סנטינל וואן וגארדיקור מסכמים שנה
איגור גליק - SentinelOne ואופיר הרפז - Guardicore, מסכמים את השנה בעולם הסייבר - סוגי מתקפות, הגנות וטרנדים
ישראל דיפנס
| 18/01/2021
מימין: איגור גליק ואופיר הרפז. התמונות באדיבות סנטינל וואן וגארדיקור בהתאמה.
שנת 2020 הייתה שנה מאתגרת לכולם, אך מאתגרת במיוחד לאנשי אבטחת מידע. הפגשנו את איגור גליק ואופיר הרפז לדבר על הטרנדים העכשווים בעולמות הסייבר, האימפקט על עסקים וכיצד ניתן להתגונן מפני איומים אלו. איגור גליק- ראש צוות שירותי סייבר מנוהלים בחברת SentinelOne. אופיר הרפז - Guardicore, חוקרת סייבר שחשפה כבר מספר חולשות אבטחה וקמפיינים של תוקפים מתוחכמים.
ביחד, הם חולשים על מידע ממיליוני תחנות קצה שמוגנים על ידי המערכת של סנטינל ויותר מ-300 דאטה סנטר שבהם פרוסים סנסורים של חברת גארדיקור, וחווים עשרות מתקפות סייבר על לקוחותיהן על בסיס שבועי.
אז מה בעצם אנחנו רואים וחווים מבחינת מתקפות?
מבחינת סוג האיום- כופרה במקום הראשון- Cryptomining אחריה. במתקפות כופרה, הקבצים לא רק מוצפנים, לאחרונה המידע מוזלג ומשמש כ״מנוף״ נוסף לאיים על הלקוח במידה ולא ישלם (במקרה כזה- גיבוי לא מציל את הארגון). דלף מידע מסכן את הארגון גם מבחינה משפחתית ורגולטורית. בדרך כלל יוצפנו קבצי טקסט ותמונות. לעיתים מוצפן כל הדיסק הקשיח.
קריפטו מיינר עובד בצורה שונה. הוא בעצם תקיפה שקטה יותר מכופרה. מיינרים מדביקים את הארגון ופועלים בחשאיות, לעיתים זמן רב מאוד. מיינרים מתוכננים לפעול באחוזי CPU נמוכים כדי לכרות ביטקוין אך לא בעצימות כזו שתאט את המכונה או שתגרום להתראה. זהו תהליך שרץ ברקע ללא התערבות המפעיל, ולכן קשה מאוד לאתרו.
בנוסף, קיימות מתקפות שמשתמשות בכלי RAT - כלי גישה מרחוק. כלים אלו מאפשרים המון פונקציונאליות על מכונה מותקפת. קמפיין Vollgar פגע בשרתי MSSQL ואפשר לתוקפים להריץ פקודות, לשלוט במצלמה, מיקרופון ועוד.
איך התוקפים עושים מזה כסף? ֿ
המוטיבציה של התוקפים היא ברוב המקרים כספית. במתקפת כופרה התוקפים דורשים תשלום בביטקוין להחזרת הקבצים (ומניעת הדלפתם). במיינר, כוח המחשוב הגנוב משמש לכריית מטבעות דיגיטאלים. בהשתלטות על שרתים התוקף יכול להציע את השרת ה״נשלט״ למכירה לארגוני פשיעה אחרים.
איך תוקפים חודרים לארגונים?
רוב הפריצות שאנחנו חווים מתבצעות דרך המייל הארגוני. לדעתנו זה גם ימשיך להיות ככה. זהו וקטור פופולרי ופשוט לניצול. עם זאת, מנגנוני ההגנה משתפרים ולכן יש עליה בתחכום של התוקפים בנסיונות לגרום למשתמשים לפתוח מיילים ולהוריד קבצים / ללחוץ על קישורים.
התחכום מתבטא בשליחת מייל מתוך הארגון, כולל שליחת קבצים שנראים אותנטיים (שנשלחו מתוך הארגון) המסמך נראה ריק, ומבקש לאפשר מאקרו, ואז מתחילה המתקפה. בנוסף למייל, התוקפים מחפשים גם חיבורים פתוחים לעולם החיצון (בדרך כלל שרתים) – פורטים שפתוחים לאינטרנט ללא סיבה. תוקפים מפעילים מנגנונים אוטומטים שסורקים פורטים כאלו. אלו יהוו ״דלת״ לתוך הרשת הארגונית.
הפורט הפתוח אינו מספיק- לאחר שהתוקף זיהה פורט כזה, הוא יפעיל Brute force שנועד לנסות לפצח ססמא על ידי שימוש במילונים עצומים.
מה הם עושים לאחר שחדרו לרשת הארגונית?
ברוב המתקפות החדירה היא השלב הראשוני, משם התוקפים ינועו בארגון ויחפשו את הנכסים המעניינים ביותר, ואז יפעלו על פי המוטיבציה העיקרית שלהם- הדלפת מידע, הצפנתו, התקנת מיינר, או השתלטות על נכסים ארגונים (שרתים לדוגמא). מה כולל ארגז הכלים של התוקף?
לביצוע תנועה בתוך הארגון התוקפים משתמשים בתשתיות מתוחכמות, מעין ארגזי כלים שתומך בכל שלב של ההתקפה. זה נמצא בענן. ברגע שמדביקים מכונה אחת אפשר להריץ קוד מרחוק ולתקוף מכונות אחרות.
כלי פופולרי ביותר- Mimikatz. נכתב על ידי בחור צרפתי לטובת בדיקות חדירה. תוקפים שמו עליו יד והפכו אותו ל״אולר שוויצרי״ לתקיפות מתוחכמות. כלי זה משמש לשלוף ססמאות, פרטי משתמשים והאשים לצורך הדבקת מכונות נוספות בארגון באופן אוטומאטי.
גם גארדיקור וגם סנטינל זיהו לפני שנה קמפיין בשם Lemon_Duck שעושה שימוש בכלי הזה. האופן שבו הכלי הזה פועל מסייע לו לחמוק מגילוי של מנגנוני אבטחה מיושנים (אנטי וירוס), אולם מוצרי אבטחה מתקדמים אמורים להתריע על גישה לא מורשית ולחסום אותה.
כלי נוסף שעושים בו שימוש אינטנסיבי בתקופה האחרונה הוא Cobalt Strike - כלי שמבוסס על קוד פתוח לטובת מבדקי חדירה, ששונה לטובת מטרות התוקפים. הוא כולל מודולים לפישינג, איתור מידע, הזלגת מידע ועוד. לעיתים התוקפים משתמשים בטכניקות של Living off the land. כלים שמגיעים ביחד עם מערכת ההפעלה (לא כלי שפותח על ידי תוקפים).
איך נלחמים בכל המתקפות האלו?
צריך להבדיל בין תשתיות, מודעות עובדים והתנהגות בשגרה ותגובה לאירועים. מבחינה תשתיתית, רבים מאירועי האבטחה לא היו קורים אם ארגונים היו מאתרים וסוגרים פרצות ברשתות הארגוניות. גארדיקור פיתחה כלי חינמי בשם Infection Monkey, שאפשר לאתר חולשות ברשתות הארגוניות, וממליץ על שיטות מניעה. הכלי מתחשב בפילוסופיית Zero Trust ומסייע לארגונים לבחון האם הם עומדים בעקרונות.
בנוסף, יש בארגונים המון מכונות עם ססמאות ברירת מחדל, או חסרות ססמא, או בעלות ססמאות חלשות מדי. בשנה שעברה גארדיקור זיהתה קמפיין בשם Nansh0u שהצליח להדביק 50 אלף מכונות ב cryptominer על ידי שימוש בטכניקות כאלו.
ארכיטקטורת רשת - הבנה של מי יכול לגשת לאן וחסימה של גישה לא נחוצה תסייע להקטנת קלות התנועה של תוקף בארגון. יש למפות את השרתים בארגון ולבחון מי מהם צריך להיות מוחצן לאינטרנט, ואלו שכן מוגנים בססמאות ראויות, ולסגור פורטים פתוחים שלא לצורך.
בנוסף למבנה הרשת וקונפיגורציה, יש משמעות רבה למעקב אחר חולשות אבטחה. חולשות זוכות לתהודה רבה בתקשורת, אך צריך להבין שקשה מאוד לרדוף אחרי כל חולשה חדשה שיוצאת.
צריך לאמץ Best Practices ולעדכן כל מערכת הפעלה ברגע שיוצא התיקון (Patch ). מעבר לזה, שימוש במוצרי אבטחה שמבוססים על התנהגות ולא על חתימות אמורים להוות שכבת הגנה נוספת שתאתר ניצול חולשה כזו.
מודעות - ארגונים נפגעים מחוסר מודעות- הם לא מכירים את כל המצאי שלהם- או שלא כל השרתים מעודכנים, ואז זה מקל על התוקפים. לרוב, ארגונים שחוטפים מכה זה נובע מכך שהארגון לא נהג לפי Best Practices של IT ולאו דווקא בשל טעויות או חוסרים של אבטחת סייבר.
ניתן לבצע בדיקת חדירות חיצונית בהפתעה, כלי סימולציה, סריקת חולשות, ועדכונים שוטפים של מערכות הפעלה ותוכנות. מומלץ להטמיע בארגון פילוסופיה של Zero trust (בייחוד כאשר חלק ניכר מהעובדים מתחברים למערכות מחוץ למשרד).
מה זה Zero Trust?
שיטה או פילוסופיה שיכולה להפריע לתוקף להתפשט בתוך הארגון. כתפיסה, ״חושדים״ בכל המשתמשים עד שהוכח אחרת. משתמש שמבקש לגשת לשירות חדש יתבקש לאמת את זהותו אפילו אם הוא מחובר כבר לרשת הארגונית. בצורה זו, גם אם תוקף הצליח להשיג גישה לרשת הוא לא יצליח לנוע בחופשיות ולהשיג את מטרתו. זה קונה למגנים עוד זמן שמאפשר לאתר ולהכיל את התקיפה.
תפעול בשגרה
תפעול בשגרה מחייב היכרות עם איומי סייבר עדכניים והתאמה של המדיניות הארגונים אל מול אותם איומים. לדוגמא, לאחרונה ארגונים רבים נאלצו לאפשר לעובדים להתחבר מהבית דרך פרוקולי VPN ו-RDP. אלו פרוטולים מיושנים שקל לתוקפים לנצל, ופעמים רבות חיבורים אלו נשארים פתוחים לאינטרנט ולמעשה משאירים דלת פתוחה לפורצים.
יש לבחון מדיניות ארגונית לגבי הרצת קבצי מאקרו ואפשרות הרצת Powershell וג׳אווה. הגדרות פשוטות ב Group Policy ימנעו ממשתמשים רגילים ביצוע של פעולות שעלולות לסכן אותם ואת הארגון כולו.
תגובה לאירועים
הצוות של איגור מטפל בעשרות אירועי אבטחה בשבוע, שלפחות שניים מהם מוגדרים כחמורים. הוא מסביר שהיכולת של ארגון רגיל להתמודד עם אירוע סייבר באמצעים הקיימים לרשותו מוגבל ביותר, ולכן ארגונים רוכשים שירותי אבטחה מנוהלים שעוזרים להם להתמודד במקרה של תקרית חמורה.
איגור גליק - SentinelOne ואופיר הרפז - Guardicore, מסכמים את השנה בעולם הסייבר - סוגי מתקפות, הגנות וטרנדים
מימין: איגור גליק ואופיר הרפז. התמונות באדיבות סנטינל וואן וגארדיקור בהתאמה.
שנת 2020 הייתה שנה מאתגרת לכולם, אך מאתגרת במיוחד לאנשי אבטחת מידע. הפגשנו את איגור גליק ואופיר הרפז לדבר על הטרנדים העכשווים בעולמות הסייבר, האימפקט על עסקים וכיצד ניתן להתגונן מפני איומים אלו. איגור גליק- ראש צוות שירותי סייבר מנוהלים בחברת SentinelOne. אופיר הרפז - Guardicore, חוקרת סייבר שחשפה כבר מספר חולשות אבטחה וקמפיינים של תוקפים מתוחכמים.
ביחד, הם חולשים על מידע ממיליוני תחנות קצה שמוגנים על ידי המערכת של סנטינל ויותר מ-300 דאטה סנטר שבהם פרוסים סנסורים של חברת גארדיקור, וחווים עשרות מתקפות סייבר על לקוחותיהן על בסיס שבועי.
אז מה בעצם אנחנו רואים וחווים מבחינת מתקפות?
מבחינת סוג האיום- כופרה במקום הראשון- Cryptomining אחריה. במתקפות כופרה, הקבצים לא רק מוצפנים, לאחרונה המידע מוזלג ומשמש כ״מנוף״ נוסף לאיים על הלקוח במידה ולא ישלם (במקרה כזה- גיבוי לא מציל את הארגון). דלף מידע מסכן את הארגון גם מבחינה משפחתית ורגולטורית. בדרך כלל יוצפנו קבצי טקסט ותמונות. לעיתים מוצפן כל הדיסק הקשיח.
קריפטו מיינר עובד בצורה שונה. הוא בעצם תקיפה שקטה יותר מכופרה. מיינרים מדביקים את הארגון ופועלים בחשאיות, לעיתים זמן רב מאוד. מיינרים מתוכננים לפעול באחוזי CPU נמוכים כדי לכרות ביטקוין אך לא בעצימות כזו שתאט את המכונה או שתגרום להתראה. זהו תהליך שרץ ברקע ללא התערבות המפעיל, ולכן קשה מאוד לאתרו.
בנוסף, קיימות מתקפות שמשתמשות בכלי RAT - כלי גישה מרחוק. כלים אלו מאפשרים המון פונקציונאליות על מכונה מותקפת. קמפיין Vollgar פגע בשרתי MSSQL ואפשר לתוקפים להריץ פקודות, לשלוט במצלמה, מיקרופון ועוד.
איך התוקפים עושים מזה כסף? ֿ
המוטיבציה של התוקפים היא ברוב המקרים כספית. במתקפת כופרה התוקפים דורשים תשלום בביטקוין להחזרת הקבצים (ומניעת הדלפתם). במיינר, כוח המחשוב הגנוב משמש לכריית מטבעות דיגיטאלים. בהשתלטות על שרתים התוקף יכול להציע את השרת ה״נשלט״ למכירה לארגוני פשיעה אחרים.
איך תוקפים חודרים לארגונים?
רוב הפריצות שאנחנו חווים מתבצעות דרך המייל הארגוני. לדעתנו זה גם ימשיך להיות ככה. זהו וקטור פופולרי ופשוט לניצול. עם זאת, מנגנוני ההגנה משתפרים ולכן יש עליה בתחכום של התוקפים בנסיונות לגרום למשתמשים לפתוח מיילים ולהוריד קבצים / ללחוץ על קישורים.
התחכום מתבטא בשליחת מייל מתוך הארגון, כולל שליחת קבצים שנראים אותנטיים (שנשלחו מתוך הארגון) המסמך נראה ריק, ומבקש לאפשר מאקרו, ואז מתחילה המתקפה. בנוסף למייל, התוקפים מחפשים גם חיבורים פתוחים לעולם החיצון (בדרך כלל שרתים) – פורטים שפתוחים לאינטרנט ללא סיבה. תוקפים מפעילים מנגנונים אוטומטים שסורקים פורטים כאלו. אלו יהוו ״דלת״ לתוך הרשת הארגונית.
הפורט הפתוח אינו מספיק- לאחר שהתוקף זיהה פורט כזה, הוא יפעיל Brute force שנועד לנסות לפצח ססמא על ידי שימוש במילונים עצומים.
מה הם עושים לאחר שחדרו לרשת הארגונית?
ברוב המתקפות החדירה היא השלב הראשוני, משם התוקפים ינועו בארגון ויחפשו את הנכסים המעניינים ביותר, ואז יפעלו על פי המוטיבציה העיקרית שלהם- הדלפת מידע, הצפנתו, התקנת מיינר, או השתלטות על נכסים ארגונים (שרתים לדוגמא). מה כולל ארגז הכלים של התוקף?
לביצוע תנועה בתוך הארגון התוקפים משתמשים בתשתיות מתוחכמות, מעין ארגזי כלים שתומך בכל שלב של ההתקפה. זה נמצא בענן. ברגע שמדביקים מכונה אחת אפשר להריץ קוד מרחוק ולתקוף מכונות אחרות.
כלי פופולרי ביותר- Mimikatz. נכתב על ידי בחור צרפתי לטובת בדיקות חדירה. תוקפים שמו עליו יד והפכו אותו ל״אולר שוויצרי״ לתקיפות מתוחכמות. כלי זה משמש לשלוף ססמאות, פרטי משתמשים והאשים לצורך הדבקת מכונות נוספות בארגון באופן אוטומאטי.
גם גארדיקור וגם סנטינל זיהו לפני שנה קמפיין בשם Lemon_Duck שעושה שימוש בכלי הזה. האופן שבו הכלי הזה פועל מסייע לו לחמוק מגילוי של מנגנוני אבטחה מיושנים (אנטי וירוס), אולם מוצרי אבטחה מתקדמים אמורים להתריע על גישה לא מורשית ולחסום אותה.
כלי נוסף שעושים בו שימוש אינטנסיבי בתקופה האחרונה הוא Cobalt Strike - כלי שמבוסס על קוד פתוח לטובת מבדקי חדירה, ששונה לטובת מטרות התוקפים. הוא כולל מודולים לפישינג, איתור מידע, הזלגת מידע ועוד. לעיתים התוקפים משתמשים בטכניקות של Living off the land. כלים שמגיעים ביחד עם מערכת ההפעלה (לא כלי שפותח על ידי תוקפים).
איך נלחמים בכל המתקפות האלו?
צריך להבדיל בין תשתיות, מודעות עובדים והתנהגות בשגרה ותגובה לאירועים. מבחינה תשתיתית, רבים מאירועי האבטחה לא היו קורים אם ארגונים היו מאתרים וסוגרים פרצות ברשתות הארגוניות. גארדיקור פיתחה כלי חינמי בשם Infection Monkey, שאפשר לאתר חולשות ברשתות הארגוניות, וממליץ על שיטות מניעה. הכלי מתחשב בפילוסופיית Zero Trust ומסייע לארגונים לבחון האם הם עומדים בעקרונות.
בנוסף, יש בארגונים המון מכונות עם ססמאות ברירת מחדל, או חסרות ססמא, או בעלות ססמאות חלשות מדי. בשנה שעברה גארדיקור זיהתה קמפיין בשם Nansh0u שהצליח להדביק 50 אלף מכונות ב cryptominer על ידי שימוש בטכניקות כאלו.
ארכיטקטורת רשת - הבנה של מי יכול לגשת לאן וחסימה של גישה לא נחוצה תסייע להקטנת קלות התנועה של תוקף בארגון. יש למפות את השרתים בארגון ולבחון מי מהם צריך להיות מוחצן לאינטרנט, ואלו שכן מוגנים בססמאות ראויות, ולסגור פורטים פתוחים שלא לצורך.
בנוסף למבנה הרשת וקונפיגורציה, יש משמעות רבה למעקב אחר חולשות אבטחה. חולשות זוכות לתהודה רבה בתקשורת, אך צריך להבין שקשה מאוד לרדוף אחרי כל חולשה חדשה שיוצאת.
צריך לאמץ Best Practices ולעדכן כל מערכת הפעלה ברגע שיוצא התיקון (Patch ). מעבר לזה, שימוש במוצרי אבטחה שמבוססים על התנהגות ולא על חתימות אמורים להוות שכבת הגנה נוספת שתאתר ניצול חולשה כזו.
מודעות - ארגונים נפגעים מחוסר מודעות- הם לא מכירים את כל המצאי שלהם- או שלא כל השרתים מעודכנים, ואז זה מקל על התוקפים. לרוב, ארגונים שחוטפים מכה זה נובע מכך שהארגון לא נהג לפי Best Practices של IT ולאו דווקא בשל טעויות או חוסרים של אבטחת סייבר.
ניתן לבצע בדיקת חדירות חיצונית בהפתעה, כלי סימולציה, סריקת חולשות, ועדכונים שוטפים של מערכות הפעלה ותוכנות. מומלץ להטמיע בארגון פילוסופיה של Zero trust (בייחוד כאשר חלק ניכר מהעובדים מתחברים למערכות מחוץ למשרד).
מה זה Zero Trust?
שיטה או פילוסופיה שיכולה להפריע לתוקף להתפשט בתוך הארגון. כתפיסה, ״חושדים״ בכל המשתמשים עד שהוכח אחרת. משתמש שמבקש לגשת לשירות חדש יתבקש לאמת את זהותו אפילו אם הוא מחובר כבר לרשת הארגונית. בצורה זו, גם אם תוקף הצליח להשיג גישה לרשת הוא לא יצליח לנוע בחופשיות ולהשיג את מטרתו. זה קונה למגנים עוד זמן שמאפשר לאתר ולהכיל את התקיפה.
תפעול בשגרה
תפעול בשגרה מחייב היכרות עם איומי סייבר עדכניים והתאמה של המדיניות הארגונים אל מול אותם איומים. לדוגמא, לאחרונה ארגונים רבים נאלצו לאפשר לעובדים להתחבר מהבית דרך פרוקולי VPN ו-RDP. אלו פרוטולים מיושנים שקל לתוקפים לנצל, ופעמים רבות חיבורים אלו נשארים פתוחים לאינטרנט ולמעשה משאירים דלת פתוחה לפורצים.
יש לבחון מדיניות ארגונית לגבי הרצת קבצי מאקרו ואפשרות הרצת Powershell וג׳אווה. הגדרות פשוטות ב Group Policy ימנעו ממשתמשים רגילים ביצוע של פעולות שעלולות לסכן אותם ואת הארגון כולו.
תגובה לאירועים
הצוות של איגור מטפל בעשרות אירועי אבטחה בשבוע, שלפחות שניים מהם מוגדרים כחמורים. הוא מסביר שהיכולת של ארגון רגיל להתמודד עם אירוע סייבר באמצעים הקיימים לרשותו מוגבל ביותר, ולכן ארגונים רוכשים שירותי אבטחה מנוהלים שעוזרים להם להתמודד במקרה של תקרית חמורה.
