אימוץ מרכיבי הטעיה ותחבולה בהגנת סייבר

תחבולות פרואקטיביות שימשכו את התוקף לאזורים בהם קל למגן להתמודד עימו, יכולות להקטין הסתברות לפריצת הארגון. מאמר דעה של רפאל פרנקו, לשעבר סגן ראש מערך הסייבר הלאומי

באדיבות רפאל פרנקו

בשנים האחרונות אנו עדים יותר  למתקפות מתוחכמות של גורמי פשיעה ומדינות על מרחב הסייבר העולמי . התוקפים מפגינים יותר תעוזה מבצעית, יותר תחום טכנולוגי ופחות מוסר ומצפון. שנת 2020 התאפיינה באירועי סייבר אשר משקלם השפיע על חוסן ארגוני ולאומי  ואילו לא היינו בתקפות קורונה משקלם ערכם והשפעתם על הציבור והממשלות היה רב יותר. מאידך חלק גדול מאירועי הסייבר אירעו בעקבות תקופת הקורונה ואפשרו ניצול חולשות ופערים בארגונים.

ניתוח אירועי הסייבר מעלה שאלה - האם קו ההגנה לעולם ייפרץ? האמנם תמיד יהיה המגן בנחיתות מבצעית והתוקף בעליונות מבצעית? האם נגזר על מגני הסייבר להפסיד במערכת ההתשה ובקרב על הדיגיטציה המודרנית ועל שפע האפשרויות המציע מרחב האינטרנט. 

חשוב לציין בהסתכלות רבת שנים נעשתה קפיצת מדרגה ענקית ביכולות מגיני הסייבר ותעשיית הסייבר, בין היתר מתקיים ניהול סיכונים טוב יותר על נכסי הארגון , ארכיטקטורות אבטחה מתקדמות, מלכודות דבש, בקרות חיצוניות לארגון , מודיעין סייבר, כלי בדיקה אקטיביים אוטומטיים, פוליסות ביטוח סייבר, סריקות אקטיביות ועוד. 

כל אלו עומדים היום לרשות מגיני הסייבר הארגוניים. בישראל נהנה המרחב האזרחי בסיוע מתמיד המוענק על ידי מערך הסייבר הלאומי בכל הקשור להיבטים המתודולוגיים, הנחיה ואף סיוע בהתמודדות עם אירועי סייבר על ידי ה CERT הלאומי. ואמנם קיים עדיין  מחסור גדול בראיה וטקטיקות מבצעיות להגנה בקרב מנהלי הגנת הסייבר בארגונים  על מנת לאתר ולחשוף יריבים ותוקפים. לצערי הללו טרם נלמדים בבתי נספר להגנת סייבר ואף לא קיימת תורת סייבר סדורה בנושא. 

רבות נאמר ונכתב על לוחמה א- סימטרית בממד הסייבר על כך שהשקעה קטנה בכח אדם מיומן מצד התוקף עשויה לגרום לנזק גדול לארגונים ואף לשתק מדינות. קיימת א- סימטריה נוספת בין המגן לתוקף, בעוד הראשון צריך להגן על כל "הפתחים והכניסות" מפני כל הדפא"ות האפשריות על היריב מוטלת סה"כ למצוא פרצה אחת ולנצלה. 

מורכבות זו מתעצמת עוד יותר כאשר הדיגיטציה ורשתות הIT  משתנות חדשות לבקרים וארגונים מתקדמים עושים שימוש במאות שירותים ואפליקציות לניהול דיגיטלי מתקדם. ככל ששיטות התקיפה וכלי התקיפה מתוחכמים יותר הן מצליחות לעבור את מערכי ההגנה הארגוניים ופעם אחר פעם אנו רואים חברות גדולות אשר יש בידן מערכי הגנה והן משקיעות זמן ותקציב סובלות מתקיפות מכאיבות אשר גורמים לארגונים וללקוחותיהם להפסדי עתק פיננסיים ותדמיתיים וזאת להערכתי בין היתר מהעדר ראיה מבצעית להגנה. 

תחבולת בהגנת סייבר ארגונית 
ניסיון לאתר ולגלות תקיפות סייבר על ארגונים איננה מגמה חדשה נהפוך הוא שימוש בsoc  ארגוניים, רכש מודיעין סייבר  ושימוש במלכודות דבש הם חלק מהכלים בהם עושים שימוש ארגונים המתקדמים בהגנה. בשנים האחרונות אף קיימים כלים אשר מבצעים בדיקות אוטומטיות ולמעשה משמשות "כמטווח ידידותי" עבור הארגון לאיתור פערים טכנולוגיים,    ובכל זאת  קיים מחסור בתפיסה תחבולנית על מנת לגלות ולחסום את היריבים מבעוד מועד ובטרם כניסתם לארגון.  

תחבולה בהגנת סייבר ארגונית מניחה לפנינו רובד נוסף בהגנה המנסה להתמודד עם תחכומם של יריבים בטרם פריצה לרשתות הארגוניות ובכך לייצר עליונות בהגנה על מנת להביא לתהליך של מניעה ולא תהליך של הכלת תקיפה. מרבית תוקפי הסייבר עושים שימוש בתווך האינטרנט, חלק גדול מההתקפות נוקטות באיסוף מל"מ ( מודיעין לפני מבצע) על יעדי התקיפה, מאתרים את הפרצות הרלוונטיות, את נקודות החולשה בארגון (נכסים, תהליכים ואנשים) ולאחר מכן בוחרים את שיטת התקיפה ומטילים את כלי התקיפה. 

זהו גם חסרונם של התוקפים הם משאירים עקבות "ושריטות דיגטליות". אילו יכולנו להכווין את התוקף לנקודות בהם יש לנו " שליטה מבצעית" אזי יכולנו לגלות אותו מחוץ לארגון ולבצע "הגנת סייבר מונעת" באמצעות סגירת החולשה/ הפירצה או חתימת הכלים הכתובות וההתנהגות שבהם משתמש התוקף.

דיוקים בהגנת סייבר
ההסתכלות על הגנת סייבר באופן פאסיבי שאינו משתנה כל הרף היא שגויה מיסודה שכן תפיסת הגנה העושה שימוש במערכי הגנה פאסיביים סופה להיכשל בשדה הקרב. שימוש בתחבולה והשתנות מתמדת עשויים לצמצם משמעותית את הצלחה של התוקף לבצע תקיפת סייבר.  

"תחבולה פרואקטיבית" של המגן תוך שימוש בניתוב "ונצנוץ" מכוון, מחוץ לארגון עשויים לשפר את כושר הגילוי הזיהוי מבעוד מועד  והמוגנות של הארגון.  ככל שנצליח לנתב את היריב לאזורים שבשליטתנו המבצעית על ידי "נצנוץ" (נצנוץ = נכסים הנתפסים ערכיים בעיני היריב) נכסים שהינם דיוקים כך נוכל לרכז מאמץ הגנתי, להכיר את מהלכיו ומודוס האופרנטי של היריב ולהשקיע במיגון המתאים במקום המתאים. 

כאשר היריב יפעל לתקוף את המערך הדיקוי "המנצנץ", המגן יקבל התראה מבעוד מועד , יחסן את מערכי ההגנה הארגוניים ויקנה לעצמו זמן לחסן את עצמו מפני התקיפה (על ידי גילוי מקדים ומניעה מבעוד מועד). על מנת  להטמיע תהליכים מסוג זה נדרש לאמץ "משקפיים של "תוקף" אשר משלבות ראיה טכנו-מבצעית בתהליך ההגנה.  

שימוש בתחבולה חוץ ארגונית יכולה לבוא לידי ביטוי ברמת ניהול דיוקים של אנשים וזהויות, ניהול נכסים, ניהול ספקים ושרשרת אספקה , ניהול אתרי חוץ, רשת ארגונית דמה ועוד. בטיוטה לתורת ההגנה 2.0 שהפיץ מערך הסייבר הלאומי בדצמבר 2020 קיים עדכון מקצועי לנושא ראיית היריב ותחבולה בהגנה, נושאים אלה להערכתי יקבלו ביטוי חשוב לצד המשך המתודה הסדורה והתהליכית, ויסייעו טוב יותר לארגונים להתמודד מול יריבי סייבר. 

בהמשך לעדכון זה צפויה גם התרחבות המגמה בטכנולוגיות ותפיסות העושות שימוש בתחבולה חוץ ארגונית וגיבוש מתודות סדורות לשימוש בתחבולה להגנה. האחרונות יהפכו בשנים הבאות לחלק מארסנל הגנת הסייבר הארגונית והכשרת מגיני סייבר, CISO  ועוד.

לסיכום - להערכתי אימוץ סכמת הגנה מתקדמת עשוי למנוע מקו ההגנה להיפרץ. שימוש בתפיסות מבצעיות מתקדמות בשילוב כלי הגנה טכנולוגיים מתקדמים יאפשרו חוסן ארגוני טוב יותר וייצרו עליונות של המגן על התוקף.לפיכך אני מציע את ארכיטקטורת העל הבאה להגנה. 

Advanced Cyber Layers - Defense Tactics 
 

הכותב הינו לשעבר סגן ראש מערך הסייבר הלאומי של מדינת ישראל.