מודיעין ככלי הכרחי לתיקוף יעדים ומשימות לתוכנית הגנה בסייבר 

מודיעין ככלי הכרחי לתיקוף יעדים ומשימות לתוכנית הגנה בסייבר 

cybersecurity

This post is also available in: enEnglish (אנגלית)

מאת אור שלום, מומחה ויועץ לאבטחה וסייבר 

בניית תוכנית עבודה בסייבר היא משימה לא פשוטה. לצד האתגר, קיימים לא מעט שיקולים כדוגמת שיקולים תקציביים, פוליטיים ועוד המכתיבים אילוצים, שינויים ולעיתים צורך בפשרה. ההבנה כי לא ניתן לתת כיסוי של 100% אבטחה לארגון מחייבת את העוסקים במלאכה לבניית תוכנית ריאלית ונתמכת המכוונת להגנה על היעדים והנכסים הקריטיים, אל מול האיומים, טכנולוגיות תקיפה ויכולות מתוקפות. 

היכולת להחזיר את ההשקעה בעולם האבטחה, לא תמיד קיימת וכך גם יכולת ההוכחה (גם בדיעבד) כי החומות שנבנו באמת סייעו למניעת הסיכון. ייתכן כי היו ניסיונות תקיפה, בהם החליט התוקף החליט לוותר ולעבור ליעד אחר נוכח טכנולוגיות וסידורי אבטחה מורכבים. הצורך והיכולת לתקף את השלבים וההמלצות המתגבשות לתוכנית עבודה היא אבן יסוד בבניית התוכנית הן ביכולת לשכנע את הגורמים הארגונים בהשקעות הרלוונטיות ויתרה מכך ביכולת ליצור הגנת סייבר נכונה וריאלית. 

מעוניינים ללמוד עוד על טכנולוגיות הסייבר המתקדמות? השתתפו ב-iHLS InnoTech Expo Tel Aviv – ארוע החדשנות והטכנולוגיות הגדול בישראל בתחום HLS וסייבר – ב-18-19 בנובמבר, 2020 באקספו תל אביב, ביתן 2. הכירו את חברי ועדת ההיגוי

על אף שהשאיפה היא לתת כיסוי אבטחתי רחב, יש לזכור כי המשאבים והיכולות מוגבלות ולא ניתן להגן באופן מלא על כל נכסי הארגון. אחד מהשלבים הקריטיים לבניית תוכנית העבודה הוא שלב מיפוי נכסים והנגזרת של ניהול הסיכונים, שמטרתו לכוון את הקצאת משאבי ההגנה, אבטחה ובחירת בקרות ההגנה. זאת תוך סיכון מחושב תוך התמקדות במערכות, תשתיות או אפליקציות קריטיות מוגדרות. 

תהליך זה הינו תהליך מחזורי ושוטף, שנובע בין היתר משינויים טכנולוגיים בסביבת העבודה (של המגן) המשליכות על שיטות ותוכנות הגנה אל מול שיטות עבודה, כלים, יכולות, ידע של התוקף ושינויים תקופתיים. 

דוגמא לכך היא משבר הקורונה. האיומים במציאות של תקופת המשבר, הם לא בדיוק אותם האיומים שלפני המשבר והם משלבים את הצורך לשקלל סיכונים מחוץ לארגון גם בשל האילוץ של עבודה מבית ומסביבות פחות מאובטחות מהארגון. בחלק מהמקרים ההשקעה בהתמודדות עם הסיכון עשויה להיות גדולה מהנזק ולכן במקרים אלו נאלץ לתעדף טיפול בסיכונים אחרים. 

כדי לתקף את האיומים ולהיערך לקראתם, נדרש ידע מגוון ועדכני שיאפשר למקד את הגורמים האחראים על בניית התוכנית לדרכי תקיפה אפשריות. ידע זה ניתן להפיק מהיסטוריית אירועים בארגון ומחוצה לו (בסקטור בו פועל הארגון) וכן באמצעות ייבוא מודיעין המשלב תובנות מקצועיות לשיפור יכולת הגנת הסייבר. 

תהליך זה הוא משמעותי, מחד הוא תורם לרמת החוסן ויכולת ההתמודדות ומאידך מאפשר לארגון יכולת להתארגן לשינויים בשיטות ודפוסי תקיפה. יצירת מנגנון לאיסוף מודיעין, ניתוח והפצת תובנות הכרחי בדיוק כמו בשאר זירות ההגנה. 

יש לזכור כי תהליך המודיעין נכון גם בשלב בניית תוכנית העבודה אך הוא מרכיב משמעותי גם בתהליכי השגרה. על כן יש לתכנן מנגנון עקבי ותכוף לייבוא מודיעין הכולל גם מזהי תקיפה (Indicators of Compromise). 

לצד יבוא מודיעין קלאסי, דוחות ופרפרזות, ויבוא מודיעין מהרשת הגלויה והרשת העמוקה, צריך גם לפתח דרכים יצירתיות ואקטיביות (אבטחה אקטיבית) כדי לזהות את כוונת התוקף ודפוסי עבודתו גם בשגרה. 

יש מגוון מנגנונים ושיטות אקטיביות לאיסוף וייבוא מודיעין רלוונטי בארגון. הציד ברשת (cyber threat hunting) זהו קונספט לאיתור שיטות תקיפה מתקדמות של היריב ברשת. מנגנון נוסף הוא מלכודת דבש (honeypot) המבוסס על בניית זירה מדומה ליריב במטרה להסית אותו מהיעדים האמיתיים, אפשרות ללמוד ולהכיר אותו ולהשליך את התובנות על הגנת הרשת האמיתית. 

בשנת 2020 פרסמה חברת Trend Micro תובנות מניסוי שערכו בסביבת מלכודת דבש. כחלק מבניית מלכודת וסביבה מדומה בנתה החברה קו יצור תעשייתי מדומה, הכולל מחשבים, רובוטים, מגוון בקרים ומערכות שליטה עם חיבור לאינטרנט. החוקרים שיערו כי התוקפים ישקיעו מאמצים באיסוף מודיעין ו-OSINT בשלבי האיסוף לפני ההתקפה. בהתאם, נבנה אתר חברה פיקטיבי (ספקית פתרונות לתעשיות ביטחוניות), שמות ותמונות מזויפות של בעלי תפקידים, דוא"ל, מספר וקו טלפון עם הפניה אוטומטית להשארת הודעה וכד'.

זוהי דוגמא קלאסית לשיטה לתיקוף או שלילה של השערות או תפיסת ההגנה. בעוד שהחוקרים שיערו כי מאמצי התקיפה יהיו כנגד מערכות השליטה והבקרה ותקיפת הבקרים עצמם עלה כי מאמצי התוקף כיוונו לסריקת הרשת, מודיעין אקטיבי שמאפשר את למידת היריב, בסביבות מבוקרות (של המגן) ושינוי תפיסה, ניצול משאבי הרשת לכריית נתונים (cryptocurrency mining) ושתי התקפות כופר. 

התלות בין השלבים היא חשובה ביצירת תוכנית עבודה רציונלית. שלב מיפוי הסיכונים מוביל להצבעה על נכסים קריטיים, והצבעה על דפ"אות תקיפה ריאליות ואפשריות. בשילוב הממצאים ניתן לבחור את המערכות, התשתיות או היישומים הקריטים בהם נרצה להשקיע יותר בסידורי אבטחה ומשאבים ועליהם נבצע בדיקת חוסן וחדירות. 

התהליך מאפשר רזולוציה ועומק לבדיקת היתכנות בנכס, כלים ושיטות ריאליות ומתוקפות. הגם שעלויות הבדיקה עלולת להיות גבוהות יותר מבדיקה במתווה white box (בדיקה בה לתוקף יש את מלוא המידע על המערכת הנתקפת, הארכיטקטורה וסידורי האבטחה), מומלץ כי בדיקת החוסן תתבצע במתווה black/ grey box באופן שידמה תוקף, אמיתי, ללא היכרות עם המערכות וסידורי האבטחה. את ממצאי התוכנית יש לגבש ליעדים בתוכנית עבודה שנתית. 

שיטה זו שכללה תהליך מיפוי סיכונים יעודי לארגון ותיקופם באמצעות היסטוריה, מודיעין, הוכחת יכולת ובדיקת חוסן בשטח אפשרה להגדיר את הפערים לטיפול ותוכנית עבודה ריאלית ונתמכת.  

אור שלום –  מומחה לאבטחה וסייבר ויועץ למשרדי ממשלה, תעשיות ביטחוניות והמשק. בעל תואר שני ובעל הסמכות אזרחיות וממלכתיות בעולמות אבטחת המידע והסייבר. עוסק בבניית תוכנית להפחתת סיכוני סייבר לחברות וארגונים, וכן, פיתוח עסקי לחברות בתחומי הסייבר. בציר האקדמי, מוביל תוכניות סייבר מקצועיות לגופים שונים במשק, הסקטור האזרחי הביטחוני התעשיות והאקדמיה. 

השתתפו ב-iHLS InnoTech Expo Tel Aviv – ארוע החדשנות והטכנולוגיות הגדול בישראל בתחום HLS וסייבר – ב-18-19 בנובמבר, 2020 באקספו תל אביב, ביתן 2.

לכל הפרטים ולהרשמה


למידע נוסף


הרשמה לניוזלטר

SIMILAR ARTICLES

image provided by pixabay

IoT. Image by pixabay

image provided by pixabay

image provided by pixabay

counter terror tech

image provided by pixabay

images provided by pixabay

image provided by pixabay