זוהי השנה הרביעית ברציפות שבה ארגון אנונימוס מאיים לפרוץ לארגונים בישראל ולהפיל אותם בתאריך ה-7 לאפריל, ומנהלי אבטחת המידע נערכים לכך. אלי פרנס, מנהל אזורי בפורטינט ישראל, יוון, קפריסין ומזרח אירופה, מסביר בשיחה עם "מעריב אונליין" על דרכי ההתקפה הפופולריות של ההאקרים כיום וכיצד להתכונן לתרחישים השונים. לדבריו, "רבות מטכניקות התקיפה כיום דומות להתקפות מן הסוג הישן, כמו ניצול ססמאות חלשות, התקפות פישינג והורדת נוזקות על ידי משתמשים מאתרים נגועים או אתרי פרסומות. יחד עם זאת, בעיות הסייבר ההולכות וגוברות מאפשרות לתוקפים לתקוף את הרשת בצורה יעילה וחמקנית יותר".
מהן המטרות העיקריות של ההאקרים כאשר הם פורצים לרשת הארגונית?
"כאשר ישנה פרצה בחברה, לעיתים קרובות הדבר שנגנב הוא נתוני מידע זיהוי אישי (PII). לא רק שהנתונים הללו יכולים להימכר למטרת גניבת זהות, אלא גם לשימוש אמין יותר במתקפות פישינג. ככל שלתוקפים יש יותר מידע עליכם, כך הם יכולים לגרום למייל שהם שולחים להיראות יותר אמין ולפתות אתכם לפתוח אותו.
לדברי פרנס, אחת הבעיות שגורמת כאבי ראש רבים למנהלי אבטחת המידע בארגון נעוצה בשימוש ברשת החברתית ובשירותים המסופקים ברשת. "אין אדם שלא משתמש כיום בצורה זו או אחרת ברשתות חברתיות כמו פייסבוק, לינקדאין, אתרי היכרויות ועוד. בשל כך, התוקפים משנים את נקודות הכניסה שלהם למכשירי המשתמש באמצעות האתרים הללו בעזרת הנדסה חברתית ואורבים לטרף שמורכב מהרגשות האנושיים", הוא אומר.
מהן טכניקות התקיפה הנפוצות כיום?
"חשוב להבין כי ישנן מספר טכניקות התקפה שונות שבהן ההאקרים יכולים להשתמש. ההתקפות הללו מתחלקות לפי ארבעה סוגים עיקריים, כאשר הראשונה שבהן היא התקפת פישינג - זוהי דרך שבאמצעותה ניתן לקבל גישה לא מורשית לרשתות החברה. למייל הפישינג תצורף נוזקה או לינק זדוני, אשר נבנה בצורה כזו, כך שיראה לגיטימי ויגרום למשתמשים ללחוץ עליו. התקפה נוספת הינה התקפת ה-Drive-by – אשר במהלכה התוקפים ישתלטו על אתר אינטרנט ויתקינו ג'אווה סקריפט זדוני אשר יפנה את המשתמש התמים לאתר אחר המכיל מטען זדוני (נוזקה), אשר ירד אל הרקע במכשיר של המשתמש. במתקפה מכוונת, התוקפים יקדישו חודשים רבים לחיפוש אתרים שמשמשים חברות ותעשיות באופן קבוע וידביקו אותם".
"כמו כן, התקפה דומה להתקפת ה-Drive-by היא התקפת ה-Malvertising (פרסום זדוני) - ההבדל בין ההתקפות זוהי העובדה שבמקרה זה התוקף יתמקד בהדבקה של אתרי פרסום. התוקף יכול להדביק אתר פרסומי אחד, אשר בתורו יכול להדביק אלפי אתרים אחרים. בנוסף לכך, ההאקרים יכולים להשתמש בהתקפת מובייל – התקפות אלו דומות במהותן להתקפות שציינתי לפני כן. השוני היחיד הוא שהיעד של התוקפים הם המכשירים הניידים. בנוסף לכך, הנוזקה יכולה להיות מועברת דרך הודעות SMS או להסוות את עצמה כאפליקציה כיפית, משחק או אפילו פורנוגרפיה".
מהי דרך הפעולה של ההאקר לאחר שהוא מצליח לפרוץ לרשת?
"ברגע שהתוקף הצליח לפרוץ לרשת והוא נמצא על מכשירו של המשתמש (לפטופ, שולחן עבודה, מכשיר נייד), הוא צריך להוריד נוזקות וכלים נוספים כדי להשלים את משימתו. לרוב, הנתונים שהפורצים מחפשים אחריהם לא נמצאים בעמדות העבודה, אלא בשרתים, מאגרי המידע ובמקומות נוספים".
פרנס מפרט את הצעדים שצפוי לנקוט ההאקר ברגע שהוא נמצא בתוך הרשת:
1. הוא יוריד נוזקות וכלים נוספים לתקיפה עתידית של הרשת.
2. הוא ימפה את הרשת כדי למצוא שרתים אחרים שבהם ניתן למצוא את הנתונים שהוא מחפש אחריהם. בנוסף לכך, הוא יחפש אחר שרת ה-Active Directory המכיל את כל שמות המשתמשים והסיסמאות. אם הוא יפצח אותו, כל המידע יהיה זמין עבורו.
3. הוא ימצא אחסון זמני אליו יעתיק את כל הנתונים הנחוצים לו. השרת המושלם לכך יהיה שרת יציב, אשר ניתן לגשת אליו גם מחוץ לאינטרנט.
4. הנתונים ישלחו בצורה איטית בחזרה לשרתים של התוקף, אשר פעמים רבות נמצאים על שרת ענן במקום לא ידוע, דבר המקשה יותר לחסום את המקור.
פרנס מוסיף: "במידה ופושעי הסייבר נמצאים בתוך הרשת פרק זמן ממושך, הם יהיו מסוגלים להשיג כל סוג של מידע זמין. רוב נתוני החברה מאוחסנים בצורה אלקטרונית. ככל שהתוקפים נמצאים זמן רב יותר בפנים, כך גובר הסיכוי שהם ילמדו את התהליכים העסקיים של הארגון ואת זרימת הנתונים. למשל, בהתקפת ה-Carbanak התוקפים איתרו את המחשבים של מנהל המערכת כדי לקבל גישה למצלמות המעקב. הם צפו באופן העבודה של פקידי הבנק והקליטו את כל פרטי התהליך, אותו תהליך אשר הם חיקו מאוחר יותר והעבירו כספים דרך המערכות שלהם".
מהן הפעולות המומלצות לארגון כדי להגן על הרשת שלו?
"חשוב להבין כי נקודת הכניסה הרגילה אל הרשת היא דרך הקלקות של המשתמשים על קישורים זדוניים. ברגע שהמכשיר של המשתמש הופך לפגיע, התוקפים יתחילו לנוע דרך הרשת כדי למצוא את הנתונים שהם מחפשים. זוהי הנקודה שבה חלוקת רשת הופכת לחשובה ביותר. ראשית, היא מסייעת להפחית את ההשפעה של הפרצה, היות והחברה יכולה לבודד אותה למיקום מסוים, כך שלא תשפיע על שאר הרשת. בנוסף, הדבר מאפשר לנתונים רגישים להיות מחולקים לאזורים בעלי אבטחה גבוהה יותר, דבר אשר יגרום לתוקפים לעבוד קשה יותר על מנת לדלות את הנתונים. חשוב לזכור כי לא ניתן להגן ולפקח על כל מה שנמצא ברשתות שלנו, היות והן גדולות ומורכבות מידי. לכן, מומלץ ואף חשוב למצוא את הנתונים המהותיים ביותר, לבודד אותם ולהתמקד בפיקוח דרכי הגישה לנתונים הללו".