פרשנות | מה יכולה ללמוד ישראל מהיפנים על התמודדות עם תקיפות סייבר
משה קרקו, סמנכ"ל טכנולוגיות (CTO) במעבדות החדשנות של NTT בישראל, מסביר כיצד יפן התמודדה עם 450 מליוני תקיפות בשבוע האולימפיאדה
ישראל דיפנס
| 28/11/2021
משה קרקו. צילום: מיכל לוי
450 מיליון - זהו מספר תקיפות הסייבר שנהדפו על ידי צוותי הגנת הסייבר של התאגיד היפני NTT במהלך המשחקים האולימפיים ביפן ללא הפרעה לשגרת המשחקים האולימפיים ולשידורם בלייב לכל העולם.
האם ישראל, המתיימרת להצטיין בתחומי הסייבר, הייתה מצליחה לעמוד מול מספר כזה של תקיפות? מה המחיר הייתה משלמת? אילו גורמים היו מתמודדים מול כמות כזו של תקיפות סייבר בתקופה כה קצרה ומה ישראל צריכה ללמוד מהיפנים על הצעדים שננקטו לפניי, במהלך ואחרי כמות תקיפות שוברת שיאים זו.
מצלמות, סיבים אופטיים ומערכות שידור לווייניות
מלחמות סייבר הן, בדרך כלל, מלחמות שקטות. מלחמות המתרחשות מאחורי הקלעים ואנו מתוודעים אליהן רק כשהצד התוקף, כלומר האקרים, מצליחים לשבש את שגרת החיים באופן כזה או אחר. כמו מלחמות חשאיות אחרות, כאשר ישנן הצלחות והדיפות של תקיפות סייבר לא נשמע על כך מכותרות העיתונים ובמהדורות החדשות.
דוגמא להצלחה כזו היא המשחקים האולימפיים והפאראלימפיים שהקתיימו בטוקיו מלפני מספר חודשים, הצלחה שבה נהדפו כמויות שוברות שיאים של תקיפות מסוגים שונים, בהיקפים, ברמות התחכום ובכלים שלא נראו כמותם מעולם.
המשחקים האולימפיים והמשחקים הפאראלימפיים בטוקיו השנה היו הפעם הראשונה שבה התרחשו משחקים אולימפיים מאז תחילת מגפת הקורונה. המשחקים היו ללא קהל ושודרו לכל העולם בזמן אמת בשידור חי ובאמצעות אתרים ייעודיים.
הכפר האולימפי, כמו גם האצטדיונים העצומים ומגרשי המשחקים השונים, רושתו באלפי מצלמות, סיבים אופטיים ומערכות שידור לווייניות כדי לאפשר צפייה רציפה ככל שניתן.
הכפר האולימפי והאצטדיונים נוהלו כולם מרחוק באמצעות מערכות חכמות כגון שערים אלקטרוניים, מערכות ניטור וניהול אנרגיה, בקרות כניסה ביומטריות ותאורה חכמה ( מערכות OT ו- ICT) ובאופן חסר תקדים תפקדו כפרויקט "עיר חכמה" שהשתרע על פני 23 רבעים שונים בטוקיו, בעיר הצפונית סאפורו (כ-800 ק"מ מטוקיו) ובעיר פוקשימה.
על הקמת העיר החכמה, המחשוב, פריסת התשתיות והקמת מערך הצילום והשידור הייתה אמונה חברת NTT העולמית, אשר מפעילה מעבדת חדשנות בישראל.
מאה מומחי אבטחת מידע
כדי להגן על המערך חסר התקדים בהיקפו הזה הקימה NTT צוות סייבר שמנה כמאה מומחי אבטחת מידע שאיישו, מסביב לשעון, מרכז תפעול ואבטחת מידע (SOC) ייעודי שהוקם לשם כך בטוקיו והסתייע גם בעוד מאה מומחי אבטחה וחברות-שותפות מרחבי העולם כולל מישראל (Global CERT).
אירועים כמו המשחקים האולימפיים מושכים אליהם, בדרך כלל, מגוון נוכלים ופושעים שמנסים למצוא דרך להרוויח כסף בדרכים לא כשירות. מהבחינה הזו, האולימפיאדה בטוקיו לא הייתה שונה. מה שהיה שונה בכל זאת אלו הכמויות העצומות וחסרות התקדים של תקיפות, כ-450 מיליון במספר, שהיו שונות לא רק בהיקפן, אלא גם ברמת התחכום והמורכבות שלהן.
את התקיפות ניתן לחלק לשלוש מגמות עיקריות: התקפות כופר המופעלות על ידי קבוצות האקרים למטרות רווח, התקפת שרשרת האספקה על ספקי שירותי תקשוב ושיבוש שירות במערכות קריטיות - שירותי המחשוב (IT) והן על מערכות הבקרה (OT).
באופן מעורר התפעלות, כל אותן 450 מיליון התקיפות נהדפו ולמעשה נרשמו אפס הפרעות למהלך התקין של המשחקים האולימפיים והפאראלימפיים. זאת הודות להערכות חסרת תקדים, חודשים רבים לפניי המשחקים עצמם.
מודיעין וניטור איומים
NTT הטמיעה אבטחת רשתות תקשורת, שירותים ואמצעי אבטחת סייבר במבנה רב-שכבתי ובמספר אמצעים. מודיעין וניטור איומים כולל ניטור מבוסס דארק-נט ובסיוע חברות-שותפות, גיבוש צוותי מומחים עם תחומי אחריות מוגדרים וברורים, פתרונות אבטחת מידע מקיפים ממקורות פנימיים וחברות-שותפות.
הקמת "צוות 2020" – צוות מומחים ייעודי לפתרון בעיות מורכבות בזמן אמת, סימולציות ותקיפה עצמית באמצעות צוותים ייעודיים (Red Team) לבדיקות חדירות (Pen Testing), עבודה מול פרוטוקולים, תרגול הצוותים והקמת מערך תומך של מעל למאתיים מומחים מרחבי העולם לתמיכה בצוות המקומי.
הטמעת דוקטרינות מתקדמות לניהול זהויות, אפס אמון (Zero Trust) וזיהוי אנומאליות בתעבורת רשתות (traffic flow volatility) ותיעוד, למידה ותחקור אירועים (Cyber forensic analysis).
לסיכום, ניתן לומר שהעובדה שכלל הציבור לא היה מודע למלחמת הצללים שהתרחשה בזמן שצפו באולימפיאדה היא הוכחת הניצחון של צוותי הסייבר. ישנם מספר לקחים ללמוד מתחקור אירוע בסדר גודל שכזה. הערכות מוקדמת קריטית, הקמת צוותים וחלוקת אחריות ברורה, השקעת משאבים בבניה של צוותי מומחים ושמירה על יכולותיהם באמצעות הדרכות וסימולציות.
ניהול מדוקדק ומקיף של עדכונים למערכות השונות, הפרדת רשתות ובייחוד רשתות קריטיות ותפעוליות (ICT ו- OT), ניטור רציף בכלים שונים ומתקדמים של תעבורת הרשתות ותחקור אירועים, הטמעת גישה התקפית של pen test ו- Red Teams
איסוף וניתוח מודיעיני במגוון כלים ושירותים, שיתוף מידע וידע עם גורמים שונים בעולם, הסתמכות על מספר פתרונות שונים ולפעמים חופפים ממספר ספקים שונים.
ויש גם זווית ישראלית - חלק מהפתרונות והספקים של המוצרים והשירותים השונים שהפעילה NTT באולימפיאדה מקורם בישראל. מעבדת החדשנות של NTT בארץ עוסקת גם בימים אלו ביצירת שותפויות עסקיות עם חברות ישראליות כדי להגדיל את היצע השירותים והכלים של NTT ללקוחותיה ולפרויקטים גלובאליים שונים.
משה קרקו, סמנכ"ל טכנולוגיות (CTO) במעבדות החדשנות של NTT בישראל.
משה קרקו, סמנכ"ל טכנולוגיות (CTO) במעבדות החדשנות של NTT בישראל, מסביר כיצד יפן התמודדה עם 450 מליוני תקיפות בשבוע האולימפיאדה
משה קרקו. צילום: מיכל לוי
450 מיליון - זהו מספר תקיפות הסייבר שנהדפו על ידי צוותי הגנת הסייבר של התאגיד היפני NTT במהלך המשחקים האולימפיים ביפן ללא הפרעה לשגרת המשחקים האולימפיים ולשידורם בלייב לכל העולם.
האם ישראל, המתיימרת להצטיין בתחומי הסייבר, הייתה מצליחה לעמוד מול מספר כזה של תקיפות? מה המחיר הייתה משלמת? אילו גורמים היו מתמודדים מול כמות כזו של תקיפות סייבר בתקופה כה קצרה ומה ישראל צריכה ללמוד מהיפנים על הצעדים שננקטו לפניי, במהלך ואחרי כמות תקיפות שוברת שיאים זו.
מצלמות, סיבים אופטיים ומערכות שידור לווייניות
מלחמות סייבר הן, בדרך כלל, מלחמות שקטות. מלחמות המתרחשות מאחורי הקלעים ואנו מתוודעים אליהן רק כשהצד התוקף, כלומר האקרים, מצליחים לשבש את שגרת החיים באופן כזה או אחר. כמו מלחמות חשאיות אחרות, כאשר ישנן הצלחות והדיפות של תקיפות סייבר לא נשמע על כך מכותרות העיתונים ובמהדורות החדשות.
דוגמא להצלחה כזו היא המשחקים האולימפיים והפאראלימפיים שהקתיימו בטוקיו מלפני מספר חודשים, הצלחה שבה נהדפו כמויות שוברות שיאים של תקיפות מסוגים שונים, בהיקפים, ברמות התחכום ובכלים שלא נראו כמותם מעולם.
המשחקים האולימפיים והמשחקים הפאראלימפיים בטוקיו השנה היו הפעם הראשונה שבה התרחשו משחקים אולימפיים מאז תחילת מגפת הקורונה. המשחקים היו ללא קהל ושודרו לכל העולם בזמן אמת בשידור חי ובאמצעות אתרים ייעודיים.
הכפר האולימפי, כמו גם האצטדיונים העצומים ומגרשי המשחקים השונים, רושתו באלפי מצלמות, סיבים אופטיים ומערכות שידור לווייניות כדי לאפשר צפייה רציפה ככל שניתן.
הכפר האולימפי והאצטדיונים נוהלו כולם מרחוק באמצעות מערכות חכמות כגון שערים אלקטרוניים, מערכות ניטור וניהול אנרגיה, בקרות כניסה ביומטריות ותאורה חכמה ( מערכות OT ו- ICT) ובאופן חסר תקדים תפקדו כפרויקט "עיר חכמה" שהשתרע על פני 23 רבעים שונים בטוקיו, בעיר הצפונית סאפורו (כ-800 ק"מ מטוקיו) ובעיר פוקשימה.
על הקמת העיר החכמה, המחשוב, פריסת התשתיות והקמת מערך הצילום והשידור הייתה אמונה חברת NTT העולמית, אשר מפעילה מעבדת חדשנות בישראל.
מאה מומחי אבטחת מידע
כדי להגן על המערך חסר התקדים בהיקפו הזה הקימה NTT צוות סייבר שמנה כמאה מומחי אבטחת מידע שאיישו, מסביב לשעון, מרכז תפעול ואבטחת מידע (SOC) ייעודי שהוקם לשם כך בטוקיו והסתייע גם בעוד מאה מומחי אבטחה וחברות-שותפות מרחבי העולם כולל מישראל (Global CERT).
אירועים כמו המשחקים האולימפיים מושכים אליהם, בדרך כלל, מגוון נוכלים ופושעים שמנסים למצוא דרך להרוויח כסף בדרכים לא כשירות. מהבחינה הזו, האולימפיאדה בטוקיו לא הייתה שונה. מה שהיה שונה בכל זאת אלו הכמויות העצומות וחסרות התקדים של תקיפות, כ-450 מיליון במספר, שהיו שונות לא רק בהיקפן, אלא גם ברמת התחכום והמורכבות שלהן.
את התקיפות ניתן לחלק לשלוש מגמות עיקריות: התקפות כופר המופעלות על ידי קבוצות האקרים למטרות רווח, התקפת שרשרת האספקה על ספקי שירותי תקשוב ושיבוש שירות במערכות קריטיות - שירותי המחשוב (IT) והן על מערכות הבקרה (OT).
באופן מעורר התפעלות, כל אותן 450 מיליון התקיפות נהדפו ולמעשה נרשמו אפס הפרעות למהלך התקין של המשחקים האולימפיים והפאראלימפיים. זאת הודות להערכות חסרת תקדים, חודשים רבים לפניי המשחקים עצמם.
מודיעין וניטור איומים
NTT הטמיעה אבטחת רשתות תקשורת, שירותים ואמצעי אבטחת סייבר במבנה רב-שכבתי ובמספר אמצעים. מודיעין וניטור איומים כולל ניטור מבוסס דארק-נט ובסיוע חברות-שותפות, גיבוש צוותי מומחים עם תחומי אחריות מוגדרים וברורים, פתרונות אבטחת מידע מקיפים ממקורות פנימיים וחברות-שותפות.
הקמת "צוות 2020" – צוות מומחים ייעודי לפתרון בעיות מורכבות בזמן אמת, סימולציות ותקיפה עצמית באמצעות צוותים ייעודיים (Red Team) לבדיקות חדירות (Pen Testing), עבודה מול פרוטוקולים, תרגול הצוותים והקמת מערך תומך של מעל למאתיים מומחים מרחבי העולם לתמיכה בצוות המקומי.
הטמעת דוקטרינות מתקדמות לניהול זהויות, אפס אמון (Zero Trust) וזיהוי אנומאליות בתעבורת רשתות (traffic flow volatility) ותיעוד, למידה ותחקור אירועים (Cyber forensic analysis).
לסיכום, ניתן לומר שהעובדה שכלל הציבור לא היה מודע למלחמת הצללים שהתרחשה בזמן שצפו באולימפיאדה היא הוכחת הניצחון של צוותי הסייבר. ישנם מספר לקחים ללמוד מתחקור אירוע בסדר גודל שכזה. הערכות מוקדמת קריטית, הקמת צוותים וחלוקת אחריות ברורה, השקעת משאבים בבניה של צוותי מומחים ושמירה על יכולותיהם באמצעות הדרכות וסימולציות.
ניהול מדוקדק ומקיף של עדכונים למערכות השונות, הפרדת רשתות ובייחוד רשתות קריטיות ותפעוליות (ICT ו- OT), ניטור רציף בכלים שונים ומתקדמים של תעבורת הרשתות ותחקור אירועים, הטמעת גישה התקפית של pen test ו- Red Teams
איסוף וניתוח מודיעיני במגוון כלים ושירותים, שיתוף מידע וידע עם גורמים שונים בעולם, הסתמכות על מספר פתרונות שונים ולפעמים חופפים ממספר ספקים שונים.
ויש גם זווית ישראלית - חלק מהפתרונות והספקים של המוצרים והשירותים השונים שהפעילה NTT באולימפיאדה מקורם בישראל. מעבדת החדשנות של NTT בארץ עוסקת גם בימים אלו ביצירת שותפויות עסקיות עם חברות ישראליות כדי להגדיל את היצע השירותים והכלים של NTT ללקוחותיה ולפרויקטים גלובאליים שונים.
משה קרקו, סמנכ"ל טכנולוגיות (CTO) במעבדות החדשנות של NTT בישראל.
