"היום המתקפות הכי מתוחכמות מסתכמות בדברים הכי בסיסיים"

התקפות הסייבר שחווינו בשנה האחרונה יימשכו גם בעתיד הקרוב, מדינות יתייצבו כמעט בגלוי אחרי התקפות כאלה, וארגונים בגודל בינוני, שסברו עד כה כי "לי זה לא יקרה", ייאלצו להפנים שהם לוקחים על עצמם סיכון אסטרטגי שעלול לסכן אפילו את עצם קיומם. ועם זאת, על אף שעולם תקיפות הסייבר מתפתח במהירות, עדיין רובן המוחלט מתבססות על עקרונות פשוטים שיש ללמוד ולהפנים. אלה עיקר המסרים שיצאו מהפאנל "כיצד חברות ומדינות צריכות להיערך מבחינת אבטחה לשנת 2021?", בהנחיית אופיר דור מגלובס.

סיכון של תקיפות ארגונים באמצעי סייבר עמד כל הזמן על הפרק, ואולם נראה כי מאז התקיפות על שירביט, עמיטל ואינטל שנחשפו בחודש שעבר, המודעות לנושא בישראל התעצמה. ואולם, היועץ הבכיר להנהלות ומומחה לניהול משבי סייבר ב-Ness, עמי צרפתי, מתריע כי טרם הבחין בשינויים אמיתיים בקרב ארגונים בישראל. "לא הייתי קורא למה שקורה שינוי, אלא יותר מודעות או התעוררות. אין ספק שהעלייה החדה במתקפות הסייבר הייתה כמו אגרוף בבטן הרכה של הארגונים. השאלה על אירוע סייבר אינה 'אם' אלא 'מתי'".

 עמי צרפתי / צילום: איל יצהר

להערכת צרפתי, השינוי העיקרי שנדרש כיום מארגונים בישראל, הוא בתפיסה. "אירוע סייבר אינו אירוע טכנולוגי אלא אסטרטגי, שעלול לגרום להתמוטטות חברה. הנהלות צריכות להבין שהגנת הסייבר עולה כסף, ולפעמים הרבה כסף. לצערי, בהרבה ארגונים שהנושא אינו נמצא בראש סדר העדיפויות של המנהלים. ישנם ארגונים שכן משלבים הגנות סייבר, אבל רק כדי לסמן וי, ולא משום שמבינים את חשיבות הדבר הזה. אז נכון שסייבר אינו הכול, אבל סייבר זה קודם כל".

ולאד קורסונסקי, מנהל קבוצת Cloud Cyber Security במיקרוסופט ישראל, רואה את המתקפה על חברת סולאר ווינדס האמריקנית כקו פרשת מים בכל הקשור לתקיפות סייבר. התקיפה נחשבת למתוחכמת, וככזו שמדינה עמדה מאחוריה (בעוד טראמפ מאשים את הסינים, ביידן דווקא רואה ברוסים כאחראים לתקיפה הזו).

 ולאד קורסונסקי / צילום: איל יצהר

"לחברה יש 300 אלף לקוחות ברחבי העולם, ובמסגרת התקיפה נפגעו בערך 18 אלף מהם. התוקף חדר לרשת של החברה, וביצע מה שמכונה 'מתקפת שרשרת אספקה (SUPPLY CHAIN)'. הוא שתל קוד משלו בתוך תוכנה לגיטימית של החברה והשתמש בה כדי להפיץ את ה'דלת האחורית' בקרב הלקוחות.

כלומר, שלא ביודעין, סולאר ווינדס היוותה ראש גשר לתוקף. הוא נכנס לחברות הללו תקופה ארוכה בטרם התגלה. באופן כללי, הפרשה הזו מדגימה עד כמה שיתוף הפעולה ושיתוף הידע של קהילת האינפוסק,Info security) קהילת אבטחת המידע) היא חשובה, כי רק כך אנחנו יכולים להתמודד עם כאלה אירועים".

ועדיין, מדובר בתקיפה מהסוג שקורסונסקי מכנה "תקיפות של האלפיון העליון". לדבריו, "זה אירוע נדיר ומכונן עבור כל התעשייה. רוב התקיפות שארגונים בארץ ובעולם חווים ויחוו בעתיד הן פשוטות יותר".

גם לביא לזרוביץ', מנהל המחקר במעבדות CyberArk, הדגיש שמדובר באירוע חריג, וכי ברוב המקרים "הדרך של התוקפים להיכנס לרשת ולהוציא מידע החוצה קשורה לבעיות קונפיגורציה, שם משתמש וסיסמה של אנשים פריבילגיים. למרות שהתקיפות מגובות בחלקן על ידי ממשלים, בסופו של דבר בהרבה מאוד מקרים הן מאוד פשוטות.

"כשאנחנו מסתכלים על המתקפות הכי מתוחכמות היום, הרבה מזה מסתכם בדברים הכי בסיסיים, מפני שהתוקפים לא רוצים לחשוף את כל הכלים שלהם. אם יש להם דרך פשוטה יותר להיכנס פנימה באמצעות שם וסיסמה, זה עדיף להם".

גיל ברעם, מומחית לאסטרטגיה ולמדיניות סייבר, ומנהלת המחקר בסדנת יובל נאמן למדע, טכנולוגיה וביטחון באוניברסיטת תל אביב, עוסקת בעיקר בתקיפות סייבר מנקודת מבט של מדינות, והיא מבחינה בגידול משמעותי של תקיפות דווקא על רקע הקורונה. "משבר הקורונה יצר הרבה אתגרים למגנים, והזדמנויות חדשות לתוקפים.

 גיל ברעם

"אפשר לזהות שלוש דרכים שבהן הקורונה השפיעה על התחום. הראשונה, העצמת בעיות קיימות בתחום הגנת הסייבר. השנייה, היא הגדילה את התלות שלנו בטכנולוגיה, וזה יצר עוד דרכים לתקיפות. ושלישית, היא הרחיבה את מעגלי המטרות של התוקפים, אם זה בתקיפות כופר נגד מוסדות בריאות ובתי חולים, ריגול רחב היקף, וחברות שמפתחות חיסונים וגם הפצת דיסאינפורמציה.

"ראינו תקיפות של אירן, סין, צפון קוריאה ורוסיה כנגד מוסדות בריאות, וכנגד חברות שמפתחות חיסונים. ראינו גם מדינות שניצלו את המשבר, שבא לידי ביטוי בעיקר בעבודה מהבית, דבר שאיפשר גם תקיפות נגד הפנטגון ועובדיו, למשל".

בתקופה האחרונה, אומרת ברעם, מדינות מרחיבות את המעורבות שלהן בתקיפות סייבר, והנושא אף הופך להיות יותר פומבי. הן חושפות יותר התקפות שהן חוו וגם תקיפות שיזמו, וזה בניגוד למדיניות העמימות המאפיינת בדרך כלל את ישראל. טראמפ, למשל, הודה בפומבי שארה"ב מבצעת מבצעי סייבר התקפי נגד רוסיה; אוסטרליה ובריטניה חשפו יחידות סייבר התקפיות ועוד.

"מבצעי סייבר חשאיים, שמדינות נתפסו כמי שלא רוצות לחשוף אותם, הופכים למשהו יותר פומבי, בין היתר כדי ליצור כללי התנהגות בנושא. פעם זה התפרס כחולשה, אבל היום מדינות מודות שהותקפו, בין היתר משום שזה נותן להן לגיטימציה להתקיף חזרה", מסבירה ברעם.

אחת האפשרויות שעומדות בפני ארגונים להיות מוגנים היא מעבר לענן ציבורי. לדברי קורסונסקי, "גבולות הארגון מטושטשים מאוד. בעבר יכלו לדעת מהיכן העובדים נכנסים למערכות המידע של הארגון. היום, וגם בעתיד, כשמודל העבודה מרחוק מלווה וילווה אותנו, הגבולות הללו כבר לא קיימים. לכן, הארגונים צריכים להתקדם למודל אחר של אבטחת מידע. צריך לוודא ולאמת כל הזמן מי נכנס לארגון ומהיכן, מה מותקן על כל אחד מהמחשבים של העובדים, ועד כמה המידע מוצפן ולעשות את התהליכים הללו כל הזמן".

לדבריו, "הענן נותן פתרון למספר בעיות. ראשית, בעיית המיפוי - איזה נכסים יש בארגון, ומה רמת האבטחה שלי היום. מיקרוסופט משקיעה מיליארד דולר בשנה באבטחת מידע, וחלק גדול מזה מיועד לגרום לענן המיקרוסופטי להיות אמין ומאובטח ככל הניתן". בחברה, אומר קורסונסקי, מגלים כ-8 טריליון אינדיקציות בחודש לניסיונות תקיפה גלובליים.

 לביא לזרוביץ' / צילום: איל יצהר

בשלב זה, לזרוביץ' חזר לעניין הבסיסי, שהוא לדבריו המפתח לכל אבטחה ארגונית שהיא, ואמר כי CyberArk היא הראשונה שהחלה להסתכל אל הארגון פנימה, מתוך נקודת מוצא שהתוקף כבר הצליח להיכנס לתוכו, ואם לא - הוא יצליח. "הוא ייכנס באמצעות נוזקה דרך מייל, הודעה או אפליקציה שבה משתמש הארגון. עדיין אנחנו אומרים לחברות: 'תתחילו מהבייסיק', כי משם רוב התקיפות מגיעות". 

הכנס בשיתוף: סייבריזן, מיקרוסופט, Aig ונס