לחשוב כמו ציד בסייבר
ציד איומים נועד להגביל את הזמן שבין פריצת הרשת לבין גילויה. בדרך כלל, ארגון יגלה שהותקף רק שישה חודשים לאחר הפריצה הראשונית
הגנה לישראל
| 23/01/2020
תומר אוחיון - צילום: Joey Cohen
מספרים שרוברט מולר, מי שהיה מנהל ה-FBI עד 2013, אמר פעם שיש בעולם רק שני סוגים של חברות: כאלה שכבר נפרצו, וכאלה שיפרצו אליהן בעתיד, ואז הוסיף בהלצה כי "את שתי הקבוצות אפשר לחבר לקטגוריה אחת: חברות שנפרצו וייפרצו שוב". מי שיתייחס לרעיון של מולר ברצינות (וכדאי לכולנו לעשות כך), יגיע למסקנה שעליו להתחיל לחקור ולגלות לאיזה משתי הקטגוריות החברה שלו משתייכת: "אלה שכבר נפרצו" או "אלו שייפרצו בעתיד". חקירה מסוג זה נקראת ציד איומים.
ציד איומים נועד לצמצם את משך הזמן בין הפירצה לגילויה. הנחת העבודה של ציידי איומים היא שהארגון שלהם כבר נפרץ, ומכאן ואילך תפקידם הוא לאשר או להפריך את ההשערה הבסיסית הזו לפני שייגרם נזק - והם עושים זאת על ידי "מסע ציד" אחר ראיות. מסע הציד הוא תהליך של חיפוש פעיל אחר סימנים של פעילות זדונית ברשתות ארגוניות, אך ללא ידיעה מוקדמת על אותם סימנים. אבל איך מחפשים את הלא נודע? איך אפשר לדעת אם מה שמצאתם – הוא בעצם מה שחיפשתם או מה שאתם צריכים?
רוב אלה שאינם ציידים חושבים שציד איומים פירושו לקחת אינדיקציות לסיכון אפשרי (IoCs) מהפיד של דו"חות המודיעין ולחפש אותם ברשת הארגונית. נכון, כדאי לדעת אם אתם חשופים להתקפות שהתגלו כבר, אבל גישה רטרוספקטיבית מסוג זה מקבילה לנהיגה במכונית בעודנו מסתכלים רק במראה האחורית.
תפיסה מוטעית נוספת היא שציד איומים מסתמך, לכאורה, על טכנולוגיות גילוי אוטומטיות. זה לא נכון, מפני שציד איומים נשען בעיקר על תהליכים אנושיים. טכנולוגיות קיימות אמנם חיוניות מפני שהן מאפשרות לציידים ללכוד, לזהות, לתאם, להעשיר, למדוד ולנתח את אלפי פיסות המידע הדרושות לביצוע ציד יעיל. אך טכנולוגיות אלה אינן מחליפות את הכישורים והניתוח שנדרשים לציידים.
ציד איומים כרוך בביסוס השערה (היפותזה) לגבי התנהגות התוקפים, ואז אימות ההשערות בסביבת הרשת הארגונית. צוות ציידי האיומים צריך לחשוב בעצמו כמו האקר או כל גורם זדוני אחר ולהשתמש באותן טכניקות וטקטיקות שהיריבים משתמשים בהן כנגד הארגון. גם כאן, מודיעין מוקדם על האיומים והגורמים ששמו את הארגון או הסקטור שבו הוא עובד למטרה הוא מידע מועיל חשוב שימקד ויחסוך זמן ומשאבים רבים לצוותי הציד.
למרות שלעתים מתייחסים לטכניקות וטקטיקות כאל מילים נרדפות - הן אינן כאלה. חשבו על טכניקות כמערך המיומנויות של התוקף; בעוד שטקטיקות הן היישום של טכניקות אלה בפועל. חשוב לזכור שהתוקפים אינם מוגבלים בפעולתם כמו צוותי ההגנה, ויש בינם כאלה שפועלים ביותר מקטגוריית איום אחת ובהתקפות מתוחכמות, מה שמתורגם להשערה מורכבת שצריכה להכיל סוגי ראיות שונות במספר מקומות אפשרי רב מאוד.
לפני שמגדירים ציד איומים והשערות ייחודיות שמתאימות רק לארגון שלנו, כדאי לאמץ מסגרת כלשהי למחזור חיי ההתקפה. מסגרת שכזו מפרקת את התקפת הסייבר הטיפוסית לשלבים ולטכניקות השונות בהן היא עשויה להשתמש בכל שלב ושלב. ישנן מסגרות רבות הקיימות בתוך קהילת ה-InfoSec, כגון ה-Cyber Kill Chain או דגם מחזור החיים ההתקפי של Mandiant.
ב-CyberProof בחרנו לאמץ את מסגרת ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) של MITRE, שהפכה לסטנדרט דה-פקטו בתעשיית ה-InfoSec. מסגרת ATT&CK אינה מוגבלת לסוג אחד של תוקפים, אלא מספקת טכניקות רלוונטיות לכל סוגי האיומים. בנוסף, ל-MITRE יש כלים נוספים כמו ה-Navigator שמאפשרים לנתח את התוקפים עצמם ולפתח השערות מדויקות יותר למניעת ההתקפה הבאה.
מסגרות כמו ATT&CK של MITRE מסייעות לציידי האיומים ליישם גישה על דרך השלילה ולצוד אחר ההשערה המדויקת והרלוונטית ביותר. כדאי להקדיש זמן לבחירה או לבניית מסגרת התקיפה שתנחה את הציד שלכם בצורה מיטבית. זה יעזור לצוות ציידי האיומים שלכם לחשוב כמו תוקפים ולהישאר ממוקדים בטכניקות ההתקפה שעשויות לשמש כנגד הארגון. אפשר תמיד להרחיב מסגרת קיימת או לשלב אלמנטים של כמה מסגרות כדי ליצור מסגרת אישית משלכם - מכיוון שאיש אינו מכיר את הסביבה כמוכם.
צוות הציידים הוא הליבה של ציד איומים. בהסתמכם על תהליכים אנושיים, הציידים מתמקדים בחשיפת התנהגויות תוקפים ובזיהוי עדויות אחרות לטכניקות ולפעילויות של התוקף. צוות ציידי איומים מוצלח יהיה מורכב בדרך כלל ממנהל אירועים, מנתח תגובה (Incident response), אנליסט מודיעין איומים, אנליסט תוכנות זדוניות ((Malware analyst וצוותי התשתיות (IT). ציד איומים נועד להגביל את הזמן שבין פריצת הרשת לבין גילויה. בדרך כלל, ארגון יגלה שהותקף רק שישה חודשים לאחר הפריצה הראשונית. בשלב זה ייתכן שיהיה מאוחר מדי והנזק כבר נגרם, ועל כן חשוב לחתור לגילוי ומענה מוקדם ככול שניתן של הפריצה.
המפתח לציד איומים טוב הוא האנשים. שלבו אנשים מקצועיים מתחומים שונים ועבדו עם אנשים שיש להם מומחיות אמיתית כדי להפיק בהצלחה מענה מתואם לרוחב הארגון. שימוש במסגרת כמו MITRE ATT&CK מסייע לצוותי ציד איומים לחשוב כמו התוקפים וכך למצוא את ההשערות הנכונות ולגלות את הטכניקות והטקטיקות שלהם. שימוש במסגרת מתאימה תורם לגילוי ולתגובה מהירה ויעילה יותר לאירועים - ובסופו של דבר משפר את חוסן הגנת הסייבר שלכם.
הכותב הוא תומר אוחיון, אנליסט מודיעין סייבר בכיר, CyberProof
ציד איומים נועד להגביל את הזמן שבין פריצת הרשת לבין גילויה. בדרך כלל, ארגון יגלה שהותקף רק שישה חודשים לאחר הפריצה הראשונית
תומר אוחיון - צילום: Joey Cohen
מספרים שרוברט מולר, מי שהיה מנהל ה-FBI עד 2013, אמר פעם שיש בעולם רק שני סוגים של חברות: כאלה שכבר נפרצו, וכאלה שיפרצו אליהן בעתיד, ואז הוסיף בהלצה כי "את שתי הקבוצות אפשר לחבר לקטגוריה אחת: חברות שנפרצו וייפרצו שוב". מי שיתייחס לרעיון של מולר ברצינות (וכדאי לכולנו לעשות כך), יגיע למסקנה שעליו להתחיל לחקור ולגלות לאיזה משתי הקטגוריות החברה שלו משתייכת: "אלה שכבר נפרצו" או "אלו שייפרצו בעתיד". חקירה מסוג זה נקראת ציד איומים.
ציד איומים נועד לצמצם את משך הזמן בין הפירצה לגילויה. הנחת העבודה של ציידי איומים היא שהארגון שלהם כבר נפרץ, ומכאן ואילך תפקידם הוא לאשר או להפריך את ההשערה הבסיסית הזו לפני שייגרם נזק - והם עושים זאת על ידי "מסע ציד" אחר ראיות. מסע הציד הוא תהליך של חיפוש פעיל אחר סימנים של פעילות זדונית ברשתות ארגוניות, אך ללא ידיעה מוקדמת על אותם סימנים. אבל איך מחפשים את הלא נודע? איך אפשר לדעת אם מה שמצאתם – הוא בעצם מה שחיפשתם או מה שאתם צריכים?
רוב אלה שאינם ציידים חושבים שציד איומים פירושו לקחת אינדיקציות לסיכון אפשרי (IoCs) מהפיד של דו"חות המודיעין ולחפש אותם ברשת הארגונית. נכון, כדאי לדעת אם אתם חשופים להתקפות שהתגלו כבר, אבל גישה רטרוספקטיבית מסוג זה מקבילה לנהיגה במכונית בעודנו מסתכלים רק במראה האחורית.
תפיסה מוטעית נוספת היא שציד איומים מסתמך, לכאורה, על טכנולוגיות גילוי אוטומטיות. זה לא נכון, מפני שציד איומים נשען בעיקר על תהליכים אנושיים. טכנולוגיות קיימות אמנם חיוניות מפני שהן מאפשרות לציידים ללכוד, לזהות, לתאם, להעשיר, למדוד ולנתח את אלפי פיסות המידע הדרושות לביצוע ציד יעיל. אך טכנולוגיות אלה אינן מחליפות את הכישורים והניתוח שנדרשים לציידים.
ציד איומים כרוך בביסוס השערה (היפותזה) לגבי התנהגות התוקפים, ואז אימות ההשערות בסביבת הרשת הארגונית. צוות ציידי האיומים צריך לחשוב בעצמו כמו האקר או כל גורם זדוני אחר ולהשתמש באותן טכניקות וטקטיקות שהיריבים משתמשים בהן כנגד הארגון. גם כאן, מודיעין מוקדם על האיומים והגורמים ששמו את הארגון או הסקטור שבו הוא עובד למטרה הוא מידע מועיל חשוב שימקד ויחסוך זמן ומשאבים רבים לצוותי הציד.
למרות שלעתים מתייחסים לטכניקות וטקטיקות כאל מילים נרדפות - הן אינן כאלה. חשבו על טכניקות כמערך המיומנויות של התוקף; בעוד שטקטיקות הן היישום של טכניקות אלה בפועל. חשוב לזכור שהתוקפים אינם מוגבלים בפעולתם כמו צוותי ההגנה, ויש בינם כאלה שפועלים ביותר מקטגוריית איום אחת ובהתקפות מתוחכמות, מה שמתורגם להשערה מורכבת שצריכה להכיל סוגי ראיות שונות במספר מקומות אפשרי רב מאוד.
לפני שמגדירים ציד איומים והשערות ייחודיות שמתאימות רק לארגון שלנו, כדאי לאמץ מסגרת כלשהי למחזור חיי ההתקפה. מסגרת שכזו מפרקת את התקפת הסייבר הטיפוסית לשלבים ולטכניקות השונות בהן היא עשויה להשתמש בכל שלב ושלב. ישנן מסגרות רבות הקיימות בתוך קהילת ה-InfoSec, כגון ה-Cyber Kill Chain או דגם מחזור החיים ההתקפי של Mandiant.
ב-CyberProof בחרנו לאמץ את מסגרת ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) של MITRE, שהפכה לסטנדרט דה-פקטו בתעשיית ה-InfoSec. מסגרת ATT&CK אינה מוגבלת לסוג אחד של תוקפים, אלא מספקת טכניקות רלוונטיות לכל סוגי האיומים. בנוסף, ל-MITRE יש כלים נוספים כמו ה-Navigator שמאפשרים לנתח את התוקפים עצמם ולפתח השערות מדויקות יותר למניעת ההתקפה הבאה.
מסגרות כמו ATT&CK של MITRE מסייעות לציידי האיומים ליישם גישה על דרך השלילה ולצוד אחר ההשערה המדויקת והרלוונטית ביותר. כדאי להקדיש זמן לבחירה או לבניית מסגרת התקיפה שתנחה את הציד שלכם בצורה מיטבית. זה יעזור לצוות ציידי האיומים שלכם לחשוב כמו תוקפים ולהישאר ממוקדים בטכניקות ההתקפה שעשויות לשמש כנגד הארגון. אפשר תמיד להרחיב מסגרת קיימת או לשלב אלמנטים של כמה מסגרות כדי ליצור מסגרת אישית משלכם - מכיוון שאיש אינו מכיר את הסביבה כמוכם.
צוות הציידים הוא הליבה של ציד איומים. בהסתמכם על תהליכים אנושיים, הציידים מתמקדים בחשיפת התנהגויות תוקפים ובזיהוי עדויות אחרות לטכניקות ולפעילויות של התוקף. צוות ציידי איומים מוצלח יהיה מורכב בדרך כלל ממנהל אירועים, מנתח תגובה (Incident response), אנליסט מודיעין איומים, אנליסט תוכנות זדוניות ((Malware analyst וצוותי התשתיות (IT). ציד איומים נועד להגביל את הזמן שבין פריצת הרשת לבין גילויה. בדרך כלל, ארגון יגלה שהותקף רק שישה חודשים לאחר הפריצה הראשונית. בשלב זה ייתכן שיהיה מאוחר מדי והנזק כבר נגרם, ועל כן חשוב לחתור לגילוי ומענה מוקדם ככול שניתן של הפריצה.
המפתח לציד איומים טוב הוא האנשים. שלבו אנשים מקצועיים מתחומים שונים ועבדו עם אנשים שיש להם מומחיות אמיתית כדי להפיק בהצלחה מענה מתואם לרוחב הארגון. שימוש במסגרת כמו MITRE ATT&CK מסייע לצוותי ציד איומים לחשוב כמו התוקפים וכך למצוא את ההשערות הנכונות ולגלות את הטכניקות והטקטיקות שלהם. שימוש במסגרת מתאימה תורם לגילוי ולתגובה מהירה ויעילה יותר לאירועים - ובסופו של דבר משפר את חוסן הגנת הסייבר שלכם.
הכותב הוא תומר אוחיון, אנליסט מודיעין סייבר בכיר, CyberProof
