תפישת ההגנה בסייבר
איך מתמודדים עם הלא נודע בסייבר? הפתרון טמון בשינוי תפישה ויישום מתודולוגיות הגנה חדשות
הגנה לישראל
| 19/05/2011
(shutterstock.com)
עולם המחשוב חווה בשנים האחרונות שינוי מטריד בדמות התקפות קיברנטיות על תשתיות לאומיות, ארגונים מסחריים ומשתמשי מחשב פרטיים. התקפה קיברנטית, להבדיל משנים עברו, מתאפיינת בין היתר במיקוד ההתקפה, חשאיותה ומשך הזמן שלה.
קצת היסטוריה לרענון הזכרון. בעבר הלא רחוק, איום קיברנטי, התפשט במהירות דרך רשת האינטרנט העולמית תוך שהוא פוגע ללא הבחנה במחשבים רבים ומטרתו אחת - גרימת נזק למערכת המחשוב הנפגעת על מנת לגרום לפגיעה בשירות, השבתתו או שינויו, על מנת לגרום למבוכה של הצד המותקף ולהאדרת שמו של התוקף.
עלייתה של אי הידיעה
בעבר היותר קרוב, המוטיבציה להתקפה השתנתה. התוקפים ניצלו חולשות של מערכות מחשוב (ידועות בעיקרן) וזאת על מנת לאפשר גניבת מידע לצורכי מסחר, ריגול או איסוף מידע לצרכי התקפה. בשנים האחרונות, המוטיבציה זהה, אך שיטות ההתקפה הפכו ליותר מתוחכמות והן כוללות שימוש במרכיב סוציו-טכנולוגי חדש - אי הידיעה. ההתקפות משתמשות בחולשות לא ידועות, קוד התקפה לא ידוע ונמשכות פרקי זמן ארוכים של חודשים ולעיתים שנים. כל אלה מונעים מצוותי ההגנה לדעת כי משהו מתרחש בתוך המערכות.
יש לזכור, כי התוקפים היום משתמשים במקביל בסוגי התקפות שונות על מנת למסך את יעד התקיפה העיקרי ולהסיח את תשומת הלב של גורמי ההגנה להתקפות שוליות ומשניות במטרה לבזבז זמן ומשאבים. קיימים מקרים מפורסמים אשר בהם פעלו התקפות על פי תרחישים אלה. מקרה RSA או Stuxtnet משמשים דוגמא למקרים בהם ניצל הצד התוקף חולשות לא ידועות וההתקפה נמשכה שנים.
לכאורה, ההגנה בתנאים אלה אינה אפשרית. הרי איך ניתן להתגונן בפני הלא ידוע? איך ניתן לזהות איום במערכת מחשוב אם הוא לא מזוהה על ידי שום כלי הגנה? איך ניתן להבין מתי התחילה ההתקפה או באיזה שלב היא נמצאת אם אין שום אינדיקציה ברשת?
מעבר לשאלות הפילוסופיות העמוקות המסתתרות מאחורי המושג אי-ידיעה, נדרשות מחלקות ההגנה בארגונים השונים לתפישת הגנה רחבה יותר מזו הקיימת היום. בחלק מהמקרים מדובר על תפישות שלא השתנו בעשרות השנים האחרונות. מהגנת שערי הכניסה והיציאה, דרך הגנה על נקודות הקצה ועד תפישת השכבות - תפישות הגנה אלו אינן מסוגלות להתמודד עם הרעיון הפשוט של "אי-ידיעה".
תפישה הגנתית
הדרך היחידה לאפיין, להגדיר ולמצוא את הלא ידוע היא על ידי הגדרת הידוע, ותפישת ההגנה בעולם הקיברנטי כיום חייבת לקחת בחשבון דרך פעולה אשר ממפה את סוגי ההתקפות הידועות. אבני הבניין העומדות בבסיס תפישת ההגנה בעולם הקיברנטי הן: מודיעין גלובאלי, תמונת מצב וניתוח איומים. בניית כח הגנה המבוסס על שילוב של יסודות אלו, בנוסף לכלי ההגנה הקיימים, תאפשר לארגונים (לאומיים ומסחריים), להתמודד בזמן אמת עם איומים קיברנטיים לא ידועים וממוקדים.
לשלושת אבני בניין מרכזיות אלו קיימים קווים מנחים משותפים - מיפוי הידוע, שלילה (אלימנציה) וניתוח. על ידי עמידה בקווים מנחים אלו ומימוש טכנולוגיות תומכות, ניתן לבודד את הלא ידוע, לאפיין אותו, להגדיר אותו ולבסוף למצוא לו מענה הגנתי.
ברבים מהארגונים, קיימים חלקים מיסודות אלו ובחלקם קיימים כולם. הקמת כח הגנה קיברנטי כוללת בעיקר הגדרת תהליכים תומכים במעבר בין לא ידוע לידוע, כאשר שם המשחק הוא אוטומציה. תהליכים ידניים או במקרים גרועים יותר, אי קיומם של תהליכים תומכים, לא תאפשר לארגון להתמודד פרואקטיבית עם איומים ממוקדים ולא ידועים.
יכולות ההגנה של הארגון התלויות בספק אבטחת מידע כזה או אחר, לא יספיקו. לא במימד זמן התגובה ולא במימד הכמות להתמודדות עם הלא ידוע. הרעיון המיושן העומד בבסיס מחלקות ההגנה שאומר "בוא נדרוש מיצרן האבטחה חתימה לטיפול באיום", לא עומד בקנה אחד עם מציאות האיומים של היום.
מודיעין גלובאלי
דו"חות "מצב האינטרנט" למיניהם מצביעים על כך כי בשנתיים האחרונות לפחות, ניתן למצוא איום הקיים אצל 2-5 לקוחות בלבד. במקרים של התקפות ייעודיות וממוקדות, יימצא האיום ברשת הארגון המותקף בלבד. כל פנייה ליצרן אבטחה מסחרי במקרים אלו תעלה לארגון בזמן יקר, אותו ניתן היה לנצל אם היה בידי הארגון הידע על האיום כבר בזמן גילויו או אף לפני כן. מימוש יכולות אוטומטיות של מודיעין, בניית תמונת מצב וניתוח הנתונים, יאפשרו התמודדות פרואקטיבית ואף פרדקטיבית עם איומי הסייבר, מתוחכמים וחשאיים ככל שיהיו.
מרחב הסייבר אינו שונה בהיבטי ההגנה ממרחבי לחימה אחרים. גם במרחב זה מתקיימות היישויות הידועות של תוקפים ומגנים. כל צד מנסה לנצל במידה הגדולה ביותר את יכולותיו והכלים העומדים לרשותו על מנת להשיג את המטרה. התוקפים בסייבר ינצלו חולשות קיימות, ימציאו קודים ושיטות חדשות להתקפה וישכתבו קוד קיים. המגנים לעומתם ישתמשו בכלי ההגנה הקיימים, ישפרו תהליכים ויאמצו כלי הגנה חדשים.
כמו במרחבים אחרים, גם בסייבר יש למודיעין תרומה משמעותית להגנה ולהתקפה. במסגרת תפישת ההגנה בסייבר, המודיעין משמש על מנת להשיג שני יעדים עיקריים - הכרת הכלים המשמשים להתקפה וידיעות מקדימות על כוונות לתקיפה.
המודיעין המתרכז בנושא הכוונות, נמצא בחיתוליו. מדובר במידע המכיל נתונים על כוונתה של קבוצה או יחיד לבצע התקפה על ארגון. למרות זאת, דרך ההתמודדות ההגנתית אינה שונה בין הידיעה על כוונה לבין הידיעה על כלי התקפה חדש. לכן, היכולת הנדרשת בשלב זה צריכה להיות הכרה של כלי ההתקפה ולאו דווקא ידיעה על התקפה עתידית.
מודיעין גלובאלי מתבסס בעיקרו על רשתות איסוף קיברנטיות ורשתות כאלה מצויות בידי חברות האבטחה העולמיות. חברות אלה בנו רשתות איסוף במשך שנים על מנת לאפשר להם לעמוד במשימת התמודדות עם הלא ידוע. חלק מדרכי הפעולה של אותן חברות היא לייצר בסיס ידע ומודיעין רחב ככל הניתן על מנת לדעת מה קורה בסייבר ולייצר מענה הגנתי מתאים מראש או בדיעבד.
רשתות איסוף מודיעין אלה כוללות בין היתר חיישנים, מלכודות דבש, סוכנים מותקנים ועוד. ככל שחברת האבטחה גדולה יותר, מספר משתמשיה גדול יותר והוא פרוס גיאוגרפית על שטחים נרחבים, כך כמות המידע הנאסף גדולה יותר. באותה מידה, ככל שמספר האנליסטים ומומחי האבטחה באותה חברה גדול יותר ומקצועי יותר, כך רמת הניתוח של המידע טובה יותר. בחברות האבטחה הגדולות מדברים על מידע בכמויות של פטה בייטים, כאשר מידע זה מנותח על בסיס קבוע ומתוכו נגזר אופן ההתקפות, החדשות (ידוע) והעתידיות (לא ידוע).
סגירת מעגלים
על מנת לאפשר לארגון להתמודד עם הלא ידוע בהבטי ההגנה, נדרשת יכולת קבלת מודיעין גלובאלי ממקור מהימן בצורה אוטומטית. המידעים אשר יאפשרו לארגון להתמודד טוב יותר עם איומים קיברנטיים כוללים בין היתר מידע על חולשות חדשות, איומים חדשים, עדכונים על שיטות פעולה של איומים קיימים, מיפוי של כתובות IP החשודות בפעילות עויינת ומידע על אתרים המכילים קוד עויין או אשר מהווים בסיס להתקפות מסוגים שונים. מידעים אלה המתקבלים בארגון בצורה אוטומטית על בסיס קבוע מהווים את אבן הבניין הראשונה בתפישת ההגנה בסייבר.
המשמעות המיידית של שימוש במידעים גלובאליים היא הגדלת טווח הידוע. ההתמודדות עם התקפה צריכה להתחיל בידיעות ברורות וחד משמעיות לגבי אופי כלי ההתקפה. הבנה של כלי זה ומיפוי שלו, יאפשרו למחלקות ההגנה להערך בצורה טובה יותר למתקפה. בין אם על ידי סגירת הפער, הקשחת המערכת החשופה או על ידי העלאת רמת הניטור. כל זאת, על מנת לעבור ממצב לא ידוע למצב ידוע.
תפישת ההגנה בסייבר מצריכה גם סגירת מעגלים. כמו במקרים של התקפה במרחב הפיזי כגון אירוע טרור, גם בסייבר נדרשת הכלה של האירוע, סגירת מעגלים ותיאום ושיתוף פעולה בין הכוחות השונים המגנים במרחב עד לנטרול האיום. המידעים הגלובאליים אשר מתקבלים בצורה אוטומטית ומוכנסים למערכות ההגנה והבקרה הקיימות ( CMDB, SIEM, INVENTORY, EPS, IPS וכדומה), מאפשרים לארגונים למפות את הידוע בהבטי איום, מצב קיים וניתוח. על ידי מיפוי הידוע ושלילת תהליכים חשודים, ניתן לרכז מאמץ בלא ידוע ועל ידי כך לסגור מעגלים ולהתקדם לקראת שליטה במצב.
שיטת ה"סמוך" נכשלה
מחלקות ההגנה בארגונים לאומיים ועסקיים, נדרשות בשנים האחרונות להתמודד עם התקפות בעלות אופי שונה מזה של השנים הקודמות. לשם כך נדרש שינוי תפישה ויישום של מתודולוגיות הגנה הבאות מעולם ההתמודדות עם ה"לא ידוע". אבני הבניין העומדות בבסיס תפישת ההגנה בסייבר המוצגת כאן הן: מודיעין גלובאלי, תמונת מצב וניתוח איומים. מימוש אבני בניין אלה ופיתוח מתודולוגיות ותפישות הפעלה מתקדמות יאפשרו למחלקות ההגנה ולארגונים להתמודד בצורה יעילה יותר עם התוקפים במרחב הסייבר.
לחילופין, היצמדות למתודולוגיות הגנה מסורתיות, אמונה בשיטת ה"סמוך" ועצימת עיניים, יביאו למצב בו ארגונים לאומיים ועסקיים המהווים עמודי תווך חברתיים, ייפגעו השכם וערב וישפיעו על שגרת החיים של אזרחי ותושבי המדינה.
צביקה בירמן הוא מנהל המגזר הביטחוני בחברת סימנטק ישראל. טל קנדל הוא מנהל לקוחות טכניים במגזר הבטחוני בסימנטק ישראל.
עולם המחשוב חווה בשנים האחרונות שינוי מטריד בדמות התקפות קיברנטיות על תשתיות לאומיות, ארגונים מסחריים ומשתמשי מחשב פרטיים. התקפה קיברנטית, להבדיל משנים עברו, מתאפיינת בין היתר במיקוד ההתקפה, חשאיותה ומשך הזמן שלה.
קצת היסטוריה לרענון הזכרון. בעבר הלא רחוק, איום קיברנטי, התפשט במהירות דרך רשת האינטרנט העולמית תוך שהוא פוגע ללא הבחנה במחשבים רבים ומטרתו אחת - גרימת נזק למערכת המחשוב הנפגעת על מנת לגרום לפגיעה בשירות, השבתתו או שינויו, על מנת לגרום למבוכה של הצד המותקף ולהאדרת שמו של התוקף.
עלייתה של אי הידיעה
בעבר היותר קרוב, המוטיבציה להתקפה השתנתה. התוקפים ניצלו חולשות של מערכות מחשוב (ידועות בעיקרן) וזאת על מנת לאפשר גניבת מידע לצורכי מסחר, ריגול או איסוף מידע לצרכי התקפה. בשנים האחרונות, המוטיבציה זהה, אך שיטות ההתקפה הפכו ליותר מתוחכמות והן כוללות שימוש במרכיב סוציו-טכנולוגי חדש - אי הידיעה. ההתקפות משתמשות בחולשות לא ידועות, קוד התקפה לא ידוע ונמשכות פרקי זמן ארוכים של חודשים ולעיתים שנים. כל אלה מונעים מצוותי ההגנה לדעת כי משהו מתרחש בתוך המערכות.
יש לזכור, כי התוקפים היום משתמשים במקביל בסוגי התקפות שונות על מנת למסך את יעד התקיפה העיקרי ולהסיח את תשומת הלב של גורמי ההגנה להתקפות שוליות ומשניות במטרה לבזבז זמן ומשאבים. קיימים מקרים מפורסמים אשר בהם פעלו התקפות על פי תרחישים אלה. מקרה RSA או Stuxtnet משמשים דוגמא למקרים בהם ניצל הצד התוקף חולשות לא ידועות וההתקפה נמשכה שנים.
לכאורה, ההגנה בתנאים אלה אינה אפשרית. הרי איך ניתן להתגונן בפני הלא ידוע? איך ניתן לזהות איום במערכת מחשוב אם הוא לא מזוהה על ידי שום כלי הגנה? איך ניתן להבין מתי התחילה ההתקפה או באיזה שלב היא נמצאת אם אין שום אינדיקציה ברשת?
מעבר לשאלות הפילוסופיות העמוקות המסתתרות מאחורי המושג אי-ידיעה, נדרשות מחלקות ההגנה בארגונים השונים לתפישת הגנה רחבה יותר מזו הקיימת היום. בחלק מהמקרים מדובר על תפישות שלא השתנו בעשרות השנים האחרונות. מהגנת שערי הכניסה והיציאה, דרך הגנה על נקודות הקצה ועד תפישת השכבות - תפישות הגנה אלו אינן מסוגלות להתמודד עם הרעיון הפשוט של "אי-ידיעה".
תפישה הגנתית
הדרך היחידה לאפיין, להגדיר ולמצוא את הלא ידוע היא על ידי הגדרת הידוע, ותפישת ההגנה בעולם הקיברנטי כיום חייבת לקחת בחשבון דרך פעולה אשר ממפה את סוגי ההתקפות הידועות. אבני הבניין העומדות בבסיס תפישת ההגנה בעולם הקיברנטי הן: מודיעין גלובאלי, תמונת מצב וניתוח איומים. בניית כח הגנה המבוסס על שילוב של יסודות אלו, בנוסף לכלי ההגנה הקיימים, תאפשר לארגונים (לאומיים ומסחריים), להתמודד בזמן אמת עם איומים קיברנטיים לא ידועים וממוקדים.
לשלושת אבני בניין מרכזיות אלו קיימים קווים מנחים משותפים - מיפוי הידוע, שלילה (אלימנציה) וניתוח. על ידי עמידה בקווים מנחים אלו ומימוש טכנולוגיות תומכות, ניתן לבודד את הלא ידוע, לאפיין אותו, להגדיר אותו ולבסוף למצוא לו מענה הגנתי.
ברבים מהארגונים, קיימים חלקים מיסודות אלו ובחלקם קיימים כולם. הקמת כח הגנה קיברנטי כוללת בעיקר הגדרת תהליכים תומכים במעבר בין לא ידוע לידוע, כאשר שם המשחק הוא אוטומציה. תהליכים ידניים או במקרים גרועים יותר, אי קיומם של תהליכים תומכים, לא תאפשר לארגון להתמודד פרואקטיבית עם איומים ממוקדים ולא ידועים.
יכולות ההגנה של הארגון התלויות בספק אבטחת מידע כזה או אחר, לא יספיקו. לא במימד זמן התגובה ולא במימד הכמות להתמודדות עם הלא ידוע. הרעיון המיושן העומד בבסיס מחלקות ההגנה שאומר "בוא נדרוש מיצרן האבטחה חתימה לטיפול באיום", לא עומד בקנה אחד עם מציאות האיומים של היום.
מודיעין גלובאלי
דו"חות "מצב האינטרנט" למיניהם מצביעים על כך כי בשנתיים האחרונות לפחות, ניתן למצוא איום הקיים אצל 2-5 לקוחות בלבד. במקרים של התקפות ייעודיות וממוקדות, יימצא האיום ברשת הארגון המותקף בלבד. כל פנייה ליצרן אבטחה מסחרי במקרים אלו תעלה לארגון בזמן יקר, אותו ניתן היה לנצל אם היה בידי הארגון הידע על האיום כבר בזמן גילויו או אף לפני כן. מימוש יכולות אוטומטיות של מודיעין, בניית תמונת מצב וניתוח הנתונים, יאפשרו התמודדות פרואקטיבית ואף פרדקטיבית עם איומי הסייבר, מתוחכמים וחשאיים ככל שיהיו.
מרחב הסייבר אינו שונה בהיבטי ההגנה ממרחבי לחימה אחרים. גם במרחב זה מתקיימות היישויות הידועות של תוקפים ומגנים. כל צד מנסה לנצל במידה הגדולה ביותר את יכולותיו והכלים העומדים לרשותו על מנת להשיג את המטרה. התוקפים בסייבר ינצלו חולשות קיימות, ימציאו קודים ושיטות חדשות להתקפה וישכתבו קוד קיים. המגנים לעומתם ישתמשו בכלי ההגנה הקיימים, ישפרו תהליכים ויאמצו כלי הגנה חדשים.
כמו במרחבים אחרים, גם בסייבר יש למודיעין תרומה משמעותית להגנה ולהתקפה. במסגרת תפישת ההגנה בסייבר, המודיעין משמש על מנת להשיג שני יעדים עיקריים - הכרת הכלים המשמשים להתקפה וידיעות מקדימות על כוונות לתקיפה.
המודיעין המתרכז בנושא הכוונות, נמצא בחיתוליו. מדובר במידע המכיל נתונים על כוונתה של קבוצה או יחיד לבצע התקפה על ארגון. למרות זאת, דרך ההתמודדות ההגנתית אינה שונה בין הידיעה על כוונה לבין הידיעה על כלי התקפה חדש. לכן, היכולת הנדרשת בשלב זה צריכה להיות הכרה של כלי ההתקפה ולאו דווקא ידיעה על התקפה עתידית.
מודיעין גלובאלי מתבסס בעיקרו על רשתות איסוף קיברנטיות ורשתות כאלה מצויות בידי חברות האבטחה העולמיות. חברות אלה בנו רשתות איסוף במשך שנים על מנת לאפשר להם לעמוד במשימת התמודדות עם הלא ידוע. חלק מדרכי הפעולה של אותן חברות היא לייצר בסיס ידע ומודיעין רחב ככל הניתן על מנת לדעת מה קורה בסייבר ולייצר מענה הגנתי מתאים מראש או בדיעבד.
רשתות איסוף מודיעין אלה כוללות בין היתר חיישנים, מלכודות דבש, סוכנים מותקנים ועוד. ככל שחברת האבטחה גדולה יותר, מספר משתמשיה גדול יותר והוא פרוס גיאוגרפית על שטחים נרחבים, כך כמות המידע הנאסף גדולה יותר. באותה מידה, ככל שמספר האנליסטים ומומחי האבטחה באותה חברה גדול יותר ומקצועי יותר, כך רמת הניתוח של המידע טובה יותר. בחברות האבטחה הגדולות מדברים על מידע בכמויות של פטה בייטים, כאשר מידע זה מנותח על בסיס קבוע ומתוכו נגזר אופן ההתקפות, החדשות (ידוע) והעתידיות (לא ידוע).
סגירת מעגלים
על מנת לאפשר לארגון להתמודד עם הלא ידוע בהבטי ההגנה, נדרשת יכולת קבלת מודיעין גלובאלי ממקור מהימן בצורה אוטומטית. המידעים אשר יאפשרו לארגון להתמודד טוב יותר עם איומים קיברנטיים כוללים בין היתר מידע על חולשות חדשות, איומים חדשים, עדכונים על שיטות פעולה של איומים קיימים, מיפוי של כתובות IP החשודות בפעילות עויינת ומידע על אתרים המכילים קוד עויין או אשר מהווים בסיס להתקפות מסוגים שונים. מידעים אלה המתקבלים בארגון בצורה אוטומטית על בסיס קבוע מהווים את אבן הבניין הראשונה בתפישת ההגנה בסייבר.
המשמעות המיידית של שימוש במידעים גלובאליים היא הגדלת טווח הידוע. ההתמודדות עם התקפה צריכה להתחיל בידיעות ברורות וחד משמעיות לגבי אופי כלי ההתקפה. הבנה של כלי זה ומיפוי שלו, יאפשרו למחלקות ההגנה להערך בצורה טובה יותר למתקפה. בין אם על ידי סגירת הפער, הקשחת המערכת החשופה או על ידי העלאת רמת הניטור. כל זאת, על מנת לעבור ממצב לא ידוע למצב ידוע.
תפישת ההגנה בסייבר מצריכה גם סגירת מעגלים. כמו במקרים של התקפה במרחב הפיזי כגון אירוע טרור, גם בסייבר נדרשת הכלה של האירוע, סגירת מעגלים ותיאום ושיתוף פעולה בין הכוחות השונים המגנים במרחב עד לנטרול האיום. המידעים הגלובאליים אשר מתקבלים בצורה אוטומטית ומוכנסים למערכות ההגנה והבקרה הקיימות ( CMDB, SIEM, INVENTORY, EPS, IPS וכדומה), מאפשרים לארגונים למפות את הידוע בהבטי איום, מצב קיים וניתוח. על ידי מיפוי הידוע ושלילת תהליכים חשודים, ניתן לרכז מאמץ בלא ידוע ועל ידי כך לסגור מעגלים ולהתקדם לקראת שליטה במצב.
שיטת ה"סמוך" נכשלה
מחלקות ההגנה בארגונים לאומיים ועסקיים, נדרשות בשנים האחרונות להתמודד עם התקפות בעלות אופי שונה מזה של השנים הקודמות. לשם כך נדרש שינוי תפישה ויישום של מתודולוגיות הגנה הבאות מעולם ההתמודדות עם ה"לא ידוע". אבני הבניין העומדות בבסיס תפישת ההגנה בסייבר המוצגת כאן הן: מודיעין גלובאלי, תמונת מצב וניתוח איומים. מימוש אבני בניין אלה ופיתוח מתודולוגיות ותפישות הפעלה מתקדמות יאפשרו למחלקות ההגנה ולארגונים להתמודד בצורה יעילה יותר עם התוקפים במרחב הסייבר.
לחילופין, היצמדות למתודולוגיות הגנה מסורתיות, אמונה בשיטת ה"סמוך" ועצימת עיניים, יביאו למצב בו ארגונים לאומיים ועסקיים המהווים עמודי תווך חברתיים, ייפגעו השכם וערב וישפיעו על שגרת החיים של אזרחי ותושבי המדינה.
צביקה בירמן הוא מנהל המגזר הביטחוני בחברת סימנטק ישראל. טל קנדל הוא מנהל לקוחות טכניים במגזר הבטחוני בסימנטק ישראל.
