"מנהלי הרשת הם החוליה החלשה"

סמנכ"ל ארק על תקיפת הסייבר בחיפה

רועי אדר, סמנכ"ל ניהול מוצר בחברת סייבר ארק (יח"צ)

בעקבות החשד להתקפה לפני שבועיים שעבר על מערכת המים של חיפה שבוצעה כביכול על ידי "הצבא האלקטרוני של סוריה" וכן בעקבות התגברות ההתקפות הממוקדות מסוג APT כנגד יעדים עסקיים, ממשלתיים וצבאיים בחודשים האחרונים ברחבי העולם, אומר רועי אדר, סמנכ"ל ניהול מוצר בחברת סייבר ארק הישראלית, כי אחד הפתרונות שיש ליישם הוא בקרה טובה יותר על זהות מנהלי הרשת בארגון. ולא, אין הכוונה לבקרה ניהולית, כי אם לבקרה על הגישה של חשבונות Admin למשאבים קריטיים ברשת הארגון.

"כמעט כל ההתקפות היו צריכות לעבור מספר שלבים", מסביר אדר. "אחד השלבים הוא זיהוי והשתלטות על חשבונות Admin של מנהל הרשת. פעולה כזו מאפשרת לתוקף לעשות פעולות חופשיות ברשת. אנחנו בסייבר ארק מספקים כספת לפרטי הזהות של החשבונות האלו שכוללת מנגנון המאפשר אכיפת מדיניות אבטחה בצורה טובה יותר.

"בצורה מופשטת ניתן לחלק את ההתקפה לשלושה שלבים של התקפה. למצוא את היעד ולהדביק אותו במשהו. שלב איסוף מידע על הרשת והסביבה של שרתים, קבצים ומערכות. ושלב שלישי הוא שידור מידע למרכז הבקרה של התוקף (C&C).

"אנחנו נכנסים לפעולה החל מהשלב הראשון. הרעיון הוא לתת לכל משתמש בארגון חשבון מוגבל לפעולות השוטפות, ורק כאשר משתמש שהוא מנהל רשת רוצה לבצע פעולה במשאב קריטי לפעילות הארגון כמו שרת, נתב או ציוד אבטחה, הוא מקבל מהכספת שלנו הרשאה לעשות זאת".

את הערך המוסף של סייבר ארק לאבטחת הרשת אפשר לחלק לשני חלקים. הראשון הוא הכספת הווירטואלית בה מוחזקים פרטי המשתמש של מנהלי הרשת ושל נכסי ה-IT והתקשורת של הארגון. יש לזכור כי בארגונים גדולים בארץ מספר השרתים יכול להגיע לעשרות אלפים, ובחו"ל למאות אלפי שרתים. לנהל את הפרטים הללו בקובץ אקסל היא משימה כמעט בלתי אפשרית וגם אינה תואמת את דרישות אבטחת המידע מארגונים כאלו.

החלק השני הוא ההתחברות לאותם נכסי IT ותקשורת היכולים לפגוע בפעילות השוטפת של הארגון או הלקוחות הארגון. כאשר מנהל רשת רוצה לבצע פעולה מסוימת בשרת למשל, הוא מפנה בקשה לכספת של סייבר ארק, שעושה וידוא זהות במספר שלבים. לאחר מכן, הכספת של מעבירה את הבקשה לרכיב נוסף במערכת שמקשר בין השרת לבין המחשב האישי של מנהל הרשת, כאשר למחשב האישי נשלח רק מידע גרפי בדמות פיקסלים של מצב השרת. בנוסף, התעבורה מוצפנת בפרוטוקול מיוחד של סייבר ארק.

בתרחיש כזה, אם מותקן קוד זדוני על המחשב האישי של מנהל הרשת, העובדה שתעבורת הנתונים עוברת דרך המערכת של סייבר ארק ומועברת למחשב האישי בצורה גרפית, מפחיתה את היכולת שלה לבצע נזק כלשהו בשרת עימו מתבצעת התקשורת. אמנם אותו קוד זדוני יוכל לצלם את המסך של מחשב מנהל הרשת, אבל תמנע ממנו הגישה לנכס ה-IT הקריטי שיכול לפגוע בארגון. 

"ברשת ארגונית בה מותקן הפתרון שלנו, מנהל הרשת לא יודע את הסיסמא שלו ולא את הסיסמא של השרת מולו הוא עובד. הוא ניגש למערכת שלנו, מזדהה עם כרטיס חכם או אמצעים אחרים, ואומר לאן הוא רוצה להתחבר. הפעולה הזו מייצרת אוטומטית לוג במערכת וממנו אפשר לייצר התרעות לבקרה. אם למשל מנהל רשת רוצה להתחבר לשרת מסוים בשעה שהוא לא נמצא במשרד, זה יכול להצביע על פעולה של תוקף", אומר אדר.

"יש לנו מעל 1300 לקוחות בעולם. חלקם ארגונים ביטחוניים, ויש לנו יותר מ-100 ארגוני תשתיות קריטיות ממגזר המים, החשמל,  הגז והנפט. הרעיון הוא להגן על האנשים בעלי פוטנציאל הפגיעה הכי גבוה לארגון. מתחילה להתפתח היום רגולציה הדורשת גישה מבוקרת של מנהלי הרשת, אחת הדוגמאות היא התייחסות לנושא בתקן PCI-DSS".

אחד המגזרים שעושים שימוש במערכת של סייבר ארק אלו ארגנים המנהלים תשתיות קריטיות. מדוע? מכיוון שמדובר על מערכות ישנות, חלקן מנוהלות על ידי תקשורת מסוג SCADA, ובדרך כלל מחליפים אותן אחת לכמה עשרות שנים. בבקרים של המערכות הללו אין אבטחת מידע, ולכן פתרונות כמו אלו מוסיפים שכבת גישה מאובטחת לבקרים, מבלי לשנות את מבנה הרשת של הארגון.

אולי יעניין אותך גם

השבוע נפתח לראשונה קורס מנהלי קהילות בצה״ל

צילום: דובר צה״ל

לראשונה: קורס מנהלי קהילות בצה״ל

במסגרת קורס מנהלי הקהילות הראשון, יקומו תשע קהילות חדשות, חוצות גופים ודרגות - פלטפורמה וירטואלית משותפת בה יוכלו לשתף ולרכוש ידע, ליצור שיתופי פעולה, להתייעץ ולהתפתח