון הוא לחשוב ולהתנהג כמו תוקף אמיתי ולבחון באופן שוטף את הגנת הארגון למתקפות בפועל.
במסגרת ה-SOC ההתקפי קיימות שתי גישות מרכזיות:
SOC התקפי פנימי (Embedded Red Team) - צוות תקיפה פנימי שפועל כחלק מובנה בתוך ה-SOC הארגוני, ולא כגורם חיצוני או פרויקט חד-פעמי. הצוות מבצע באופן שוטף פעולות תקיפה מבוקרות, כגון סימולציות, בדיקות חדירה, ותרחישי תקיפה כחלק מהפעילות התפעולית של ה-SOC. מטרת צוות זה הינה לאתגר בזמן אמת את מערכות ההגנה, לבחון את תגובות הצוותים ולחזק את היכולות המבצעיות של ה-SOC ומערך ההגנה כולו.
SOC התקפי חיצוני (Managed Offensive SOC) - שירות מתקדם שמספקת חברה חיצונית, הכולל בחינה וניטור מתמשכים של רמת האבטחה הארגונית בגישה התקפית.
בשונה מצוות Red Team שפועל במסגרת פרויקט תחום בזמן מוגבל ולעיתים באופן חד-פעמי, מדובר בשירות רציף שמשלב סריקות חולשה שוטפות, סימולציות תקיפה מבוקרות וניטור של חולשות הניתנות לניצול. הפעילות המתמשכת מתבצעת תוך מעקב שוטף אחר מצב ההגנות ותהליך סגירת הפערים. מטרת פעילות זו הינה לחזק את עמידות הארגון מול תקיפות אמיתיות ולשפר את כושר הזיהוי והתגובה לאורך זמן.
כלים מתקדמים לזיהוי התנהגות חשודה
הפעולות שמבצעים הצוותים, כוללות בין היתר:
בדיקות חדירה (Penetration Testing) - תהליך שבו מדמים מתקפה ממוקדת על הארגון, בדיוק כמו שהאקר היה עושה בפועל. מטרת הבדיקה היא לחשוף כמה שיותר חולשות אבטחה שקיימות במערכות, ולהמליץ לארגון על דרכים לסגור את החולשות האלה לפני שתוקף אמיתי ינצל אותן לרעה. בדיקות אלו מתבצעות בדרך כלל בתדירות חצי שנתית עד שנתית.
Honeypots (כוורות דבש) - מלכודות דבש הן מערכות פיקטיביות שמטרתן למשוך אליהן תוקפים. הן מאפשרות לארגון ללמוד על דרכי הפעולה של התוקף, לזהות את שיטותיו ולהיערך בצורה טובה יותר לאיומים עתידיים. השימוש ב"מלכודת דבש" באה לפתות פורץ להיכנס לחלל מבוקר ומצולם היטב.
Threat Hunting (ציד איומים) - פעילות יזומה של צוותי ההגנה לאיתור מוקדם של איומים או תוקפים שכבר נמצאים בתוך המערכת או מנסים לחדור אליה, לפני שנגרם נזק. הפעילות מתבססת על כלים מתקדמים לזיהוי התנהגות חריגה וחשודה.
טכניקות וכלים
בתהליך התקיפה משתמשים התוקפים במגוון רחב של טכניקות וכלים, חלקם ידניים וחלקם אוטומטיים. כלים אלו מותאמים למטרת התקיפה, וחלקם זמינים באופן חופשי באינטרנט.
את הכלים הללו אנו מחלקים בהתאם לשלבי התקיפה:
שלב 1: סריקה ואיסוף מידע (Reconnaissance) - התוקף אוסף מידע על הארגון, במטרה להבין כמה שיותר על היעד. הכלים בהם נעשה שימוש:
· Recon-ng - פלטפורמת איסוף מידע (כמו מודיעין סייבר) שמוצאת מידע על דומיינים, אימיילים, כתובות IP ועוד.
· theHarvester - כלי חיפוש אימיילים ארגוניים, שמות משתמשים ודומיינים מתוך מקורות גלויים ופתוחים באינטרנט (OSINT).
· Shodan - מנוע חיפוש למציאת שרתים, מצלמות, רשתות לא מאובטחות וכו'.
שלב 2: סריקת רשת וגילוי חולשות (Scanning & Enumeration): התוקף סורק את הרשת של הארגון כדי לזהות שירותים פתוחים, תוכנות מותקנות וחולשות אבטחה אפשריות. הכלים הם:
· Nmap - הכלי המוכר ביותר לסריקת רשתות. מגלה פורטים פתוחים, מערכות הפעלה, שירותים רצים וכו'.
· Masscan - סורק מהיר מאוד, בעיקר לרשתות גדולות.
· Nikto - סורק חולשות בשרתי web המחפש קבצים רגישים, תצורות לא בטוחות ועוד.
שלב 3: ניצול חולשות (Exploitation): התוקף פועל לנצל את החולשות שהתגלו כדי לפרוץ בפועל למערכות הארגון. הכלים הם:
· Metasploit Framework - פלטפורמה מוכרת ונפוצה לזיהוי וניצול חולשות. כוללת מאגר של "ניצולים" (exploits) מוכנים לשימוש.
· SQLmap - כלי אוטומטי לבדיקת פגיעויות מסוג SQL Injection.
· Burp Suite - כלי עזר נפוץ לתקיפת מערכות אפליקטיביות.
שלב 4: שמירה על גישה וניהול "פריצה" (Post-Exploitation): לאחר הפריצה, התוקף מנסה לשמור על הגישה שהשיג ואף להרחיבה, למשל להשגת הרשאות גבוהות יותר. הכלים הם:
· Mimikatz - שולף סיסמאות, טוקנים, מידע קריפטוגרפי מהזיכרון (בעיקר בסביבות Windows).
· Empire - מסגרת שמאפשרת שליטה מרחוק במערכות שנפרצו, כולל הרצה של פקודות, הרצת סקריפטים ועוד.
· Cobalt Strike - כלי מסחרי מתקדם שמשמש צוותי Red Team.
שלב 5: דיווח ומעקב (Reporting): שלב זה משויך בעיקר לבודקי החדירות וכולל תיעוד וסיכום מקצועי של כל השלבים שבוצעו, תוצאותיהם והשלכותיהם על הארגון. הכלים בהם נעשה שימוש בשלב זה:
· Dradis - מערכת לניהול ותיעוד של בדיקות חדירה: ניהול ממצאים, תיעוד מתקפות, הפקת דוחות.
· Faraday - סביבת עבודה שיתופית לצוותי אבטחה המאגדת תוצאות מכלים שונים במקום אחד.
לסיכום, גישה התקפית בסייבר מאפשרת לארגונים לחשוב כמו תוקפים ולפעול לפניהם, לדמות תקיפות אמיתיות ולתקן חולשות. ביסודה היא הגנתית, כלומר באה למנוע פגיעה. היא חושפת חולשות לפני שנעשה בהן שימוש ומשפרת משמעותית את ההגנה הארגונית. בעולם שבו האיומים מתפתחים ללא הרף, זו לא רק שיטת עבודה - זו גישה חיונית שמאפשרת למנוע נזק.
הכותב הוא ראש חדרי מלחמה גלובליים, ארמורי דיפנס
