מערך הסייבר משיק מערכת לניטור בסיסי נתונים חשופים לאינטרנט
על אף כלים מסחריים כמו שודן, פיתחו במערך מערכת ייעודית לזירה הישראלית. המערכת גילתה לפחות 145 בסיסי נתונים פתוחים לרשת בישראל
עמי רוחקס דומבה
| 13/08/2020
יגאל אונא, ראש מערך הסייבר הלאומי בכנס סייברטק (צילום: גלעד קוולרצ'יק)
145 מסדי נתונים היו חשופים בחודשים האחרונים ברשת בצורה בלתי מאובטחת, מתוכם 16 הכילו מידע עסקי רגיש – כך עלה מנתוני מערכת חדשה שפותחה במערך הסייבר הלאומי. מערך הסייבר פנה לגופים שמסדי הנתונים הרגישים בבעלותם והתריע בפניהם על החשיפה והסיכונים שבה עם המלצות לאבטחתם. בשלב זה מסדים אלו אינם חשופים יותר והמערכת ממשיכה להתריע ככל שיעלו מסדים חדשים.
אחת השאלות בנוגע לפיתוח המערכת היא מדוע צריך לפתח מערכת כאשר יש מוצרים מסחריים (COTS) כמו מנוע שודן שעושים סריקה מרשת האינטרנט לכתובות IP עם פורטים חשופים. אזכיר כי בעבר נמצאו מאות ואלפי בסיסי נתונים חשופים מסביב לגלובוס באמצעות מערכות מסוג זה. לא ברור האם בסיסי הנתונים החשופים היו מתגלים גם באמצעות מערכות מסחריות קיימות.
ובכן, במערך מסבירים כי המערכת מבוססת על מספר מקורות בדומה לשודן אך בנוסף יודעת גם לנתח את הנתונים על בסיס אלגוריתם שמציף את ה DB שברמת חשיפה גבוהה יותר מהשאר, מבצע שיוך לארגונים ומאפשר אוטומציה לתהליכי תעדוף האיום (Triage) . כמו כן מדובר במערכת שמייצרת סינרגיה בין מקורות המידע השונים. "מדובר בפתרון שהותאם לצרכים המדינתיים של הגנת הסייבר", אומרים במערך. עלות פיתוח המערכת לא נמסרה.
על פי הפרסום, המערכת פותחה במערך לאור מספר מקרי תקיפה על מסדי נתונים בולטים השנה בישראל, בעיקר בפלטפורמות שהוקמו בסביבת ענן. "בין מסדי נתונים שאינם צריכים להיות חשופים לרשת: מסדים המכילים פרטי מידע רגישים או אישיים על אזרחים, לקוחות או חברות, שמות משתמשים, סיסמאות או כל פרט שמאפשר מינוף מתקפת סייבר. לרוב מסדים אלו פתוחים ברשת בשל טעות אנוש, חולשה מסוימת במערכת, הגדרה לא נכונה או אף הגדרת ברירת מחדל שלא שונתה", אומרים במערך.
רק לאחרונה דווח בעולם על אירוע חריג שבו האקרים הצליחו לגנוב מחברת אבטחת סייבר אמריקאית הנותנת שירות של ניטור דליפות נתונים, למעלה מ- 8,200 מסדי נתונים המכילים מידע על מיליארדי משתמשים מחברות אחרות, לאחר שמסדי הנתונים הושארו חשופים ברשת האינטרנט ללא סיסמה. במקרה אחר, האקר הצפין מסדי הנתונים וביקש תשלום כופרה עבור פתיחת ההצפנה. במקרה נוסף גורם זדוני קיבל גישה למשאבי הרשת הארגונית בעקבות זיהוי שרת חשוף שהכיל שמות משתמש וסיסמאות של משתמשים ולקוחות הארגון. זאת ועוד, רק בשבוע שעבר, כ-4,000 מסדי נתונים חשופים ברחבי העולם נמחקו ללא סיבה ברורה במתקפת סייבר, כאשר אחד מתוכם אף שייך לארגון ישראלי. בתום מחיקת הנתונים, השאיר התוקף הפתעה קטנה - הודעה עם המילה 'Meow' (מיאו).
ברגע שמסד נתונים מזוהה במערכת כחשוף, הוא נבדק על ידי אנליסט במערך, ובמידה ויש אפשרות לשייכו לארגון, נציג המערך יוצר קשר עם אותו ארגון עם המלצות לאבטחתו ברשת. בין המסדים הרגישים שזוהו באחרונה על ידי המערכת של המערך, כאלו ששייכים לחברות בינוניות וגדולות: מסד נתונים שמכיל פרטי לקוחות, מידע עסקי על דירוגי חברות פיננסיות, פרטי ניתוחי שוק הכוללים טלפונים של אנשים, פרטי הרשאות למערכות IT ועוד.
"מסדי נתונים חשופים ברשת מהווים יעד אטרקטיבי עבור תוקפים. האקרים רבים מחפשים מסדי נתונים חשופים המכילים מידע פיננסי או פרטי הזדהות, מורידים אותם, משבשים או מוכרים אותם ואף לעיתים דורשים מהארגון כופרה עבור שחרורם", מסביר עידן שלמה, אנליסט בכיר במערך הסייבר הלאומי שסייע בפיתוח המערכת. "פיתחנו את המערכת כדי שתאתר מבעוד מועד את אותם מסדי נתונים על מנת שנוכל להתריע בפני הגופים".
"המעבר לעבודה בסביבת ענן שהואץ בעקבות משבר הקורונה מציף אתגרים חדשים למנהלי אבטחת המידע בעיקר סביב היכולת לנהל, לבקר ולזהות בזמן אמת טעויות של מפתחים ואנשי תשתיות", מסביר לביא שטוקהמר מנהל המרכז הארצי לניהול אירועי סייבר במערך הסייבר הלאומי. "טעויות אלו עלולות לחשוף מסדי נתונים באופן שיאפשר לגורמים חיצוניים לגשת אליהם באין מפריע מרשת האינטרנט ולכן אנו בודקים באופן אקטיבי מתריעים בפני ארגונים כדי למנוע מבעוד מועד הגעת הנתונים לידיים הלא נכונות".
על אף כלים מסחריים כמו שודן, פיתחו במערך מערכת ייעודית לזירה הישראלית. המערכת גילתה לפחות 145 בסיסי נתונים פתוחים לרשת בישראל
יגאל אונא, ראש מערך הסייבר הלאומי בכנס סייברטק (צילום: גלעד קוולרצ'יק)
145 מסדי נתונים היו חשופים בחודשים האחרונים ברשת בצורה בלתי מאובטחת, מתוכם 16 הכילו מידע עסקי רגיש – כך עלה מנתוני מערכת חדשה שפותחה במערך הסייבר הלאומי. מערך הסייבר פנה לגופים שמסדי הנתונים הרגישים בבעלותם והתריע בפניהם על החשיפה והסיכונים שבה עם המלצות לאבטחתם. בשלב זה מסדים אלו אינם חשופים יותר והמערכת ממשיכה להתריע ככל שיעלו מסדים חדשים.
אחת השאלות בנוגע לפיתוח המערכת היא מדוע צריך לפתח מערכת כאשר יש מוצרים מסחריים (COTS) כמו מנוע שודן שעושים סריקה מרשת האינטרנט לכתובות IP עם פורטים חשופים. אזכיר כי בעבר נמצאו מאות ואלפי בסיסי נתונים חשופים מסביב לגלובוס באמצעות מערכות מסוג זה. לא ברור האם בסיסי הנתונים החשופים היו מתגלים גם באמצעות מערכות מסחריות קיימות.
ובכן, במערך מסבירים כי המערכת מבוססת על מספר מקורות בדומה לשודן אך בנוסף יודעת גם לנתח את הנתונים על בסיס אלגוריתם שמציף את ה DB שברמת חשיפה גבוהה יותר מהשאר, מבצע שיוך לארגונים ומאפשר אוטומציה לתהליכי תעדוף האיום (Triage) . כמו כן מדובר במערכת שמייצרת סינרגיה בין מקורות המידע השונים. "מדובר בפתרון שהותאם לצרכים המדינתיים של הגנת הסייבר", אומרים במערך. עלות פיתוח המערכת לא נמסרה.
על פי הפרסום, המערכת פותחה במערך לאור מספר מקרי תקיפה על מסדי נתונים בולטים השנה בישראל, בעיקר בפלטפורמות שהוקמו בסביבת ענן. "בין מסדי נתונים שאינם צריכים להיות חשופים לרשת: מסדים המכילים פרטי מידע רגישים או אישיים על אזרחים, לקוחות או חברות, שמות משתמשים, סיסמאות או כל פרט שמאפשר מינוף מתקפת סייבר. לרוב מסדים אלו פתוחים ברשת בשל טעות אנוש, חולשה מסוימת במערכת, הגדרה לא נכונה או אף הגדרת ברירת מחדל שלא שונתה", אומרים במערך.
רק לאחרונה דווח בעולם על אירוע חריג שבו האקרים הצליחו לגנוב מחברת אבטחת סייבר אמריקאית הנותנת שירות של ניטור דליפות נתונים, למעלה מ- 8,200 מסדי נתונים המכילים מידע על מיליארדי משתמשים מחברות אחרות, לאחר שמסדי הנתונים הושארו חשופים ברשת האינטרנט ללא סיסמה. במקרה אחר, האקר הצפין מסדי הנתונים וביקש תשלום כופרה עבור פתיחת ההצפנה. במקרה נוסף גורם זדוני קיבל גישה למשאבי הרשת הארגונית בעקבות זיהוי שרת חשוף שהכיל שמות משתמש וסיסמאות של משתמשים ולקוחות הארגון. זאת ועוד, רק בשבוע שעבר, כ-4,000 מסדי נתונים חשופים ברחבי העולם נמחקו ללא סיבה ברורה במתקפת סייבר, כאשר אחד מתוכם אף שייך לארגון ישראלי. בתום מחיקת הנתונים, השאיר התוקף הפתעה קטנה - הודעה עם המילה 'Meow' (מיאו).
ברגע שמסד נתונים מזוהה במערכת כחשוף, הוא נבדק על ידי אנליסט במערך, ובמידה ויש אפשרות לשייכו לארגון, נציג המערך יוצר קשר עם אותו ארגון עם המלצות לאבטחתו ברשת. בין המסדים הרגישים שזוהו באחרונה על ידי המערכת של המערך, כאלו ששייכים לחברות בינוניות וגדולות: מסד נתונים שמכיל פרטי לקוחות, מידע עסקי על דירוגי חברות פיננסיות, פרטי ניתוחי שוק הכוללים טלפונים של אנשים, פרטי הרשאות למערכות IT ועוד.
"מסדי נתונים חשופים ברשת מהווים יעד אטרקטיבי עבור תוקפים. האקרים רבים מחפשים מסדי נתונים חשופים המכילים מידע פיננסי או פרטי הזדהות, מורידים אותם, משבשים או מוכרים אותם ואף לעיתים דורשים מהארגון כופרה עבור שחרורם", מסביר עידן שלמה, אנליסט בכיר במערך הסייבר הלאומי שסייע בפיתוח המערכת. "פיתחנו את המערכת כדי שתאתר מבעוד מועד את אותם מסדי נתונים על מנת שנוכל להתריע בפני הגופים".
"המעבר לעבודה בסביבת ענן שהואץ בעקבות משבר הקורונה מציף אתגרים חדשים למנהלי אבטחת המידע בעיקר סביב היכולת לנהל, לבקר ולזהות בזמן אמת טעויות של מפתחים ואנשי תשתיות", מסביר לביא שטוקהמר מנהל המרכז הארצי לניהול אירועי סייבר במערך הסייבר הלאומי. "טעויות אלו עלולות לחשוף מסדי נתונים באופן שיאפשר לגורמים חיצוניים לגשת אליהם באין מפריע מרשת האינטרנט ולכן אנו בודקים באופן אקטיבי מתריעים בפני ארגונים כדי למנוע מבעוד מועד הגעת הנתונים לידיים הלא נכונות".
