במהלך החודשים האחרונים בוצעו מספר תקיפות ממוקדות על מספר חברות טכנולוגיות מובילות, סוכנויות ממשל בארה"ב וכן על חברות המספקות נשק וציוד לחימה לזרועות הצבא האמריקאי (ולמדינות נוספות). למרות שלא נמסרו פרטים מדוייקים אודות התקיפות, ניתוח של הפרטים הידועים מן החברות הציבוריות (אשר מחוייבות למסור פרטים כלשהם) - RSA ו-GhostNet מאפשר להסיק מספר מסקנות ואף להציע מספר טיפים כיצד להתגונן מפני תקיפות מסוג זה.

במכתב שפירסמה חברת האבטחה RSA לפני כשבועיים, הודתה החברה כי אי-מייל אשר נשלח לחברה הכיל סוס טרויאני, אשר איפשר לתוקפים לגנוב מידע רגיש הקשור לפתרונות האבטחה של החברה. ידוע כי כבר התבצע שימוש במידע זה בכדי לפרוץ אל רשת המיחשוב של לוקהיד מרטין, בתקיפה אשר בסופו של דבר נכשלה (כך נמסר).

כאמור, הפרטים אודות תקיפות מסוג זה הינם נדירים וחלקיים. עם זאת, ניתוח של פריצה בעלת מאפיינים דומים אשר אירעה לפני כשנתיים ופרטים אודותיה כן פורסמו - ואשר נקראה GhostNet - יכול לשמש כמקרה מבחן ממנו יכולים ארגונים ללמוד כיצד להתגונן מפני תקיפות ממוקדות ומתמשכות מסוג זה.

בשנת 2009 פירסמו אוניברסיטת טורונטו וחברת האבטחה SecDev ניתוח מעמיק אודות GhostNet, שהיתה Botnet ששימשה לריגול והשגת מידע, אשר תקפה כ-1,300 רשתות ארגוניות ב-103 מדינות, מתוכן כשליש אשר נחשבו (עבור מפעילי הרשת) כבעלות "ערך גבוה". על הארגונים אשר נפגעו מן התקיפה נמנו שגרירויות, ארגונים בינלאומיים, חברות מדיה וחדשות ווחברות פרטיים.

מאפיין התקיפה העיקרי של GhostNet היה השגת שליטה על תחנת עבודה אחת ברשת, ומשם בוצעו נסיונות להגיע ולהשתלט על שרת מרכזי ברשת, בכדי להשיג גישה לשמות משתמשים וסיסמאות; בסבירות גבוהה, כך בוצעה גם התקיפה על RSA.

למרות שתקיפה מסוג זה נחשבת כתקיפה מתוחכמת, הרי שלאמיתו של דבר היא פשוטה בתכלית; היא מבוססת על כך שיש צורך לפרוץ למחשב אחד בלבד ברשת. משם והלאה - לאחר שלתוקפים כבר יש אחיזה (בסיס) בתוך הרשת הארגונית המותקפת - השלבים הבאים הינם פשוטים הרבה יותר.

הלכה למעשה, RSA כבר הצביעה על קשר בין הטכניקות אשר בהן נעשה שימוש ב-GhostNet לבין התקיפה שבוצעה על רשת החברה. בפוסט שפירסמה החברה לאחר התקיפה, נאמר כי הקוד הזדוני (ה-Malware) חדר לרשת החברה דרך הודעת מייל אשר נשלחה אל מספר מצומצם של עובדי החברה, ואשר הכיל צרופה (Attachment) של קובץ אקסל. כאשר פתחו המשתמשים את הקובץ, בוצע ניצול (Exploit) של פירצת אבטחה ידועה ב-Adobe Flash בכדי להתקין על התחנה הפגועה תוכנת ניהול מרחוק, אשר שימשה את התוקפים.

המזיק שהותקן על התחנות הפגיעות יצר תקשורת חד כיוונית מבפנים החוצה אל מרכז הפיקוד והשליטה שלו (CnC), ובכך - לדברי אורי ריבנר מ-RSA - הקשה מאוד על גילויו. "טכניקות דומות דווחו בעבר בתקיפות מתמשכות וממוקדות (APT) דומות, ובכלל זה GhostNet", הוא הוסיף.

בכדי להתמודד בהצלחה מול תקיפות מסוג זה, מומלץ לבצע שינוי בארכיטקטורת הרשת הארגונית (לפחות בהשוואה לארכיטקטורה הקיימת כיום במרבית הארגונים) תוך כדי ביצוע חלוקה של הרשת לרשתות משנה (סגמנטציה). מבנה רשת "שטוח" (ולצורך העניין גם רשת ארגונית המחולקת לרשתות משנה ברמת VLANs באמצעות מתגי תקשורת היא רשת שטוחה) - מאפשר לתוקפים לפשוט על כלל הרשת ללא כל הפרעה משמעותית (לאחר שהשיגו שליטה על עמדה בודדת או על מספר עמדות קצה).

המצב הקיים כיום במרבית הארגונים - בארץ ובעולם - הינו של רשת שטוחה, מצב אשר מאפשר בפועל לכל משתמש (או לכל תוקף חיצוני שהשיג שליטה על עמדה ברשת הפנימית) להגיע לכ מקום ולכל שרת ברשת. עבודה ברשת שטוחה משמעותה גם שמניחים מראש שכל עמדות הקצה וכל השרתים מאובטחים באופן מושלם ומותקנים בכל טלאי האבטחה העדכניים ביותר; מיותר לציין כי המצב בפועל שונה בתכלית ברובם המכריע של הארגונים.

נקודה חשובה נוספת אותה יש לזכור בהיבטים של דליפת מידע הינה שלאחר שהנזק נעשה, אי אפשר להחזיר את הגלגל לאחור; ומכאן שאסטרטגיה של "כיבוי שריפות" הינה מוטעית בהיבט זה. זאת מכיוון שברגע שהדליפה נתגלתה, אפשר אולי לכבות אותה, אולם אי אפשר להחזיר לקדמותו את מה ש"נשרף". זאת בניגוד אולי לתקלות אחרות דוגמת השבתות או אף מחיקת נתונים מסיבה כלשהי (בתנאי שיש גיבוי מסודר כמובן). ולכן - כנגד הסיכון של דליפת מידע חייבים להיות פרו-אקטיביים, ולחלוטין לא לסמוך על תגובה בזמן אמיתי, משום שבהגדרה היא תהיה מאוחרת מדי.

ובכדי להיות פרו-אקטיביים, מומלץ לעשות שימוש במערכות ופתרונות אשר מסוגלות לבצע Audit & Monitoring על מזיקים פעילים ברשת ברמת פירוט כזו אשר תאפשר לבודד את עמדות הקצה המותקפות בזמן אמיתי - ולהצביע במדוייק על התחנות אשר מבצעות התקשרויות אל מרכזי פיקוד ושליטה חיצוניים, ולחסום התקשרויות אלו עוד לפני שמידע רגיש דולף החוצה.

התמחותה של איי פי וי סקיוריטי בתחום ה- Security Audit & Monitoring מאפשרת לנו להכיר את המתודולוגיות והפתרונות המובילים בתחום, אשר מאפשרים לבצע ניטור מסוג זה.

מעוניינים לתאם פגישה ולשמוע פרטים נוספים? צרו קשר