מה אפשר ללמוד מההתקפה על סוני? פרשנות
על אף המורכבות הטמונה בניתוח תקיפות מכוונות אלה, מאפיין אחד חוזר ומופיע בכל תקיפה ותקיפה – השימוש של התוקפים בחשבונות בעלי הרשאות גבוהות לשם ביצוע פעולותיהם ברשתות הארגוניות
אנדרי דולקין
| 24/12/2014
מקור: טוויטר
ב- 19 בדצמבר, 2014, פרסם ה- FBI הודעה[1], בה הטיל על צפון קוריאה את האחריות על תקיפת חברת Sony Pictures Entertainment. בתקיפה, שהתפרסמה בנובמבר 2014, גנבו התוקפים מסמכים ופריטי מידע אישיים ומסחריים רבים ופגעו פגיעה נרחבת במערכות המחשב של החברה. קבוצת האקרים בשם "Guardians of Peace" נטלה את האחריות ואף איימה על עובדי החברה ועל בתי קולנוע בכדי למנוע את הקרנתו של הסרט "The Interview", סרט קומי המתאר נסיון התנקשות במנהיג צפון קוריאה.
תקיפה זו היא אחת מני רבות שהתרחשו השנה וכוונו נגד ארגונים. בנקים וגופים פיננסיים, רשתות קמעונאיות, חברות אנרגיה ותקשורת, בתי חולים ותעשיות בטחוניות – כל אלה ורבים נוספים חוו תקיפות ברמות תחכום שונות. התוקפים מאחורי תקיפות אלה הם בעלי מניעים מגוונים, כגון גניבת כרטיסי אשראי ופרטים אישיים לשם רווח כספי, איסוף מידע מסחרי והנדסי רגיש לשם ריגול תעשייתי והשגת יתרון תחרותי, ריגול בטחוני ואף פגיעה בתשתיות מחשב כצעד הצהרתי או להשגת רווחים פוליטיים.
המציאות מורכבת מאוד עקב ריבוי התוקפים האפשריים ושיתוף כלי ושיטות התקיפה ביניהם. הגבולות בחלוקה המקובלת בין האקטיביסטים, גורמים פליליים וגורמים ברמת מדינה מטּשטשים, ואנו רואים זליגה של כלי תקיפה מתוחכמים לגורמים פחות מתקדמים, רכישה של כלי תקיפה מהמדף על ידי מדינות ושימוש בחולשות חדשות שמתגלות ומתפרסמות על ידי תוקפים מכל הסוגים.
על אף המורכבות הטמונה בניתוח תקיפות מכוונות אלה, מאפיין אחד חוזר ומופיע בכל תקיפה ותקיפה – השימוש של התוקפים בחשבונות בעלי הרשאות גבוהות לשם ביצוע פעולותיהם ברשתות הארגוניות. שיטות הפריצה לרשת הארגונית רבות מספור, גרסאות הכלים והתוכנות הזדוניות מגוונות ומתחדשות כל הזמן, דרכי ותשתיות התקשורת של הכלים מתחלפים באופן תדיר, אך דבר אחד נותר קבוע – מהרגע שהגיעו לרשת הארגונית, התוקפים מנסים להשתלט על חשבונות בעלי הרשאות שיאפשרו להם לפעול בתוך הרשת. חשבונות אלה מאפשרים גישה לשרתים ובסיסי נתונים, שליפת ושינוי מידע, פגיעה בתשתיות המחשב ועוד פעולות רבות, כטוב ליבם של התוקפים.
מהם אותם חשבונות בעלי הרשאות גבוהות? חשבונות אלה, הנקראים גם חשבונות פריבילגיים, משמשים את מנהלי תשתיות המחשוב ובעלי תפקידים בארגון לפעולות ייחודיות, שמשתמשים רגילים לא אמורים לבצע. כך, לדוגמא, חשבון root בשרת לינוקס מאפשר שליטה מלאה בכל השרת, כולל התקנת ומחיקת תוכנות, שינוי קונפיגורציה, נטרול יכולות אבטחה, הוספת ומחיקת משתמשים ועוד. חשבון מסוג Domain Admin ברשת Windows מאפשר שליטה מלאה ברשת, כולל גישה לכלל מרכיביה, משאביה והמידע המצוי בה, הגדרת משתמשים חדשים, הרצת תוכנות על מחשבים מחוברים ועוד.
במקרה של סוני, התוקפים עשו שימוש נרחב בחשבונות פריבילגיים. חקירת הרשויות הפדרליות מצביעה על כך שהתוקפים השיגו את סיסמתו של מנהל תשתיות בכיר בארגון[2], ובכך השיגו הרשאות גישה נרחבות לכל הרשת. כדבריו של אחד החוקרים, הסיסמא שקולה להשגת "מפתחות לכל הבניין".
בנוסף, ה- US CERT, גוף המרכז ומפיץ מידע לגבי סיכוני ותקיפות סייבר, הפיץ התרעה על תולעת בה נעשה שימוש בתקיפה זו[3]. התולעת משתמשת בפרוטוקול SMB להתפשטות ברשתות ארגוניות והיא בעלת יכולות תקשורת לשרתי פיקוד ופגיעה בתשתיות מחשב. כיצד מתפשטת תולעת זו? נכון, באמצעות סיסמאות ידועות אותן היא מנסה מול המחשבים השונים ברשת. ללא סיסמאות אלה, התולעת לא יכולה להתפשט ולגרום נזק לתשתיות.
הפתרון המוביל להגנה על חשבונות פריבילגיים הוא מערכת יעודית שמחליפה את הסיסמאות לחשבונות אלה, מנהלת את השימוש בהם בהתאם לתהליכים הארגוניים שנקבעו ומאפשרת ניטור מלא של השימוש שנעשה בחשבונות הפריבילגיים. כך ניתן למנוע את הימצאות הסיסמאות על מחשבי מנהלי הרשתות ולמנוע מהתוקפים את השגתן. בנוסף, פתרונות מתקדמים בתחום מאפשרים ניטור של כלל הפעילות הפריבילגית ברשת הארגונית וזיהוי אנומליות שיכולות להצביע על שימוש זדוני ותקיפה המתרחשת בזמן אמת.
אנו חיים היום בעולם בו כל ארגון צריך לראות את עצמו כמטרה פוטנציאלית לתקיפת סייבר מכוונת. מטרת התוקפים יכולה להיות פגיעה בארגון עצמו, גניבת מידע ממנו או שימוש ברשת ארגון כשלב בדרך לתקיפת גוף אחר. במצב זה קשה מאוד להעריך סיכונים באופן שהיה מקובל עד כה ועל הארגונים למקד את מאמצי ההגנה שלהם פנימה, בתוך הרשת. הגנה היקפית (אנטיוירוסים, פיירוולים וכו') רלוונטית מול התקפות אופורטוניסטיות, אך איננה אפקטיבית מול התקפות מכוונות. על כן, יש להתמקד בהגנה על הנכסים הרגישים ועל הרשאות שימוש וגישה, מתוך הבנה אמיתית כי התוקפים מנסים בעקביות להשיג הרשאות לשם השגת מטרות התקיפה וכי הגנה על הרשאות פריבילגיות היא מרכיב מרכזי בהגנה מפני תקיפות אלה.
על אף המורכבות הטמונה בניתוח תקיפות מכוונות אלה, מאפיין אחד חוזר ומופיע בכל תקיפה ותקיפה – השימוש של התוקפים בחשבונות בעלי הרשאות גבוהות לשם ביצוע פעולותיהם ברשתות הארגוניות
מקור: טוויטר
ב- 19 בדצמבר, 2014, פרסם ה- FBI הודעה[1], בה הטיל על צפון קוריאה את האחריות על תקיפת חברת Sony Pictures Entertainment. בתקיפה, שהתפרסמה בנובמבר 2014, גנבו התוקפים מסמכים ופריטי מידע אישיים ומסחריים רבים ופגעו פגיעה נרחבת במערכות המחשב של החברה. קבוצת האקרים בשם "Guardians of Peace" נטלה את האחריות ואף איימה על עובדי החברה ועל בתי קולנוע בכדי למנוע את הקרנתו של הסרט "The Interview", סרט קומי המתאר נסיון התנקשות במנהיג צפון קוריאה.
תקיפה זו היא אחת מני רבות שהתרחשו השנה וכוונו נגד ארגונים. בנקים וגופים פיננסיים, רשתות קמעונאיות, חברות אנרגיה ותקשורת, בתי חולים ותעשיות בטחוניות – כל אלה ורבים נוספים חוו תקיפות ברמות תחכום שונות. התוקפים מאחורי תקיפות אלה הם בעלי מניעים מגוונים, כגון גניבת כרטיסי אשראי ופרטים אישיים לשם רווח כספי, איסוף מידע מסחרי והנדסי רגיש לשם ריגול תעשייתי והשגת יתרון תחרותי, ריגול בטחוני ואף פגיעה בתשתיות מחשב כצעד הצהרתי או להשגת רווחים פוליטיים.
המציאות מורכבת מאוד עקב ריבוי התוקפים האפשריים ושיתוף כלי ושיטות התקיפה ביניהם. הגבולות בחלוקה המקובלת בין האקטיביסטים, גורמים פליליים וגורמים ברמת מדינה מטּשטשים, ואנו רואים זליגה של כלי תקיפה מתוחכמים לגורמים פחות מתקדמים, רכישה של כלי תקיפה מהמדף על ידי מדינות ושימוש בחולשות חדשות שמתגלות ומתפרסמות על ידי תוקפים מכל הסוגים.
על אף המורכבות הטמונה בניתוח תקיפות מכוונות אלה, מאפיין אחד חוזר ומופיע בכל תקיפה ותקיפה – השימוש של התוקפים בחשבונות בעלי הרשאות גבוהות לשם ביצוע פעולותיהם ברשתות הארגוניות. שיטות הפריצה לרשת הארגונית רבות מספור, גרסאות הכלים והתוכנות הזדוניות מגוונות ומתחדשות כל הזמן, דרכי ותשתיות התקשורת של הכלים מתחלפים באופן תדיר, אך דבר אחד נותר קבוע – מהרגע שהגיעו לרשת הארגונית, התוקפים מנסים להשתלט על חשבונות בעלי הרשאות שיאפשרו להם לפעול בתוך הרשת. חשבונות אלה מאפשרים גישה לשרתים ובסיסי נתונים, שליפת ושינוי מידע, פגיעה בתשתיות המחשב ועוד פעולות רבות, כטוב ליבם של התוקפים.
מהם אותם חשבונות בעלי הרשאות גבוהות? חשבונות אלה, הנקראים גם חשבונות פריבילגיים, משמשים את מנהלי תשתיות המחשוב ובעלי תפקידים בארגון לפעולות ייחודיות, שמשתמשים רגילים לא אמורים לבצע. כך, לדוגמא, חשבון root בשרת לינוקס מאפשר שליטה מלאה בכל השרת, כולל התקנת ומחיקת תוכנות, שינוי קונפיגורציה, נטרול יכולות אבטחה, הוספת ומחיקת משתמשים ועוד. חשבון מסוג Domain Admin ברשת Windows מאפשר שליטה מלאה ברשת, כולל גישה לכלל מרכיביה, משאביה והמידע המצוי בה, הגדרת משתמשים חדשים, הרצת תוכנות על מחשבים מחוברים ועוד.
במקרה של סוני, התוקפים עשו שימוש נרחב בחשבונות פריבילגיים. חקירת הרשויות הפדרליות מצביעה על כך שהתוקפים השיגו את סיסמתו של מנהל תשתיות בכיר בארגון[2], ובכך השיגו הרשאות גישה נרחבות לכל הרשת. כדבריו של אחד החוקרים, הסיסמא שקולה להשגת "מפתחות לכל הבניין".
בנוסף, ה- US CERT, גוף המרכז ומפיץ מידע לגבי סיכוני ותקיפות סייבר, הפיץ התרעה על תולעת בה נעשה שימוש בתקיפה זו[3]. התולעת משתמשת בפרוטוקול SMB להתפשטות ברשתות ארגוניות והיא בעלת יכולות תקשורת לשרתי פיקוד ופגיעה בתשתיות מחשב. כיצד מתפשטת תולעת זו? נכון, באמצעות סיסמאות ידועות אותן היא מנסה מול המחשבים השונים ברשת. ללא סיסמאות אלה, התולעת לא יכולה להתפשט ולגרום נזק לתשתיות.
הפתרון המוביל להגנה על חשבונות פריבילגיים הוא מערכת יעודית שמחליפה את הסיסמאות לחשבונות אלה, מנהלת את השימוש בהם בהתאם לתהליכים הארגוניים שנקבעו ומאפשרת ניטור מלא של השימוש שנעשה בחשבונות הפריבילגיים. כך ניתן למנוע את הימצאות הסיסמאות על מחשבי מנהלי הרשתות ולמנוע מהתוקפים את השגתן. בנוסף, פתרונות מתקדמים בתחום מאפשרים ניטור של כלל הפעילות הפריבילגית ברשת הארגונית וזיהוי אנומליות שיכולות להצביע על שימוש זדוני ותקיפה המתרחשת בזמן אמת.
אנו חיים היום בעולם בו כל ארגון צריך לראות את עצמו כמטרה פוטנציאלית לתקיפת סייבר מכוונת. מטרת התוקפים יכולה להיות פגיעה בארגון עצמו, גניבת מידע ממנו או שימוש ברשת ארגון כשלב בדרך לתקיפת גוף אחר. במצב זה קשה מאוד להעריך סיכונים באופן שהיה מקובל עד כה ועל הארגונים למקד את מאמצי ההגנה שלהם פנימה, בתוך הרשת. הגנה היקפית (אנטיוירוסים, פיירוולים וכו') רלוונטית מול התקפות אופורטוניסטיות, אך איננה אפקטיבית מול התקפות מכוונות. על כן, יש להתמקד בהגנה על הנכסים הרגישים ועל הרשאות שימוש וגישה, מתוך הבנה אמיתית כי התוקפים מנסים בעקביות להשיג הרשאות לשם השגת מטרות התקיפה וכי הגנה על הרשאות פריבילגיות היא מרכיב מרכזי בהגנה מפני תקיפות אלה.
