חברת WHITE-HAT הינה מחברות הסייבר המובילות והוותיקות בישראל בתחום Incident Response. (טיפול באירועי סייבר). רק לאחרונה, נודע על רכישתה ע"י ענקית ה–IT האמריקאית, EPAM Inc. לחברה חוקרים-מומחים רבים, הנכונים לקריאתו של הארגון הנתקף בעת צרה. בעבודתם, מתמודדים החוקרים מול קבוצות תקיפה מתוחכמות וזדוניות, ולכן לומדים לעומק אודות יכולותיהן, בכדי לסייע בהתמודדויות מורכבות עם טכניקות התקיפה העדכניות ביותר, בשעות הקשות ביותר למנהל. שוחחנו עם כמה מהמובילים בחברה (טיפלו במשברי הסייבר המורכבים ביותר שאירעו בשנים האחרונות בישראל), במטרה להכיר את נקודות המבט השונות מהצד התוקף, המגן, וההנהלה העסקית של הארגון המותקף.
"לאחר שמטפלים באירועים רבים, ומכירים מקרוב מגוון כה רחב של קבוצות תקיפה, מבינים שגם אם הן שונות, קיימים מאפיינים רבים, הנשמרים כמעט בכל אירוע. אנו כבר יודעים לזהות מה מניע אותם, כיצד הם פועלים ברשת ומתי הם מתחמקים ממערכות ההגנה״, אומר אביב סרור, רת"ח IR) Incident Response).
לדברי עידן קרן, סמנכ״ל טכנולוגיות ותפעול, אירוע סייבר מתבצע ע"י גורם חיצוני ולרוב יתחיל מאחד משלושת וקטורי התקיפה הבאים:
משטח תקיפה חיצוני – מערכות, אתרים, שרתים או רכיבי תקשורת פגיעים, שנמצאים חשופים לרשת האינטרנט.
ספקים קריטיים - שרשרת האספקה וחברות צד שלישי שמחזיקות מידע של הארגון.
חוסר במודעות עובדים, המביאה לפתיחת קישור או קובץ ממייל זדוני, להורדת קבצים מהאינטרנט או לחיבור של התקן, המכיל תוכנה זדונית.
בכל אחד מהתרחישים, התוצאה היא השתלטות על אחד ממשאבי הרשת הארגונית וממנו התפשטות לנכסים קריטיים, עד לכדי השבתת הארגון או לגניבת מידע עסקי רגיש.
דרכים מגוונות להתבסס
במחשב הקורבן
לטענתו של חי וקנין, רת"ח Offensive, המביא את נקודת מבטו של התוקף, ״ישנן דרכים מגוונות להתבסס במחשב הקורבן, להשיג הרשאות גבוהות, להתפשט בארגון למחשבים נוספים ולהתקין על כולם את הכלי שיאפשר הוצאת המידע החוצה, או לחילופין להביא לנזק הרצוי, תוך התמודדות עם מערכות ההגנה השונות ועם צוותי ההגנה הפועלים לאיתורן״, יש לציין כי לכל ארגון חולשותיו שלו, הן בהיבטים הטכנולוגים והן בהליכים העסקיים, וכל שעל ההאקר לעשות הוא לאתר אותן (חשוב לומר, שלהאקר אין כמעט מגבלות זמן ומשאבים).
לדברי אביב, "בצד המגן, בארגונים גדולים, בכל רגע נתון עולות התראות רבות, המגיעות ממגוון רחב של מערכות הגנה, דבר שמקשה מאוד על איתור אירוע האמת. קל להגיד לארגונים להתייחס לכל התרעה פשוטה כאירוע תקיפה פוטנציאלי, אך בשטף המידע הרב ממערכות הניטור זו המלצה קשה מאוד ליישום. לעומת זאת, ב-WHITE-HAT נמליץ לטייב באופן מתמיד את מערכות הניטור ולהקים יכולות אוטומציה, שמצליבות התרעות עם פעילויות לגיטימיות של אנשי התפעול, לווידוא שהפעילות התקינה היא זו שהביאה להתראה ולא גורם עוין אחר".
בנוסף, מציגה החברה גישה ייחודית לטיוב מערכות הניטור, ע"ב התקפות אמת עדכניות, באופן שמאפשר לנצל את המידע הרב שנאסף לתהליכי ה-Threat-Hunting (ציד-איומים) ברשת. כשם שבשדה הקרב, "האדם שבטנק ינצח", גם במגרש הסייבר אין תחליף לכ"א איכותי, לצד הטכנולוגיות.
עידן מוסיף: "על-אף פעולות ההגנה, במקרים רבים, האירועים מתגלים בשלבים מאוחרים יחסית, לאחר שההאקר התגלה – במכוון או בשוגג, במעבר מ״פעילות שקטה״ ל״פעילות רועשת״, אם זה דלף מידע/הצפנה וכו'. לרוב, המעבר לפעילות רועשת מתבצע כאשר ההאקר הרגיש מספיק בטוח בהישגיו, אסף מידע, הדביק גיבויים ויצר לעצמו דלתות אחוריות, שאפשרו לו לחזור לשליטה במחשבים ברשת, במידה ונחשף, או כאשר החליט "להאיץ" את התקיפה".
"לצערנו, במקרים רבים זה השלב בו נפגוש את פניהם המבוהלות והדואגות של המנהלים בארגון, התולים באנשי המחשוב וצוותי ההתערבות החיצוניים את התקוות להחזרת הארגון לכשירות עסקית, מהר ככל שניתן. אירוע סייבר הינו אתגר ניהולי-עסקי מהמורכבים שיש, במיוחד באירועי כופר, שזמן הטיפול הממוצע בהם עלול להתארך לשבועות ואף חודשים - תקופת נצח לארגון מושבת".
סייבר הוא אירוע רב-מערכתי בארגון
הנהלות בוגרות מבינות כיום, שאירוע סייבר אינו עוד "רק" אירוע טכנולוגי אלא רב-מערכתי המחייב מעורבות של כלל רבדי הארגון, החל מהיחידות העסקיות וכלה ביחידות המטה, כגון: כספים, משפטית, דוברות, משא"ן, לוגיסטיקה, שירות-לקוחות ועוד. במקביל לעבודת הצוות החוקר, על הארגון למזער את הנזק התדמיתי מחד, ולא לייצר נזקים נוספים מאידך – תהליכי ההתאוששות טומנים בחובם השקעה גדולה במשאבים מצד כלל היחידות בארגון.
ככל שההד התקשורתי בדבר התקיפה גדול יותר, התוקף מבין שפוטנציאל הנזק והרווח גדולים יותר והוא יוכל להוכיח את יכולותיו כתוקף ולהמשיך להעלות את המוניטין שלו בקרב קהילת התוקפים. כעת הוא יכול לייצר נזק הן מבחינה ביטחונית, לדרוש כופר (שנע בין מאות אלפים לעשרות מיליוני דולרים) תוך איום על חשיפת מידע רגיש. כאמור, מדובר בסיכון ממשי הניצב בפתחו של כל ארגון, על המנהל להיערך מבעוד מועד ולהסתייע ״בסיירת״ מומחים בעלי ניסיון, שיעמדו לצדו בעת אירוע סייבר.
בשיתוף White Hat
