התקנים שקופים: חברה ישראלית פיתחה התקן רשת שלא תדעו שהוא מחובר
חברת Embedded Solutions פיתחה אמצעי הגנה בסייבר לתשתיות קריטיות שהנוכחות שלהם ברשת "שקופה" לתוקף
עמי רוחקס דומבה
| 18/02/2020
ד"ר לריסה צירינסקי, מייסדת ומנכ"לית חברת Embedded Solutions - תמונה באדיבות החברה
חברת אמבדד סולושיינס (Embedded Solutions) הוקמה על ידי ד"ר לריסה צירינסקי במטרה לספק, בין היתר, פתרונות הגנה לתחום הסקאדה תחת משפחת פתרונות בשם iBNS. המוצר עובד בשכבה 2 של מודל OSI, וכולל פטנטים המאפשרים לו לעבוד in-line ברשת בצורה שקופה מבלי להתגלות (למוצר אין כתובת MAC מוחצנת). כיצד? ובכן, בחברה מסבירים כי זה חלק מהIP כאשר ישנו מנגנון שממיר את כתובת הMAC לצורת זיהוי ייחודית שידועה רק להתקני "אחים" הפרוסים ברשת.
"המוצר הוא יישות רשתית בשכבה 2 שמתחבר לרשת באופן שקוף. אין לו כתובת MAC. יש לו כתובת MAC פנימית שאינה מוחצנת. המוצר משמש לצורך בדיקת חבילות (packet inspection) בצורה חשאית. תוקף לא יכול לדעת שההתקנים שלנו מחוברים לרשת", מסבירה צירינסקי. "אנחנו יודעים לעשות בדיקת חבילות עם שיהוי שואף לאפס זמן."
אחת השאלות שעולות בראיון היא כיצד עושים ניתוח חבילות כל כך מהר בלי שהצד השני ירגיש בשיהוי וידע שמישהו התערב לו בקישור. ובכן, הפתרון טמון בכך שהמוצר יודע אילו ביטים לבדוק בחבילה, ואז ההשוואה מאד מהירה. "אם אנחנו מותקנים בבנק, אומרים לנו שיש טרנזקציה מסוימת מבוססת על פרוטוקול פנימי. לפי הפרוטוקול, בייטים מסויימים בחבילה צריכים להיות בצורה מסוימת, אז אנחנו משווים רק אותם ואז יודעים בזמן כמעט אפס אם הטרנזקציה לגיטימית או לא", אומרת צירינסקי.
"חלופה ראשונה דורשת מהלקוח לחשוף בפנינו את הקונפיגורציה של הפרוטוקול. חלופה אחרת, ללקוחות שמחפשים חשאיות, אנחנו מספקים יכולת הגדרה עצמית של המערכת שאומרת להתקנים אילו בייטים לחפש בחבילה. את זה אנו מיישמים באמצעות שני סוגי התקנים. ראשון אינו מאפשר שינוי תצורה. את אלו פורסים ברשת איפה שצריך. הם עושים אך ורק אכיפה של המדיניות. אלו 'קופסאות שחורות', מוקשחות, שמגיעות עם מחיקה אוטומטית בפקודת חירום.
"התקן מסוג שני, התקן מנהל, אותו ניתן להגדיר, והוא, ורק הוא, יכול לשלוח פקודות עדכון לכל ה'אחים' הכפופים אליו ברשת. אליו ניתן להתחבר רק באמצעות כבל לצורך הגדרה. הזיהוי בין ההתקן מנהל להתקנים כפופים אליו ברשת נעשית גם היא בדרך חשאית, מבוססת שיטת קידוד שידועה רק להתקנים שלנו."
ההתקנים של אמבדד סולושיינס יכולים לצד אכיפת מדיניות, לבצע גם שינוי בחבילות. אחד התרחישים שיכולת כזו מספקת הוא התמודדות עם האיום הפנימי. מנהל IT מתוסכל שפתח לעצמו שרת VPN ללא ידיעת המעסיק וגונב נתונים יכול לבצע נזק גדול לארגון. היות וההתקנים יושבים ברשת, ויודעים את היעדים הלגיטימיים של החבילות, בעת זיהוי יעדים לא מוכרים, הם יכולים לשנות שדות בחבילות ולבצע ניתוב שלהן מחדש. בצורה כזו, אותו מנהל IT לא יקבל את הקבצים שניסה להוציא מהארגון.
"גם אם מדובר בתעבורה מוצפנת שהמפתח הפרטי ידוע רק לאותו גורם המהווה איום פנימי, אנחנו יכולים לשנות את סדר הביטים בחבילות 'מעל' השדות המוצפנים ולשבש את הניתוב שלהן", אומרת צירינסקי. "ההתערבות נעשית ללא משתמש אנושי, באמצעות תוכנה אוטומטית. בכל חבילה משתילים מסכה אחרת של ביטים. יכולת כזו מאפשרת גם ליישם תעבורה מוצפנת. היה מקרה אצל לקוח שלנו שכך מנענו סחיטה של המנכ"ל על ידי אחד העובדים. המוצר שלנו מיישם DLP, DPI, והצפנה במוצר אחד."
בחברה אומרים שהמוצר משמש גם לצורך גישה מרחוק לרשתות סקאדה (OT). היות וההתקנים שקופים, וניתן דרכם לשלוח פקודות בצורה חשאית, הם משמשים לשליחת פקודות למערכת קריטית ברשתות סקאדה. "יש ארגונים באירופה שהטמיעו אותנו כin-line בתוך רשת סקאדה וגם בפרימיטר. בצורה כזו הוא גם יכול לקבל גישה מרחוק מאובטחת וגם אם מישהו מישהו חדר לרשת, אנחנו בודקים את התקשורת בין השרת להתקני הסקאדה", מסכמת צירינסקי.
חברת Embedded Solutions פיתחה אמצעי הגנה בסייבר לתשתיות קריטיות שהנוכחות שלהם ברשת "שקופה" לתוקף
ד"ר לריסה צירינסקי, מייסדת ומנכ"לית חברת Embedded Solutions - תמונה באדיבות החברה
חברת אמבדד סולושיינס (Embedded Solutions) הוקמה על ידי ד"ר לריסה צירינסקי במטרה לספק, בין היתר, פתרונות הגנה לתחום הסקאדה תחת משפחת פתרונות בשם iBNS. המוצר עובד בשכבה 2 של מודל OSI, וכולל פטנטים המאפשרים לו לעבוד in-line ברשת בצורה שקופה מבלי להתגלות (למוצר אין כתובת MAC מוחצנת). כיצד? ובכן, בחברה מסבירים כי זה חלק מהIP כאשר ישנו מנגנון שממיר את כתובת הMAC לצורת זיהוי ייחודית שידועה רק להתקני "אחים" הפרוסים ברשת.
"המוצר הוא יישות רשתית בשכבה 2 שמתחבר לרשת באופן שקוף. אין לו כתובת MAC. יש לו כתובת MAC פנימית שאינה מוחצנת. המוצר משמש לצורך בדיקת חבילות (packet inspection) בצורה חשאית. תוקף לא יכול לדעת שההתקנים שלנו מחוברים לרשת", מסבירה צירינסקי. "אנחנו יודעים לעשות בדיקת חבילות עם שיהוי שואף לאפס זמן."
אחת השאלות שעולות בראיון היא כיצד עושים ניתוח חבילות כל כך מהר בלי שהצד השני ירגיש בשיהוי וידע שמישהו התערב לו בקישור. ובכן, הפתרון טמון בכך שהמוצר יודע אילו ביטים לבדוק בחבילה, ואז ההשוואה מאד מהירה. "אם אנחנו מותקנים בבנק, אומרים לנו שיש טרנזקציה מסוימת מבוססת על פרוטוקול פנימי. לפי הפרוטוקול, בייטים מסויימים בחבילה צריכים להיות בצורה מסוימת, אז אנחנו משווים רק אותם ואז יודעים בזמן כמעט אפס אם הטרנזקציה לגיטימית או לא", אומרת צירינסקי.
"חלופה ראשונה דורשת מהלקוח לחשוף בפנינו את הקונפיגורציה של הפרוטוקול. חלופה אחרת, ללקוחות שמחפשים חשאיות, אנחנו מספקים יכולת הגדרה עצמית של המערכת שאומרת להתקנים אילו בייטים לחפש בחבילה. את זה אנו מיישמים באמצעות שני סוגי התקנים. ראשון אינו מאפשר שינוי תצורה. את אלו פורסים ברשת איפה שצריך. הם עושים אך ורק אכיפה של המדיניות. אלו 'קופסאות שחורות', מוקשחות, שמגיעות עם מחיקה אוטומטית בפקודת חירום.
"התקן מסוג שני, התקן מנהל, אותו ניתן להגדיר, והוא, ורק הוא, יכול לשלוח פקודות עדכון לכל ה'אחים' הכפופים אליו ברשת. אליו ניתן להתחבר רק באמצעות כבל לצורך הגדרה. הזיהוי בין ההתקן מנהל להתקנים כפופים אליו ברשת נעשית גם היא בדרך חשאית, מבוססת שיטת קידוד שידועה רק להתקנים שלנו."
ההתקנים של אמבדד סולושיינס יכולים לצד אכיפת מדיניות, לבצע גם שינוי בחבילות. אחד התרחישים שיכולת כזו מספקת הוא התמודדות עם האיום הפנימי. מנהל IT מתוסכל שפתח לעצמו שרת VPN ללא ידיעת המעסיק וגונב נתונים יכול לבצע נזק גדול לארגון. היות וההתקנים יושבים ברשת, ויודעים את היעדים הלגיטימיים של החבילות, בעת זיהוי יעדים לא מוכרים, הם יכולים לשנות שדות בחבילות ולבצע ניתוב שלהן מחדש. בצורה כזו, אותו מנהל IT לא יקבל את הקבצים שניסה להוציא מהארגון.
"גם אם מדובר בתעבורה מוצפנת שהמפתח הפרטי ידוע רק לאותו גורם המהווה איום פנימי, אנחנו יכולים לשנות את סדר הביטים בחבילות 'מעל' השדות המוצפנים ולשבש את הניתוב שלהן", אומרת צירינסקי. "ההתערבות נעשית ללא משתמש אנושי, באמצעות תוכנה אוטומטית. בכל חבילה משתילים מסכה אחרת של ביטים. יכולת כזו מאפשרת גם ליישם תעבורה מוצפנת. היה מקרה אצל לקוח שלנו שכך מנענו סחיטה של המנכ"ל על ידי אחד העובדים. המוצר שלנו מיישם DLP, DPI, והצפנה במוצר אחד."
בחברה אומרים שהמוצר משמש גם לצורך גישה מרחוק לרשתות סקאדה (OT). היות וההתקנים שקופים, וניתן דרכם לשלוח פקודות בצורה חשאית, הם משמשים לשליחת פקודות למערכת קריטית ברשתות סקאדה. "יש ארגונים באירופה שהטמיעו אותנו כin-line בתוך רשת סקאדה וגם בפרימיטר. בצורה כזו הוא גם יכול לקבל גישה מרחוק מאובטחת וגם אם מישהו מישהו חדר לרשת, אנחנו בודקים את התקשורת בין השרת להתקני הסקאדה", מסכמת צירינסקי.
