צדים את התוקפים
גילעד פלג
| 17/07/2017
By Rodolph at the English language Wikipedia, CC BY-SA 3.0, https://commons.wikimedia.org/w/index.php?curid=32928412
פעילות חתרנית-למחצה בשעות הפנאי של אנליסטי סייבר מומחים הפכה בשנתיים האחרונות לתחום 'חם' בעולם הסייבר - ארגונים החלו "לצוד" את התוקפים. בבסיס הציד (hunting) עומדת ההנחה כי הארגון כבר נפרץ והתוקפים מבצעים פעולות בתוך הרשת הארגונית שמותירות "עקבות דיגיטליים". צייד (hunter) מנוסה יידע לאתר את העקבות הללו, להבין מהם איזו פעילות מבוצעת, יאתר את מקור הפריצה ויביא לסתימת פרצת האבטחה.
גישה פרואקטיבית
המונח "ציד" נטבע כנראה על ידי חוקר האבטחה ריצ'רד בייטליך אשר כתב בשנת 2011: "על מנת לעצור מתקפות ממוקדות, יש לבצע פעולות של מתקפות נגד (CTOps). כלומר, על המגינים לצוד פולשים באופן אקטיבי בארגון שלהם".מכון SANS מגדיר ציד כ-"גישה ממוקדת ופרואקטיבית לחיפוש, זיהוי והבנה של יריבים שנכנסו לרשתות הארגוניות". אפילו פירמת האנליסטים גרטנר מכסה את התחום.
בשנתיים האחרונות, עם העלייה בתחכום של התקפות סייבר והכישלון היחסי של מערכות אבטחת מידע להתמודד עם התקפות אלו, עלה צורך בגישה פרואקטיבית. ה"צייד" הוא אנליסט מומחה שאליו מופנות תקריות אבטחה חמורות (Esccalation) לחקירה, לצורך תפעול ותיקון (Remediation).
אותו אנליסט מנוסה, לרוב ב-Tier 3, מחפש איומים על בסיס יומי ולכן נדרש למיומנויות נרחבות והבנה מעמיקה בעולם אבטחת המידע. בין היתר הוא צריך לשלוט בניהול ותפעול מערכות אבטחת מידע, הבנה וידע מעשי בהאקינג, תעודות הסמכה מעולם האבטחה (CISSP, GCIA GCIH, GCFA, GCFE, וכו'), reverse engineering , Pentesting ומספר שנות ניסיון כאנליסט במרכז אבטחת המידע של ארגון גדול (SOC).
המטרה: תקשורת יוצאת
ציד יכול להתבצע באמצעות מספר גדול של מקורות מידע הקיימים בארגון: לוגים של מערכות IT ומערכות אבטחה, נתוני תקשורת האינטרנט של הארגון עם העולם החיצון, ניתוח קבצים המצויים בתחנות הקצה וניתוח דפוסי התנהגות של משתמשים. ציד יכול לעשות שימוש גם בנתוני מודיעין חיצוניים (Threat intelligence) על מנת להעשיר את המידע הקיים ו"להפליל" פעילויות מסוימות כחשודות.
מקור מידע קריטי לציד הוא שרת הפרוקסי הממוקם בין הרשת הפנימית לבין האינטרנט. זהו מקור מידע קריטי משום שרובן המכריע של המתקפות המתוחכמות דורשות תקשורת עם העולם החיצון על מנת להוריד נוזקות, לקבל פקודות משרת שליטה ובקרה (CNC) או על מנת להדליף החוצה מן הארגון מידע רגיש. שרת הפרוקסי מתעד את כל התקשורת ומכאן מכיל את כל האינדיקטורים של פעילות הזדונית.
תנועה חשודה (לדוגמה, גישה לכתובות IP זדוניות, ניסיונות לגשת לרשתות TOR) נחסמת או מסומנת באופן מיידי. האקרים מודעים לכך, ולכן הם מסווים את התקשורת היוצאת שלהם בתנועה "רגילה", על ידי גישה לכתובות IP רגילות ואתרי אינטרנט, כך שמערכות הגנה מסורתיות בדרך כלל לא יתריעו על על פעילות זו כחשודה.
אחת הדרכים לזהות מתקפה כזו ביעילות היא באמצעות אלגוריתם מסוגל לחפש אינדיקטורים בתקשורת היוצאת מהארגון (מדובר על טרות רבות של דאטה) ולקבץ את הנתונים ל"אשכולות" שונים, בהתבסס על מאפייני פעילות / אירוע כגון כתובת IP, שם host, זמן וכן הלאה.
לאחר שהמערכת מזהה (בצורה אוטומטית) פעילות חשודה, האנליסט מקבל את כל המידע הקשור ל"תקרית"- התחנות הנגועות, כתובות ה-IP החיצוניות, אופי התעבורה וכו', כך שקל להבין את היקף הפריצה, ההשלכות שלה ועל ידי כך להיערך ולהגיב בהתאם.
יש לכך משמעות מיוחדת בעידן של תקנות אבטחת מידע ופרטיות (כגון GDPR באירופה ואפילו תקן אבטחת המידע שפרסמה רשות הסייבר) שמחייבת ארגונים ליידע את הגורמים המושפעים ממתקפת סייבר בזמן הקצר ביותר. לצייד יש חלק חשוב ביכולת של הארגון להבין מה הותקף, מה הודלף ולמי המידע קריטי באמצעות הבנה כוללת של המתקפה. זאת, בשונה מאנליסט SIEM שמטפל רק בהתראה בודדת.
האם ציד מתאים לכל הארגונים?
ציד זו פעילות הדורשת התמחות, כלים מיוחדים, זמן ותשומות. מירב הארגונים מתמודדים בהצלחה מוגבלת למדי עם הבסיס של אבטחת המידע, וחלקם סובלים ממחסור בכוח אדם איכותי ומנוסה.
אולם, ארגונים מתקדמים, שברשותם מידע רגיש (בטחוני, עסקי או אישי) מבינים כי פעילות אבטחת המידע המסורתית לא מספקת. לראיה, זמן ממוצע עולמי לגילוי מתקפה בארגון עומד על כ-100 ימים. זהו פרק זמן ממושך המאפשר לתוקף להשיג את כל מטרותיו ומותיר את הארגון פגיע וחשוף.
ראוי לציין את רשות הסייבר הישראלית שפרסמה לאחרונה את מסמך "תורת ההגנה בסייבר לארגון", הכולל בתוכו המלצות לציד. בסעיף הגנת סייבר פרואקטיבית נכתב: "המסמך ממליץ על ביצוע ציד אחר האיומים, על ידי הגדרת תכנית מסודרת ומחזורית של ניטור פעילות בארגון לאורך (ארגון – עולם) ולרוחב (בתוך הארגון), יחד עם מקורות נוספים כמו מודיעין חיצוני, ביצוע ציד של איומים אפשריים על ידי ניתוח והצלבות המידע, ומענה לאיומים, בין אם אותרו בפועל במסגרת הציד ובין אם כהכנה לבלימה עוד לפני שקרו".
הכותב הוא מנכ"ל חברת SecBI המפתחת מערכת לתמיכה בפעילות הצייד
By Rodolph at the English language Wikipedia, CC BY-SA 3.0, https://commons.wikimedia.org/w/index.php?curid=32928412
פעילות חתרנית-למחצה בשעות הפנאי של אנליסטי סייבר מומחים הפכה בשנתיים האחרונות לתחום 'חם' בעולם הסייבר - ארגונים החלו "לצוד" את התוקפים. בבסיס הציד (hunting) עומדת ההנחה כי הארגון כבר נפרץ והתוקפים מבצעים פעולות בתוך הרשת הארגונית שמותירות "עקבות דיגיטליים". צייד (hunter) מנוסה יידע לאתר את העקבות הללו, להבין מהם איזו פעילות מבוצעת, יאתר את מקור הפריצה ויביא לסתימת פרצת האבטחה.
גישה פרואקטיבית
המונח "ציד" נטבע כנראה על ידי חוקר האבטחה ריצ'רד בייטליך אשר כתב בשנת 2011: "על מנת לעצור מתקפות ממוקדות, יש לבצע פעולות של מתקפות נגד (CTOps). כלומר, על המגינים לצוד פולשים באופן אקטיבי בארגון שלהם".מכון SANS מגדיר ציד כ-"גישה ממוקדת ופרואקטיבית לחיפוש, זיהוי והבנה של יריבים שנכנסו לרשתות הארגוניות". אפילו פירמת האנליסטים גרטנר מכסה את התחום.
בשנתיים האחרונות, עם העלייה בתחכום של התקפות סייבר והכישלון היחסי של מערכות אבטחת מידע להתמודד עם התקפות אלו, עלה צורך בגישה פרואקטיבית. ה"צייד" הוא אנליסט מומחה שאליו מופנות תקריות אבטחה חמורות (Esccalation) לחקירה, לצורך תפעול ותיקון (Remediation).
אותו אנליסט מנוסה, לרוב ב-Tier 3, מחפש איומים על בסיס יומי ולכן נדרש למיומנויות נרחבות והבנה מעמיקה בעולם אבטחת המידע. בין היתר הוא צריך לשלוט בניהול ותפעול מערכות אבטחת מידע, הבנה וידע מעשי בהאקינג, תעודות הסמכה מעולם האבטחה (CISSP, GCIA GCIH, GCFA, GCFE, וכו'), reverse engineering , Pentesting ומספר שנות ניסיון כאנליסט במרכז אבטחת המידע של ארגון גדול (SOC).
המטרה: תקשורת יוצאת
ציד יכול להתבצע באמצעות מספר גדול של מקורות מידע הקיימים בארגון: לוגים של מערכות IT ומערכות אבטחה, נתוני תקשורת האינטרנט של הארגון עם העולם החיצון, ניתוח קבצים המצויים בתחנות הקצה וניתוח דפוסי התנהגות של משתמשים. ציד יכול לעשות שימוש גם בנתוני מודיעין חיצוניים (Threat intelligence) על מנת להעשיר את המידע הקיים ו"להפליל" פעילויות מסוימות כחשודות.
מקור מידע קריטי לציד הוא שרת הפרוקסי הממוקם בין הרשת הפנימית לבין האינטרנט. זהו מקור מידע קריטי משום שרובן המכריע של המתקפות המתוחכמות דורשות תקשורת עם העולם החיצון על מנת להוריד נוזקות, לקבל פקודות משרת שליטה ובקרה (CNC) או על מנת להדליף החוצה מן הארגון מידע רגיש. שרת הפרוקסי מתעד את כל התקשורת ומכאן מכיל את כל האינדיקטורים של פעילות הזדונית.
תנועה חשודה (לדוגמה, גישה לכתובות IP זדוניות, ניסיונות לגשת לרשתות TOR) נחסמת או מסומנת באופן מיידי. האקרים מודעים לכך, ולכן הם מסווים את התקשורת היוצאת שלהם בתנועה "רגילה", על ידי גישה לכתובות IP רגילות ואתרי אינטרנט, כך שמערכות הגנה מסורתיות בדרך כלל לא יתריעו על על פעילות זו כחשודה.
אחת הדרכים לזהות מתקפה כזו ביעילות היא באמצעות אלגוריתם מסוגל לחפש אינדיקטורים בתקשורת היוצאת מהארגון (מדובר על טרות רבות של דאטה) ולקבץ את הנתונים ל"אשכולות" שונים, בהתבסס על מאפייני פעילות / אירוע כגון כתובת IP, שם host, זמן וכן הלאה.
לאחר שהמערכת מזהה (בצורה אוטומטית) פעילות חשודה, האנליסט מקבל את כל המידע הקשור ל"תקרית"- התחנות הנגועות, כתובות ה-IP החיצוניות, אופי התעבורה וכו', כך שקל להבין את היקף הפריצה, ההשלכות שלה ועל ידי כך להיערך ולהגיב בהתאם.
יש לכך משמעות מיוחדת בעידן של תקנות אבטחת מידע ופרטיות (כגון GDPR באירופה ואפילו תקן אבטחת המידע שפרסמה רשות הסייבר) שמחייבת ארגונים ליידע את הגורמים המושפעים ממתקפת סייבר בזמן הקצר ביותר. לצייד יש חלק חשוב ביכולת של הארגון להבין מה הותקף, מה הודלף ולמי המידע קריטי באמצעות הבנה כוללת של המתקפה. זאת, בשונה מאנליסט SIEM שמטפל רק בהתראה בודדת.
האם ציד מתאים לכל הארגונים?
ציד זו פעילות הדורשת התמחות, כלים מיוחדים, זמן ותשומות. מירב הארגונים מתמודדים בהצלחה מוגבלת למדי עם הבסיס של אבטחת המידע, וחלקם סובלים ממחסור בכוח אדם איכותי ומנוסה.
אולם, ארגונים מתקדמים, שברשותם מידע רגיש (בטחוני, עסקי או אישי) מבינים כי פעילות אבטחת המידע המסורתית לא מספקת. לראיה, זמן ממוצע עולמי לגילוי מתקפה בארגון עומד על כ-100 ימים. זהו פרק זמן ממושך המאפשר לתוקף להשיג את כל מטרותיו ומותיר את הארגון פגיע וחשוף.
ראוי לציין את רשות הסייבר הישראלית שפרסמה לאחרונה את מסמך "תורת ההגנה בסייבר לארגון", הכולל בתוכו המלצות לציד. בסעיף הגנת סייבר פרואקטיבית נכתב: "המסמך ממליץ על ביצוע ציד אחר האיומים, על ידי הגדרת תכנית מסודרת ומחזורית של ניטור פעילות בארגון לאורך (ארגון – עולם) ולרוחב (בתוך הארגון), יחד עם מקורות נוספים כמו מודיעין חיצוני, ביצוע ציד של איומים אפשריים על ידי ניתוח והצלבות המידע, ומענה לאיומים, בין אם אותרו בפועל במסגרת הציד ובין אם כהכנה לבלימה עוד לפני שקרו".
הכותב הוא מנכ"ל חברת SecBI המפתחת מערכת לתמיכה בפעילות הצייד
