סיפור מקרה: הטיפול באירוע סייבר בחברת Orian
שיתוף פעולה בין Citadel ו-Armis הביא להשתלטות על אירוע סייבר בחברת Orian תוך פחות מ-24 שעות
עמי רוחקס דומבה
| 03/02/2021
ערן שוורץ. צילום עצמי
בחודש דצמבר האחרון, חברת עמיטל, העוסקת בשיווק תוכנות בתחום עמילות המכס, חוותה מתקפת סייבר משמעותית אשר השפיעה באופן ישיר גם על כ- 40 לקוחותיה.
ההודעה על המתקפה הגיעה בערב יום חמישי ה- 10.12.20. עמיטל עדכנה את לקוחותיה, בניהן חברת השילוח הבינ"ל Orian, כי היא חוקרת "אירוע סייבר המהווה חלק מאירועים מקבילים ברמה הלאומית, ומעורב בהם מערך הסייבר הלאומי", ובהמשך דיווחה להם כי מדובר באירוע Advanced persistent threat.
Orian הינה הינה חברת הלוגיסטיקה, הפצה ועמילות המכס הגדולה בישראל והארוע התרחש כשהיא מצוייה בעיצומו של תהליך הטמעת מערכת Armis. מערכת שהוטמעה בהמלצת חברת הסייבר Citadel. המערכת מאתרת ומזהה התנהגות חשודה. למשל, ציוד שמשתמש בפורטים מסוימים, או מנסה לצאת החוצה לאינטרנט.
ערן שוורץ, CTO ו- CISO ב- Orian מספר: "אנחנו חברה גדולה במונחים ישראליים, בעלת כ- 15 סניפים ברחבי הארץ. חיפשנו מוצר שייתן לנו מבט על כל הרשת שלנו בצורה ויזואלית קלה ונוחה. הפעולה היחידה שהיינו צריכים לעשות זה לפתוח פורט שיושב על המתגים ומשם Armis עשתה את העבודה.
"באמצעות Armis מופו וזוהו כל הפעולות שבוצעו ברשת לפני, תוך כדי ואחרי האירוע, מה שאפשר המון הצלבות של מידע, במקביל להצלבות שעשינו מול ה-SOC של Citadel. באמצעות הצלבות המידע הצלחנו לגלות שבמהלך התקיפה, הוחלפה כתובת IP. זיהינו את המקורות ואת המקומות אליהם נכנסו התוקפים בתוך הרשת. זה משהו שלא היה מתאפשר לולא המערכת הזאת".
שוורץ הדגיש כי שיתוף הפעולה בין Citadel ו-Armis לבין Orian הוביל בסופו של דבר לעצירת האירוע בתוך פחות מ- 24 שעות: "Orian חוותה את האירוע החל מיום חמישי בערב וביום שישי זה כבר היה מאחורינו. ביום ראשון כבר חזרנו לעבודה שגרתית".
על העבודה עם ה- SOC של Citadel סיפר ערן: "ה- SOC סייע לנו במהלך מתקפת הסייבר וגם אחריה. את המידע ש-Armis העלתה כחשוד הצלבנו מול המידע שעלה ב-SOC וזה בהחלט עזר לנו להבין את השפעות המתקפה על הרשת. לאחר האירוע, ה- SOC תקשר איתנו ברמה יום-יומית, עד לסיום הארוע וחזרה לשגרה, הרגשנו שיש לנו פרטנר".
גיל ליסוביץ, מנהל פיתוח עסקי ב-Armis, הוסיף כי "Armis התחילה POC ב-Orian ימים ספורים לפני תחילת האירוע. קיבלתי טלפון מ-Citadel ביום חמישי בלילה. למחרת בבוקר כבר דיברנו עם מהנדס שלנו שנמצא בגרמניה. הוא נכנס למערכת ואימת שאכן היו חיבורים לא תקינים. ראינו כבר את כל התנועה הרשתית בו במקום".
ערן הדגיש כי "באמצעות Armis, גילינו שנמצאים ברשת שלנו 5,500 רכיבים. גילינו שיש לנו 600 מדפסות וש- 200 מהן עובדות רק 10% מהזמן. בכך הבנו שאנחנו לא צריכים את ה- 200 מדפסות האלה. כך נוצרה גם תועלת משנית מבחינה מסחרית. מעבר לכך, כמובן שבראייה "סייברית" כל מדפסת כזאת היא שער כניסה לתוך הארגון".
שיתוף פעולה בין Citadel ו-Armis הביא להשתלטות על אירוע סייבר בחברת Orian תוך פחות מ-24 שעות
ערן שוורץ. צילום עצמי
בחודש דצמבר האחרון, חברת עמיטל, העוסקת בשיווק תוכנות בתחום עמילות המכס, חוותה מתקפת סייבר משמעותית אשר השפיעה באופן ישיר גם על כ- 40 לקוחותיה.
ההודעה על המתקפה הגיעה בערב יום חמישי ה- 10.12.20. עמיטל עדכנה את לקוחותיה, בניהן חברת השילוח הבינ"ל Orian, כי היא חוקרת "אירוע סייבר המהווה חלק מאירועים מקבילים ברמה הלאומית, ומעורב בהם מערך הסייבר הלאומי", ובהמשך דיווחה להם כי מדובר באירוע Advanced persistent threat.
Orian הינה הינה חברת הלוגיסטיקה, הפצה ועמילות המכס הגדולה בישראל והארוע התרחש כשהיא מצוייה בעיצומו של תהליך הטמעת מערכת Armis. מערכת שהוטמעה בהמלצת חברת הסייבר Citadel. המערכת מאתרת ומזהה התנהגות חשודה. למשל, ציוד שמשתמש בפורטים מסוימים, או מנסה לצאת החוצה לאינטרנט.
ערן שוורץ, CTO ו- CISO ב- Orian מספר: "אנחנו חברה גדולה במונחים ישראליים, בעלת כ- 15 סניפים ברחבי הארץ. חיפשנו מוצר שייתן לנו מבט על כל הרשת שלנו בצורה ויזואלית קלה ונוחה. הפעולה היחידה שהיינו צריכים לעשות זה לפתוח פורט שיושב על המתגים ומשם Armis עשתה את העבודה.
"באמצעות Armis מופו וזוהו כל הפעולות שבוצעו ברשת לפני, תוך כדי ואחרי האירוע, מה שאפשר המון הצלבות של מידע, במקביל להצלבות שעשינו מול ה-SOC של Citadel. באמצעות הצלבות המידע הצלחנו לגלות שבמהלך התקיפה, הוחלפה כתובת IP. זיהינו את המקורות ואת המקומות אליהם נכנסו התוקפים בתוך הרשת. זה משהו שלא היה מתאפשר לולא המערכת הזאת".
שוורץ הדגיש כי שיתוף הפעולה בין Citadel ו-Armis לבין Orian הוביל בסופו של דבר לעצירת האירוע בתוך פחות מ- 24 שעות: "Orian חוותה את האירוע החל מיום חמישי בערב וביום שישי זה כבר היה מאחורינו. ביום ראשון כבר חזרנו לעבודה שגרתית".
על העבודה עם ה- SOC של Citadel סיפר ערן: "ה- SOC סייע לנו במהלך מתקפת הסייבר וגם אחריה. את המידע ש-Armis העלתה כחשוד הצלבנו מול המידע שעלה ב-SOC וזה בהחלט עזר לנו להבין את השפעות המתקפה על הרשת. לאחר האירוע, ה- SOC תקשר איתנו ברמה יום-יומית, עד לסיום הארוע וחזרה לשגרה, הרגשנו שיש לנו פרטנר".
גיל ליסוביץ, מנהל פיתוח עסקי ב-Armis, הוסיף כי "Armis התחילה POC ב-Orian ימים ספורים לפני תחילת האירוע. קיבלתי טלפון מ-Citadel ביום חמישי בלילה. למחרת בבוקר כבר דיברנו עם מהנדס שלנו שנמצא בגרמניה. הוא נכנס למערכת ואימת שאכן היו חיבורים לא תקינים. ראינו כבר את כל התנועה הרשתית בו במקום".
ערן הדגיש כי "באמצעות Armis, גילינו שנמצאים ברשת שלנו 5,500 רכיבים. גילינו שיש לנו 600 מדפסות וש- 200 מהן עובדות רק 10% מהזמן. בכך הבנו שאנחנו לא צריכים את ה- 200 מדפסות האלה. כך נוצרה גם תועלת משנית מבחינה מסחרית. מעבר לכך, כמובן שבראייה "סייברית" כל מדפסת כזאת היא שער כניסה לתוך הארגון".
