להקדים תרופה למתקפה: הכירו את מודיעין הסייבר

 

מתקפות סייבר הן איום שחג מעל חברות וארגונים רבים על בסיס יומי. חלק מהנזקים הכואבים שצפויים מהתקפות כאלה הם אובדן הכנסה, נזקים כלכליים, פגיעה במוניטין, תשלום קנסות רגולטוריים גבוהים ואפילו סיכון ממשי להמשך קיומה של החברה.

אל הרשימה המכובדת הזאת הצטרפה בשנים האחרונות תופעה של דרישת כופר מצד התוקפים, תופעה שגורמת לחברות להעריך מחדש את מעגלי האבטחה המסורתיים. זאת אחת מן הסיבות שהולידו את הצורך למעגל אבטחה משלים ומונע, או במילים אחרות – מודיעין סייבר.

 

להכיר את התוקף

מודיעין טוב ואיכותי מספק היכרות מעמיקה עם התוקפים ומאפשר היערכות מוקדמת אל מול האיומים האפשריים. בעולם הסייבר גוף אבטחת המידע מספק את "מעטפת ההגנה" של הארגון כנגד מתקפות. המעטפת הזו כוללת לרוב את רכיבי התוכנה והחומרה שתפקידם להגן על הארגון (SIEM, "חומת אש" , אנטי-וירוס, מערכות לגילוי אנומליות וכו'), ואת מדיניות האבטחה שאחראית על נהלי אבטחת מידע כמו ניהול הרשאות וסיסמאות. אך בדומה לעולם הצבאי, גם אם הארגון מיישם הגנות עם מספר מעגלי אבטחה וטכנולוגיות חדישות, אבל ללא מודיעין, סקירה וניתוח של זירת הסייבר המתפתחת מדי יום, הארגון עיוור לסכנות שמאיימות עליו וחשוף לאירועי אבטחה קריטיים.

אחת הדוגמאות לכך היא האירוע החוזר מדי שנה – קמפיין "Op-Israel" שמנוהל על ידי "האקטביסטים" (Hacktivist) אנטי-ציונים. מטרות הקמפיין הן השחתות אתרי אינטרנט, מתקפות מניעת שירות (DDoS), חדירה למאגרי נתונים והדלפות מידע, גניבת מידע אודות אזרחים וחברות ישראליות ומתקפות כופר. בזכות מודיעין הסייבר, ישנה בשנים האחרונות ירידה משמעותית בתקיפות ובנזקים שלאחריה, משום שחוקרי אבטחת מידע מצליחים לזהות אינדיקציות לפעילות של הקבוצות טרם התקיפות, ולמזער את הנזקים משמעותית.

 

מודיעין אקטיבי

המקורות לאיסוף מודיעין הם רבים ומגוונים, ולצורך בניית תמונה מקיפה נעשה שימוש במספר מקורות שונים, כמו: איסוף וניתוח מידע מרשת האינטרנט החשופה, רשתות חברתיות, Deep WEB ו- Darknet (פורומים, אתרי PASTE וכו').

המידע המודיעיני מתחלק לשלושה סוגים:

• מודיעין טכני – אינדיקציות לזיהוי פעילויות זדוניות (IOC), כגון כתובות IP, שרתי command and control) C2), שמות או חתימות של קבצים (HASH), שבאמצעותם ניתן לזהות את התוקפים.
• מודיעין אופרטיבי – דרכי הפעולה, היעדים, המטרות והיכולות של קבוצת התוקפים, הכולל את הכלים והטכניקות בהם הם משתמשים.
• מודיעין אסטרטגי – מודיעין אודות סיכוני סייבר ברמה רחבה וכללית יותר, שבאמצעותם ניתן להניע אסטרטגיה ארגונית לטווח הארוך ברמה גבוהה.

 

להסתכל גם פנימה

חלק נוסף וחשוב בבניית תמונת המודיעין הוא מעקב ובקרה אחר מידע שדלף מהארגון. מערכות מודיעין מאפשרות לנטר ולחפש מידע ארגוני שאולי דלף אל רשת האינטרנט החשופה והעמוקה. דליפות מידע מהארגון עלולות להכיל מידע עסקי רגיש, כמו פרטי משתמש של עובדים, אבל זיהוי מוקדם של דליפות כאלה, מאפשר נקיטת אמצעים רלוונטיים ואפקטיביים להפחתת הנזק הפוטנציאלי.

 

לסיכום, מתקפות סייבר עלולות לגרום נזק רב אם לא מזהים אותם מראש, לכן חשוב להקדיש זמן ומשאבים באיסוף מודיעין והכרת התוקפים, כדי שנוכל להקדים תרופה להתקפה.

 

מאת: ניקול שאינין, אנליסטית אבטחת מידע וסייבר, Experis Cyber