מקווי הגנה למודיעין מסכל
תוקפים פוטנציאלים בסייבר מנצלים את הגידול בנפח המידע לצורך הסוואה של פעילות זדונית ברשת. הפתרון טמון בשינוי חשיבה לצד יישום מעגלי הגנה, צריך להפעיל מודיעין מסכל
הגנה לישראל
| 19/05/2011
כדי לאתר ולסכל התארגנויות טרור עולמי, הונאות כספיות מתוחכמות או התחמשות מדינות עוינות בנשק בלתי קונבנציונלי, ארגוני מודיעין ואכיפת-חוק בעולם משתמשים כיום במתודולוגיות מודיעיניות חדשניות. חברי קהילת המודיעין הישראלית ויחידות הבילוש המובילות במשטרת ישראל יודעים, כי רק הפקה שוטפת של מודיעין, שנעשית על ידי חוקרי מודיעין מנוסים בגיבוי כלים טכנולוגיים להתמודדות עם כמויות ענקיות של Data – רק היא יכולה לייצר תובנות מעמיקות ומהירות בסבך המודיעין הבלתי אפשרי.
מהפכת המודיעין המסכל והמתוחכם הזה הגיעה לעולם הגנת הסייבר. רוב הארגונים בעולם עומדים כיום בפני איום של תקיפות מתוחכמות ומכוונות, שמוצאות לפועל על ידי קבוצות תוקפים עם גב כלכלי ועם הרבה מוטיבציה. אלה עוסקים בריגול תעשייתי למטרת גניבת קניין רוחני, למטרת שיבוש פעולות של הארגון או למטרת עשיית נזק ממשי לתשתיות הארגון, כשחולשות שבהן נעשה שימוש מתוחכמות במיוחד; רובן עוצבו על מנת להביס את שיטת אבטחת המידע המסורתית, שמכבה בעיקר שריפות ואיומים מוכרים.
לא על הקוד הזדוני לבדו
תחכומם של סוגי התקיפות החדשים לא מתבטא רק במספר שורות הקוד וביכולות המתקדמות של הסוסים הטרויאנים, אלא גם ובייחוד בהתאמה האישית של הכלים ותרחישי התקיפה. נכון להיום, מרבית הארגונים המותקפים נחקרים מראש על ידי התוקף במשך פרק זמן משמעותי, וסביר להניח שבזמן שכלי תוקף מוחדר לארגון, לתוקף כבר יש מודיעין ממוקד אודות הגורם שמחזיק במידע המשמעותי, אודות העובד שבאמצעותו יוחדר הכלי ואפילו אודות הרגליו של זה.
התוקפים יאספו בחשאיות גם מידע על תצורת מערך האבטחה של הארגון ומדיניותו - באלו תוכנות אנטי וירוס הוא משתמש, כל כמה זמן הוא מנטר את המידע והאם מותר לעובדיו לשלוח אלה לאלה קבצים מצורפים בדואר אלקטרוני. בנוסף, שגרת הפעילות של הארגון תנותח והתוקפים יבררו אם כל העובדים נמצאים בחופשה בימי ראשון או שבת ובאלו שעות נפסקת הפעילות במשרד. פרטי מידע שכאלה יסייעו לתוקף להתאים את פעילותו כך שזו לא תעורר חשד בניטור שגרתי, כלומר ‘תרד מתחת לרדאר’ של כמויות המידע הגדולות שקיימות בארגון.
מי שמנסה לתקוף את הארגון, מנצל את כמויות המידע האדירות שזורמות בתוכו - מערך אבטחת המידע, ה-IT, האפליקציות, הרשת ועוד. בארגון שבו מיושמות גישות אבטחת מידע מסורתיות, הררי המידע שנצברים מהווים יער שלם שבתוכו אפשר להתחבא באין מפריע. בנוסף, ביזור מקורות המידע שקיימים בחברות רבות מסייע לתוקפים כך, שכל שעליהם לעשות הוא למצוא שרת נידח, משתמש נשכח או כל פינה חשוכה אחרת (מבחינת הלוגים), ושם לבצע את הפעולות הזדוניות. מנהלי אבטחת מידע שעסוקים בהתגוננות מפני המוכר והידוע מתקשים בחיפוש אקטיבי בכל המקומות ברשת הארגון, מה שלמעשה מאפשר לתוקפים להשתלט על חלקים שלמים של הרשת כמעט ללא הפרעות.
מאפיין נוסף של התוקפים המתקדמים הוא הסבלנות. התוקפים החדשים מעדיפים להשקיע זמן רב במטרה גדולה ויקרת ערך מאשר זמן קצוב שמיועד למטרות קטנות. מחקרים מציינים כי בימים אלה, משכה הממוצע של תקיפה מתוחכמת בארגון הוא 356 ימים; התוקפים, שאינם ממהרים להדליף מידע ממסדי נתונים (ולעורר חשד), מעדיפים ללמוד את מבנה הרשת, לאסוף הרשאות ולהדליף את המידע שחיפשו באופן שלא יעורר חשד. גם אם פעילותם חריגה, היא באה במנות קטנות כל כך, שאין סיכוי כי תצוף לגורמי אבטחת מידע מסורתיים. אחת הדרכים הנודעות לגילוי תקיפות בהסתמך על כלי אבטחת מידע מסורתיים היא המתנה לטעות מצד התוקף, ויצוין כי מקרים שהתגלו כך כללו מסדי נתונים שהוצפו במידע או לחלופין - מידע שהוצא מהארגון מבלי שהוסווה כהלכה. עם זאת, כשמדובר בהגנה על נכסיו החשובים, הארגון אינו יכול להסתמך על הטעויות של אויביו, בייחוד כשתכיפותן של אלה קטנה.
מהפכת המודיעין
ואכן, עולם הסייבר חווה בימים אלו מהפכה אמתית – ארגונים עוברים לתפיסה מודיעינית-אקטיבית שמחפשת כל העת את התקיפה הבאה, זו שאינה ידועה ומוכרת. יצירתה של תמונת מודיעין דומה להפליא ליצירת מודיעין של גופי קהילת המודיעין והבילוש המובילים; מדובר באיסוף שיטתי וקפדני של רמזים ושל כיווני חקירה, שמקורם במידע רב שנאסף ממקורות בתוך הארגון וממקורות חיצוניים.
על מנת להשיג מודיעין שניתן לפעול לפיו - אם לצורך זיהוי מוקדם של איומי סייבר ואם לטובת ניתוח היסטורי שמטרתו לעלות על עקבות איום שמתקדם לאורך זמן, יש צורך באיסוף טוב יותר ובניתוח ערימות המידע שנוצר ברשת הארגונית. ככל שנאסף מידע רב יותר, כך גובר הסיכוי למצוא סימנים לפעילות זדונית שמעידים על תקרית אבטחה.
איסוף, ניתוח והצלבה של מידע ממקורות רבים ובפורמטים מגוונים מאפשרים לארגונים לזהות דפוסים שלא ניתן לגלות באמצעות מקור מידע יחיד. כך, לדוגמה, איתות מלוג האירועים שמעיד על סיסמה שאותחלה לא בהכרח יעיד על פריצה. עם זאת, כאשר הסיסמה תהווה כיוון לחקירה וכשתבוצע עליה אנליזה היסטורית ומעמיקה, כמו גם הצלבה בין הסיסמה לבין דפוס אתחול הסיסמות במחשב מסוים, האירוע יוכל להעיד על קצה חוט לתקיפת סייבר.
בנוסף, ישנו צורך גדול באגירה של המידע לאורך זמן רב מאוד. כאמור, התוקפים סבלניים והם מסתתרים בהררי המידע לאורך זמן רב. לפיכך, מערכות שמקפיצות התראות בזמן אמת על בסיס ניתוח מידע שנאגר בזמנים קרובים, למשל SIEM, אינן יעילות ליצירת מודיעין מורכב מהסוג; לעומת זאת, מערכות שיודעות לאגור מידע לאורך זמן רב ולנתחו תוכלנה להתחקות אחר העקבות הקטנות ולחשוף את קצוות החוט שבונים את השביל המודיעיני למידע הרגיש.
כמו בתהליך יצירת מודיעין מסכל, שפועל במטרה לאתר קיני טרור-עולמי, כך גם בתחום הסייבר - לתפיסות החדשניות דרושות טכנולוגיות תומכות ומהפכניות שמסייעות לארגונים לייצר מודיעין באמצעות ניתוח ביג דאטה. כדי לגלות איומים ותקיפות במהירות, מערכות מסוג זה צריכות להיות מסוגלת לבצע ניטור מתמשך ובלתי פוסק של המידע, כמו גם אנליזות אוטומטיות ומורכבות. הנפח הגדול של המידע שינה זה מכבר סדרי חשיבה ולפיכך אין עוד טעם במודלים ובהשערות שמיועדים ליצירת תבניות. לעתים, הדרך היחידה להפיק תובנות היא לאגור את כל המידע ולנסות למצוא בו תבניות שייצרו את ההשערות בעצמן.
מערכות אלו צריכות לאחסן את כל המידע עבור ניתוח מאוחר ומענה לדרישות רגולטוריות, שהולכות וגדלות ככל שהזמן עובר וככל שהרגולטורים נהיים מודעים לסכנות. המערכת צריכה לזהות אנומליות מורכבות על פני סוגי מידע מגוונים בארגון, כולל מידע מובנה ולא מובנה. אחד הפתרונות שקיימים הוא כלים אוטומטיים מכיווני מודיעין, שיאפשרו לארגונים להפוך כמויות אדירות ומגוונות של מקורות מידע למודיעין מבצעי. פתרון שכזה ישפר את היכולת בהתגוננות מפני איומים מתקדמים ובפעילות בלתי חוקית בזמן אמת ואף יאפשר את ביצועו של ניתוח מאוחר טוב, שיסייע לקבוע כיצד הצליח התוקף לחדור לרשת. כלי כזה יקדם את היכולת לקבוע אלו איומים וחולשות הם הרלוונטיים ביותר, ויאפשר לדרג טוב יותר את ההגנות ולכוון את מדיניות אבטחת המידע בדיוק רב.
כיום דורשים ארגונים מערכות שתדענה לא רק לנתח את המידע אלא גם להציגו למשתמש באופן ויזואלי ו’טבעי’, מה שיקדם את תהליך הסקת המסקנות. מערכת כזאת חייבת, מצד אחד, לאפשר ניתוחי מידע אוטומטיים בהתאם לפעולות של התוקפים, ומצד שני, לאפשר לאחראי אבטחת המידע בארגון לבצע ניתוחים ידניים מעמיקים.
אין ספק כי ככל שיכולות התוקפים מתקדמות, ככל שהם נהיים סבלניים יותר וככל שהכלים הטכנולוגיים נעשים מגוונים, גישת “כיבוי השרפות” להגנה הופכת רלוונטית פחות.
עידן טנדלר הוא מנכ”ל ושותף מייסד ב- Fortscale. איתי טריפמן הינו אנליסט לתחום מודיעין סייבר ב-Fortscale
כדי לאתר ולסכל התארגנויות טרור עולמי, הונאות כספיות מתוחכמות או התחמשות מדינות עוינות בנשק בלתי קונבנציונלי, ארגוני מודיעין ואכיפת-חוק בעולם משתמשים כיום במתודולוגיות מודיעיניות חדשניות. חברי קהילת המודיעין הישראלית ויחידות הבילוש המובילות במשטרת ישראל יודעים, כי רק הפקה שוטפת של מודיעין, שנעשית על ידי חוקרי מודיעין מנוסים בגיבוי כלים טכנולוגיים להתמודדות עם כמויות ענקיות של Data – רק היא יכולה לייצר תובנות מעמיקות ומהירות בסבך המודיעין הבלתי אפשרי.
מהפכת המודיעין המסכל והמתוחכם הזה הגיעה לעולם הגנת הסייבר. רוב הארגונים בעולם עומדים כיום בפני איום של תקיפות מתוחכמות ומכוונות, שמוצאות לפועל על ידי קבוצות תוקפים עם גב כלכלי ועם הרבה מוטיבציה. אלה עוסקים בריגול תעשייתי למטרת גניבת קניין רוחני, למטרת שיבוש פעולות של הארגון או למטרת עשיית נזק ממשי לתשתיות הארגון, כשחולשות שבהן נעשה שימוש מתוחכמות במיוחד; רובן עוצבו על מנת להביס את שיטת אבטחת המידע המסורתית, שמכבה בעיקר שריפות ואיומים מוכרים.
לא על הקוד הזדוני לבדו
תחכומם של סוגי התקיפות החדשים לא מתבטא רק במספר שורות הקוד וביכולות המתקדמות של הסוסים הטרויאנים, אלא גם ובייחוד בהתאמה האישית של הכלים ותרחישי התקיפה. נכון להיום, מרבית הארגונים המותקפים נחקרים מראש על ידי התוקף במשך פרק זמן משמעותי, וסביר להניח שבזמן שכלי תוקף מוחדר לארגון, לתוקף כבר יש מודיעין ממוקד אודות הגורם שמחזיק במידע המשמעותי, אודות העובד שבאמצעותו יוחדר הכלי ואפילו אודות הרגליו של זה.
התוקפים יאספו בחשאיות גם מידע על תצורת מערך האבטחה של הארגון ומדיניותו - באלו תוכנות אנטי וירוס הוא משתמש, כל כמה זמן הוא מנטר את המידע והאם מותר לעובדיו לשלוח אלה לאלה קבצים מצורפים בדואר אלקטרוני. בנוסף, שגרת הפעילות של הארגון תנותח והתוקפים יבררו אם כל העובדים נמצאים בחופשה בימי ראשון או שבת ובאלו שעות נפסקת הפעילות במשרד. פרטי מידע שכאלה יסייעו לתוקף להתאים את פעילותו כך שזו לא תעורר חשד בניטור שגרתי, כלומר ‘תרד מתחת לרדאר’ של כמויות המידע הגדולות שקיימות בארגון.
מי שמנסה לתקוף את הארגון, מנצל את כמויות המידע האדירות שזורמות בתוכו - מערך אבטחת המידע, ה-IT, האפליקציות, הרשת ועוד. בארגון שבו מיושמות גישות אבטחת מידע מסורתיות, הררי המידע שנצברים מהווים יער שלם שבתוכו אפשר להתחבא באין מפריע. בנוסף, ביזור מקורות המידע שקיימים בחברות רבות מסייע לתוקפים כך, שכל שעליהם לעשות הוא למצוא שרת נידח, משתמש נשכח או כל פינה חשוכה אחרת (מבחינת הלוגים), ושם לבצע את הפעולות הזדוניות. מנהלי אבטחת מידע שעסוקים בהתגוננות מפני המוכר והידוע מתקשים בחיפוש אקטיבי בכל המקומות ברשת הארגון, מה שלמעשה מאפשר לתוקפים להשתלט על חלקים שלמים של הרשת כמעט ללא הפרעות.
מאפיין נוסף של התוקפים המתקדמים הוא הסבלנות. התוקפים החדשים מעדיפים להשקיע זמן רב במטרה גדולה ויקרת ערך מאשר זמן קצוב שמיועד למטרות קטנות. מחקרים מציינים כי בימים אלה, משכה הממוצע של תקיפה מתוחכמת בארגון הוא 356 ימים; התוקפים, שאינם ממהרים להדליף מידע ממסדי נתונים (ולעורר חשד), מעדיפים ללמוד את מבנה הרשת, לאסוף הרשאות ולהדליף את המידע שחיפשו באופן שלא יעורר חשד. גם אם פעילותם חריגה, היא באה במנות קטנות כל כך, שאין סיכוי כי תצוף לגורמי אבטחת מידע מסורתיים. אחת הדרכים הנודעות לגילוי תקיפות בהסתמך על כלי אבטחת מידע מסורתיים היא המתנה לטעות מצד התוקף, ויצוין כי מקרים שהתגלו כך כללו מסדי נתונים שהוצפו במידע או לחלופין - מידע שהוצא מהארגון מבלי שהוסווה כהלכה. עם זאת, כשמדובר בהגנה על נכסיו החשובים, הארגון אינו יכול להסתמך על הטעויות של אויביו, בייחוד כשתכיפותן של אלה קטנה.
מהפכת המודיעין
ואכן, עולם הסייבר חווה בימים אלו מהפכה אמתית – ארגונים עוברים לתפיסה מודיעינית-אקטיבית שמחפשת כל העת את התקיפה הבאה, זו שאינה ידועה ומוכרת. יצירתה של תמונת מודיעין דומה להפליא ליצירת מודיעין של גופי קהילת המודיעין והבילוש המובילים; מדובר באיסוף שיטתי וקפדני של רמזים ושל כיווני חקירה, שמקורם במידע רב שנאסף ממקורות בתוך הארגון וממקורות חיצוניים.
על מנת להשיג מודיעין שניתן לפעול לפיו - אם לצורך זיהוי מוקדם של איומי סייבר ואם לטובת ניתוח היסטורי שמטרתו לעלות על עקבות איום שמתקדם לאורך זמן, יש צורך באיסוף טוב יותר ובניתוח ערימות המידע שנוצר ברשת הארגונית. ככל שנאסף מידע רב יותר, כך גובר הסיכוי למצוא סימנים לפעילות זדונית שמעידים על תקרית אבטחה.
איסוף, ניתוח והצלבה של מידע ממקורות רבים ובפורמטים מגוונים מאפשרים לארגונים לזהות דפוסים שלא ניתן לגלות באמצעות מקור מידע יחיד. כך, לדוגמה, איתות מלוג האירועים שמעיד על סיסמה שאותחלה לא בהכרח יעיד על פריצה. עם זאת, כאשר הסיסמה תהווה כיוון לחקירה וכשתבוצע עליה אנליזה היסטורית ומעמיקה, כמו גם הצלבה בין הסיסמה לבין דפוס אתחול הסיסמות במחשב מסוים, האירוע יוכל להעיד על קצה חוט לתקיפת סייבר.
בנוסף, ישנו צורך גדול באגירה של המידע לאורך זמן רב מאוד. כאמור, התוקפים סבלניים והם מסתתרים בהררי המידע לאורך זמן רב. לפיכך, מערכות שמקפיצות התראות בזמן אמת על בסיס ניתוח מידע שנאגר בזמנים קרובים, למשל SIEM, אינן יעילות ליצירת מודיעין מורכב מהסוג; לעומת זאת, מערכות שיודעות לאגור מידע לאורך זמן רב ולנתחו תוכלנה להתחקות אחר העקבות הקטנות ולחשוף את קצוות החוט שבונים את השביל המודיעיני למידע הרגיש.
כמו בתהליך יצירת מודיעין מסכל, שפועל במטרה לאתר קיני טרור-עולמי, כך גם בתחום הסייבר - לתפיסות החדשניות דרושות טכנולוגיות תומכות ומהפכניות שמסייעות לארגונים לייצר מודיעין באמצעות ניתוח ביג דאטה. כדי לגלות איומים ותקיפות במהירות, מערכות מסוג זה צריכות להיות מסוגלת לבצע ניטור מתמשך ובלתי פוסק של המידע, כמו גם אנליזות אוטומטיות ומורכבות. הנפח הגדול של המידע שינה זה מכבר סדרי חשיבה ולפיכך אין עוד טעם במודלים ובהשערות שמיועדים ליצירת תבניות. לעתים, הדרך היחידה להפיק תובנות היא לאגור את כל המידע ולנסות למצוא בו תבניות שייצרו את ההשערות בעצמן.
מערכות אלו צריכות לאחסן את כל המידע עבור ניתוח מאוחר ומענה לדרישות רגולטוריות, שהולכות וגדלות ככל שהזמן עובר וככל שהרגולטורים נהיים מודעים לסכנות. המערכת צריכה לזהות אנומליות מורכבות על פני סוגי מידע מגוונים בארגון, כולל מידע מובנה ולא מובנה. אחד הפתרונות שקיימים הוא כלים אוטומטיים מכיווני מודיעין, שיאפשרו לארגונים להפוך כמויות אדירות ומגוונות של מקורות מידע למודיעין מבצעי. פתרון שכזה ישפר את היכולת בהתגוננות מפני איומים מתקדמים ובפעילות בלתי חוקית בזמן אמת ואף יאפשר את ביצועו של ניתוח מאוחר טוב, שיסייע לקבוע כיצד הצליח התוקף לחדור לרשת. כלי כזה יקדם את היכולת לקבוע אלו איומים וחולשות הם הרלוונטיים ביותר, ויאפשר לדרג טוב יותר את ההגנות ולכוון את מדיניות אבטחת המידע בדיוק רב.
כיום דורשים ארגונים מערכות שתדענה לא רק לנתח את המידע אלא גם להציגו למשתמש באופן ויזואלי ו’טבעי’, מה שיקדם את תהליך הסקת המסקנות. מערכת כזאת חייבת, מצד אחד, לאפשר ניתוחי מידע אוטומטיים בהתאם לפעולות של התוקפים, ומצד שני, לאפשר לאחראי אבטחת המידע בארגון לבצע ניתוחים ידניים מעמיקים.
אין ספק כי ככל שיכולות התוקפים מתקדמות, ככל שהם נהיים סבלניים יותר וככל שהכלים הטכנולוגיים נעשים מגוונים, גישת “כיבוי השרפות” להגנה הופכת רלוונטית פחות.
עידן טנדלר הוא מנכ”ל ושותף מייסד ב- Fortscale. איתי טריפמן הינו אנליסט לתחום מודיעין סייבר ב-Fortscale
