לדבר בטרמינולוגיה של התוקף: מה זה בעצם מודיעין סייבר?

מתן רודיס, ראש צוות מודיעין סייבר בחברתSentinelOne, מספר על האתגרים הייחודיים העומדים בפני חוקרי מתקפות מקוונות – מהזיהוי הראשוני ועד להרכבת הפאזל השלם, הכולל את סיפור התקיפה על השלכותיה ומשמעויותיה

לדבר בטרמינולוגיה של התוקף: מה זה בעצם מודיעין סייבר?

BIGSTOCK/Copyright: vectorfusionart

כשאנחנו קוראים על קמפיין סייבר חדש שנחשף, כדאי שנשאל את עצמנו מי חוקר את הפעילות הזו ובאיזה כלים, ומה באמת אפשר לעשות עם המידע הזה? ובמילים אחרות – מה זה בעצם מודיעין סייבר?

ובכן, מדובר למעשה במימוש של מתודולוגיות מחקר ותיקות במימד הסייבר. מקובל בעולם שגופים שונים אוספים מודיעין, חולקים אותו ומטמיעים אותו, והכל מתוך כוונה להכיר את האיומים ולהתגונן טוב יותר מפניהם.

מודיעין סייבר הוא גוף הידע הנוצר לגבי איומי סייבר, קבוצות תקיפה, ההתנהגות שלהן והכלים שלהן. מטרתו להבין, לצפות ולזהות איומים סמוך ככל הניתן להיווצרותם ורחוק ככל הניתן מהיעד (במרחב ובזמן). ברמה האופרטיבית, הוא מנסה לייצר התראה מקדימה, שמגדילה את מרחב/ זמן התגובה של צוות ההגנה. בניגוד לדיספלינות אחרות בסייבר, המודיעין הוא גם פרואקטיבי וגם מסתכל מחוץ לארגון בניסיון לייצר את אותה התראה.

מזהים (indicators): היחידה האטומית הקטנה ביותר בה עוסקים במודיעין הסייבר היא IoC, ר״ת של Indication of Compromise. המזהה יכול להיות שרת תקיפה, או כתובת IP. למעשה מנסים ״לספר״ את הסיפור כדי למצוא שרתים דומים, ולשם כך משתמשים בכלי ניטור רשת האינטרנט כמו שודאן או Whois.

לגבי דגימות של נוזקות, קיימים מאגרים ציבוריים כמו Virus Total. אצלנו ב-SentinelOne מנתחים גם דוגמאות של נוזקות שנמצאו אצל לקוחות. את זה מכניסים לפורמט שנקרא Yara Rules (ר״ת של Yet Another Ridiculous Acrony,), מעין מעין לקסיקון של הגדרת רושעות, וכך ניתן גם לחפש ולמצוא עוד דגימות מאותו סוג.

השלב הסופי הוא להכניס את כל המידע הזה לקונטקסט ולספר את סיפור התקיפה – ואז כבר מדברים בטרמינולוגיה של שחקנים/ תוקפים.

מובן שלרוב לא יהיה בידי הארגון הנתקף את כל המידע שנחוץ למען התיאור הזה. ניתן להיעזר בגורמים חיצונים שיכולים להשלים את התמונה: גופים דומים איתם ניתן להחליף מידע, CERTים לאומים או סקטוריאלים, קהילת חוקרי סייבר וגופים ממשלתיים (כגון רשות הסייבר). לכל גוף או חוקר כזה יש בדרך כלל בדל מידע או נקודת מבט אחת על התוקף או הכלים, אבל ביחד ניתן להשלים את חלקי הפאזל.

בנוסף, קיים גוף בלתי תלוי שממפה את עולם התוקפים והתקיפות ומקטלג אותם בצורה שיוצרת ״שפה אחידה״ בין כל הגופים המעורבים. שפה (ושמות באופן ספציפי) חשובה מאוד לזיהוי תוקפים. מכיוון שמקובל שכל מי שמזהה מתקפה או כלי ״זוכה״ לקבוע את שם התוקף, נוצרים המון מונחים ושמות שיכולים לבלבל מאוד את מי שמנסה לצייר תמונה קוהרנטית של המציאות.

הגוף שממפה את כל התוקפים, טכניקות התקיפה וכלים בהם נעשה שימוש קרוי MITRE ATT&CK. הגוף מאפשר התייחסות למזהה חד-ערכי אחד (נניח APT-29), במקום לשלל השמות שניתנו בתעשייה לאותה קבוצה – Fancy Bear וכדומה. בנוסף, מרכז MIRTE את כל הטכניקות והכלים שנמצאים בשימוש של תוקפים, וכך ניתן לבצע שיוך על בסיס קונטקסטואלי. לדוגמא: אם ארגון מזהה כלים מסוימים שמשויכים לתוקף מסוים, ניתן להניח שאותו תוקף עומד מאחורי התקיפה.

מודל לאפיון תוקפים ותקיפות:

קיים מודל שפיתחה חברת לוקהיד מרטין למיפוי שלבי תקיפת רשת, הקרוי Kill Chain. שימוש במודל זה מצביע על פערי מידע, שניתן להשלים בעבודה פורנזית. השאלה הגדולה היא שאלת השיוך (attribution) – מי ביצע את התקיפה?

מדוע זה חשוב? משום שאם נדע מי תקף, נוכל לשער מה המוטיבציה ומה היעדים של התקיפה, וכן לנחש באופן מושכל מה יהיו הצעדים הבאים, בהתבסס על מידע היסטורי בנוגע לדפוס פעולה של תוקף זה או אחר.

פעמים רבות מתפרסמים דוחות על קמפיינים שכוללים שיוך לקבוצות או מדינות מסוימות. כדאי וצריך להסתמך על קביעות אלו באופן ביקורתי ביותר, ולבחון את המידע שהיה בידי החוקרים: האם מדובר במידע גולמי או מעובד, האם יש להם אינטרסים מסחריים או בינלאומיים, והאם הם עובדים על פי סכמות מקובלות כגון MITRE ATT&CK .

כמו כן, כדאי לקחת בחשבון את הזמן שעבר מרגע הפרסום הראשוני, משום שבזמן זה שחקנים אחרים עלולים להעתיק את שיטות או כלי התקיפה ולהשתמש בהם, מה שהופך את השיוך הראשוני ללא רלוונטי.

האם חייבים לצרוך מודיעין סייבר ממקורות חיצוניים (בתשלום)?

תלוי מה הצורך. ככל שהמודיעין שנדרשים לייצר הוא גרעיני יותר, קונקרטי יותר או מניעתי, כנראה שצריך לייצר אותו לבד. אבל אם הדרישה היא ליצר מודיעין כללי (לדוגמא לצורך הערכת סיכונים), ניתן להיעזר בשפע המידע שקיים ובכלים חינמיים בכדי לבנות תמונה מודיעינית טובה. למעשה, השגת מידע גלוי קלה יותר מאי פעם. הקושי הוא בפילטור (כלומר בצריכה של מידע רלוונטי בלבד) ועיבוד.

טיפים לסיכום:

להסתמך על מידע גולמי ופרסום מקורי. כל חברת סייבר שמכבדת את עצמה תפרסם דו״ח מודיעין שכולל את ה IoC ואת המידע הגולמי על בסיסו הופקו תובנות. קריאה של דו״ח מעובד (או גרוע מזה – ידיעה חדשותית בנוגע לאותו ממצא) עלולה להביא לכך שחלקים מהמידע ישונו או יושמטו, והתמונה תעוות.

מאת מתן רודיס, ראש צוות מודיעין סייבר בחברתSentinelOne

**צוות מודיעין הסייבר של SentinelOne אמון על הפקת תובנות ומודיעין מתוך המידע העצום שאוספים הסנסוריים של החברה – מיליוני Endpoints הפרוסים ברחבי העולם. בנוסף, הצוות מטייב את מנגנוני הזיהוי (detection) ומספק מודיעין קונטקסטואלי לצרכנים (דוחות).

 

אולי יעניין אותך גם