מתקפת סייבר היא פעולה אקטיבית שמבצע גורם במרחב הסייבר, ואשר מטרתה לגנוב מידע, לשבש מידע, לגרום נזק פיסי לתשתיות, להשפיע על תודעה, לגרום להתממשות תרחישים מסוימים, לנקום ועוד.
בעידן המודרני מתקפות סייבר מתוחכמות משלבות אלמנטים מן העולם הפיסי והעולם הוירטואלי, הן בעת הכנת משטח התקיפה והן בשלב גרימת הנזק. פעמים רבות, אחת מן הטקטיקות שבהן נוהג התוקף לעשות שימוש היא מציאת החוליה החלשה בשרשרת הבקרות, ודרכה לנצל פגיעויות שונות על מנת להחדיר נוזקה כלשהי לתוך מרחב הסייבר של היריב.
עובדה נוספת שחשוב יהיה לציין במקרה הזה, היא שבמקרים רבים, בטח ובטח כאשר מדובר בארגונים גדולים אשר מעסיקים אלפים רבים של עובדים, החוליה החלשה היא למעשה המימד האנושי. עוד עובדה שחשוב יהיה לציין, ועליה נרחיב בהמשך, היא שמרחבי התקיפה המורכבים המאפיינים תקיפות סייבר מן השנים האחרונות ניצלו לעיתים חולשות בבקרות לא בארגון הנתקף, אלא בשרשרת האספקה שלו. כך, למשל, בעוד שארגון שרמת המודעות שלו גדולה לתחום הסייבר יכול להיות מוגן באופן יחסי מפני חדירה של גורמים עוינים למרחב הסייבר שלו, ייתכן שהוא יהיה פגיעה הרבה יותר, דווקא באמצעות תקיפה של אחד הספקים עליהם הוא נסמך.
אילו סוגי מתקפות סייבר קיימים?
יש מאות רבות של סוגים של מתקפות סייבר, ומובן שלא נוכל במאמר הזה לסקור את כולם. עם זאת, כן נרצה להתעכב על סוגים מרכזיים של מתקפות סייבר, ולהבין מתי האקרים יכולים לנצל את החולשות הרלוונטיות בהתאמה. ובכן, בלי להכביר במילים, בואו ננסה להבין אילו סוגים שלמתקפות סייבר קיימים.
התקפות מניעת שירות
התקפות מסוג מניעת שירות (Denial of Service) הן התקפות נפוצות וניסיונות שלהן מבוצעים באופן יומיומי בכל רחבי הרשת. באמצעות מתקפות מסוג Denial of Service ניתן להשבית את השירותים שמספקות חברות או ארגונים על ידי העמסה חריגה של המשאבים הקריטיים שלהם, באמצעות אוסף של טכניקות, כמו בקשות חוזרות לעיבוד משאבים גדולים.
אלו נחשבות למתקפות פשוטות יחסית, ועיקר הנזק שהן מייצרות, לצד הפגיעה בשירותים העסקיים, כמובן, הוא נזק תדמיתי ומוניטיני. עם זאת, לרוב, כלי ההגנה המודרניים יודעים לזהות מתקפות מסוג מניעת שירות, ולהדוף אותן על מנת לאפשר לבית העסק שמאחורי האתר להמשיך בפעילות העסקית שלו עם מינימום הפרעה.
התקפות פישינג
התקפות דיוג, או פישינג, הן התקפות המבוצעות באמצעות העמדת אתרי אינטרנט דומים באופן משמעותי לאתרי המקור, תוך התחזות לארגון שעומד מאחורי אותם אתרי מקור, בניסיון לעודד גולשים להשאיר פרטי קשר באתר, ולעשות שימוש בנתונים האישיים של הגולשים בשלב מאוחר יותר.
התקפות פישינג נסמכות על העובדה שכאשר אדם צורך שירות הוא לא תמיד מודע להבדלים מינוריים כמו שגיאות באיות של שורת הכתובת בדפדפן, העדר שימוש ב https באתר ועוד, וסומך על המותג שנחזה לנגד עיניו כלגיטימי, בעיקר על סמך שיקול דעת מוטעה לגבי מראה האתר.
פעמים רבות, מתקפות מסוג פישינג תבוצענה תוך שימוש בדואר אלקטרוני זבל, שינוי איות של קישורים, וכן זיוף אתרים, ותוך הסתמכות על חוק המספרים הגדולים: אם הספאם ישלח לכמות גדולה מאוד של אנשים, סביר יהיה להניח שבודדים מהם אכן יפלו בפח, ילחצו על קישורים סוררים, ויאלצו לשלם מחיר כלשהו על מתקפות מסוג זה.
התקפות כופר
בשנים האחרונות מתקפות כופרה הפכו להיות נפוצות יותר ויותר ברחבי הרשת. באמצעות כופרות נוהגים האקרים שונים להצפין את הדיסק הקשיח ובו מידע בעל ערך לעובדים בחברה, ולהודיע לבעל החברה כי אם הכסף לא ישולם בפרק זמן נתון, הם לא יאפשרו את שחזור הנתונים מן הדיסק.
תופעת הכופרה התפשטה במהירות וכיום, במקום לסחוט רק בעלי חברות בינוניות וגדולות, לא מעט עסקים קטנים חווים פגיעה משמעותית בעבודה בעקבות חדירה של נוזקה למערך המחשובי שלהם. כאשר מדובר בעסקים קטנים, פעמים רבות הם מעדיפים לשלם את מחיר הסחיטה, מה גם שהוא לרוב לא גבוה מידי, ולחזור לפעילות במהירות האפשרית, שכן אין להם יכולת לספוג זמני השבתה ממושכים.
סוסים טרויאניים
סוס טרויאני הוא כיב תוכנה המוחדר לרשת ארגונית, הרבה פעמים באמצעים כמו מייל או חיבור רכיבים נתיקים, ומאפשר לתוקפים להשיג גישה מרחוק לרשת הארגון. סוסים טרויאנים משמשים לאוסף גדול של צרכים, החל מאיסוף מידע, דרך שיבוש מידע ועד להשבתה של מערכות מרחוק בשעת הצורך.
התקפות APT
בשונה ממתקפות אקראיות אשר מבוצעות כנגד קהל יעד רחב, במטרה לפגוע באילו שלא טרחו להגן על המערך המחשובי שלהם, התקפות סייבר מסוג advanced persistent threat הן התקפות שנועדו לטרגט יעד ספציפי באופן ממוקד ולנצל את החולשות הייעודיות שלו במטרה לייצר נזק. לרוב, התקפות מסוג APT הן התקפות מורכבות, שנמשכות פרק זמן ממושך, ומערבות הן היבטים לוגיים והן היבטים פיסיים, הן התמקדות במימד האנושי והן שימוש בחולשות המתגלות בשרשרת האספקה, ולעיתים תקיפות מסוג זה מתגלות רק כעבור פרק זמן ממושך מאוד מרגע שבוצעו.
מתקפות סייבר בולטות שהתרחשו בעולם
ברחבי העולם התרחשו לא מעט התקפות סייבר, כאשר הגדולות שבהן התפרסמו, בעיקר בשל מימדי הנזק שגרמו. אחת ממתקפות הסייבר המשמעותיות ביותר, אשר השפיעה על גורמי ממשל רבים בארצות הברית, הייתה התקיפה של חברת Solarwinds. במהלך התקיפה המורכבת הזאת, החדירו גורמים, ככל הנראה ברמת מדינה, רכיב Backdoor לתוכנת הניהול אוראיון, תוך שימוש בחתימה באמצעות תעודת סרטיפיקט מקורית של החברה. עדכון התוכנה של אוריאון, אשר הכי את הנוזקה, הופץ במשך כשלושה חודשים לכ 18 אלף ארגונים ברחבי העולם.
מדובר באחת ממתקפות הסייבר המשמעותיות ביותר שמוכרות בציבור הרחב, והיא גרמה לשינוי תודעתי בכל הקשור למידת ההתפשטות והשליטה שיכולות להשיג מדינות באמצעות ניצול חולשות בשרשרת האספקה של ארגונים.
מתקפה נוספת שיצרה השפעה נרחבת על עולם הסייבר הייתה מתקפה שכוונה לרשת Target הקמעונאית. תוכנה זדונית בשם BlackPos שפיתח נער רוסי, הצליחה באופן מתמשך, הדרגתי ומתוחכם לגנוב פרטים של כשליש ממשתמשי כרטיסי האשראי בארצות הברית (כמאה מליון כרטיסי אשראי). לתוכנה נוצרו וריאנטים שונים, והיא נסחרה בשוק באלפי דולרים לכל התקנה. לכשהתגלתה המתקפה התבררו מימדי המורכבות שלה, וההשפעה שהייתה לה על עולם הקמעונאות.
מסגרת לטיפול בהגנת הסייבר
מתקפות סייבר בהיקף כה נרחב וממניעים כל כך רבים מאלצות ארגונים ממשלתיים, חברות ותאגידים, ובעלי עסקים קטנים וגדולים, לגבש מסגרת מקיפה להתמודדות עם אירועי סייבר. בשנים האחרונות גובשו באמצעות תקנים אוסף של מסגרות עבודה שמאפשרות לגורמים המעוניינים בכך לנהל את ההערכות שלהם למתקפות סייבר בשגרה ובזמן אמת.
לצורך הדיון במאמר הזה, נציג כאן את מסגרת העבודה המוצעת מטעם Nist Cybersecurity Framework:
מיפוי נכסים
השלב הראשון בגיבוש אסטרטגיית הגנת הסייבר של ארגון או יחיד על הנכסים הדיגיטליים והפיסיים שלו מפני מתקפות סייבר, היא מיפוי הנכסים עליהם מעוניין הגוף הרלוונטי להגן. בתהליך המיפוי הזה, יש להתייחס לאנשים, נכסים, תהליכי עבודה, מקורות מידע, מערכות, ממשקים טכנולוגיים ועוד.
ביצוע מיפוי שלם ואיכותי יאפשר, לאחר מכן, לגורם הרלוונטי להגדיר את התעדוף שלו במשאבים שיוקצו לטובת ההגנה על הנכסים האלו.
הגנה
מרגע שאנחנו יודעים על אילו נכסים אנחנו מעוניינים להגן, עלינו להטמיע כחלק מתהליכי העבודה של הארגון את שגרות ההגנה שתפעלנה באופן שוטף. השגרות האלו צריכות לכלול הטמעה של בקרות טכנולוגיות לצמצום או שליטה בסיכוני סייבר מתהווים, ניהול הרשאות ומשתמשים, הגנה על מיע, הכשרה לעובדים, ספקים ולקוחות באשר להתמודדות עם תרחישים שונים, שימוש בטכנולוגיית גילוי מוקדם של אירועים ועוד.
זיהוי
כדי להבטיח אפקטיביות רבה של תהליכי ההגנה על מידע, חשוב יהיה להטמיע טכנולוגיה שתאפשר לארגון או לבית העסק לנטר באופן שוטף אירועי אבטחת מידע, חריגות מדפוסי פעילות נורמליים של עובדים, ספקים ולקוחות, איתור אנומליות, שינוי, שיבוש או גישה לא מורשית לנכסים של הארגון ועוד. כדי לעשות זאת, חשוב יהיה להטמיע טכנולוגיות חדישות אשר מתעדכנות באופן שוטף אל מול האיומים המשתנים.
תגובה
מערך ההגנה הקיים בארגון או בבית העסק, העובדים, הספקים, ולעיתים אף הלקוחות - כל אלו צריכים להיות מצוידים בנהלי תגובה קונקרטיים ומעשיים שיהיה ברור כיצד ליישמם. כל ארגון צריך לגבש את תיאבון הסיכון שלו, וגם עד כמה הוא מוכן לפגוע בפעילות העסקית השוטפת שלו על מנת להתמודד עם איומים שונים. כך, למשל, ארגון שחווה מתקפות מניעת שירות עוצמתיות ממקורות שנמצאים מחוץ למדינה, יכול להחליט שמאחר שממילא קהל היעד העיקרי שלו הינו קהל לקוחות ישראלי, הוא בוחר, באופן זמני, לסגור את קוי התקשורת הנכנסים לאתר הארגון מחו"ל.
התאוששות
החזרה לשגרה הינה חלק בלתי נפרד מן ההתמודדות הכוללת מול אירועי סייבר. בזמן החזרה לשגרה יש לוודא כי מתקיימים תהליכים שמטרתם לוודא שהמערכות ותהליכי העבודה פועלים באופן תקין, לבצע הפקות לקחים שתעזורנה למפות את הגורמים שהובילו לפרוץ המשבר, לתקן ליקויים שנתגלו במערכות השונות לשדרג, להתאים ולתכנן מחדש את מערך ההגנה ועוד.
טיפים בסיסיים להקטנת הסיכוי להיפגע ממתקפת סייבר
מובן מאליו שהתמודדות מול התקפת APT של מעצמה אינה דומה להתגוננות מול מתקפת סייבר פשוטה של מי שאינו בקיא בתחום ועשה שימוש בכלים שונים המוצעים ברשת. כדי להצליח ולהפחית את הסיכוי לפגיעה בארגון או בעסק, כדאי יהיה לקחת בחשבון, לכל הפחות, את הטיפים הבאים:
הקפידו על התקנת טלאי אבטחת מידע במוצרי התוכנה השונים
בעולם הסייבר מתקיים מירוץ תמידי בין האקרים ובין מנהלי מערכות. מרגע שחולשה מסוימת מתגלה במערכת הפעלה או ברכיב תוכנה, האקרים מנסים לנצל אותה לצורך ביצוע מתקפה, ומנהלי מערכות מנסים לטפל בה באמצעות עדכון טלאי אבטחת מידע.
בהקשר הז, מרגע שחולשה מתפרסמת, עומד לרשותכם זמן מוגבל עד שהאקרים יצליחו לנצל אותה. חשוב יהיה להקדים ולהתקין טלאי אבטחה, לאחר שנבדקו כמובן, כדי להגן על תשתיות המידע שלכם.
אל תלחצו על קישורים שאינכם יודעים בודאות מי המקור ששלח אותם
רבות ממתקפות הפישינג, שבהן גורמים עוינים מתחזים לספקי שירות לגיטימיים, מתחילות בשליחת מייל או סמס עם קריאה ללחוץ על קישור זדוני.
מעוניינים לקבל שירות או תמיכה מספק מסויים? יזמו אתם את הביקור באתר שלו, ונווטו באמצעות תריטי האתר לצורך קבלת השירות.
אל תמסרו פרטים אישיים כאשר לא אתם אלו שיזמתם את הפניה
ברור מאליו, שחלק אינטגרלי מתהליך קבלת שירות ממוסד כזה או אחר כרוך בביצוע הזדהות. אחרי הכל, כדי לקבל מידע מותאם אישית לצרכים שלכם, אתם חייבים להוכיח את הזהות שלכם בפני נותן השירות.
אלא שחלק חשוב ומרכזי בביצוע ההחלטה אילו פרטים למסור ולמי, קשור בגורם שיזם את הפניה. כאשר נציג שירות טלפוני הוא זה שביצע אליכם פניה ביוזמתו - אל תמסרו אף פרט מזהה אודותיכם. במקרה שהשירות נחוץ לכם, מסרו את הפרטים רק לאחר שתיזמו אתם פניה אל נותן השירות.
עשו שימוש באנטי וירוס מעודכן בעמדות העבודה שלכם
שימוש בתוכנת אנטי וירוס יאפשר לכם להגן על העמדה על הרשת הארגונית שלכם מפני כניסת פוגענים שונים, ולמנוע את הרצתם אם וכאשר התגלו. גם בהקשר של אנטיוירוס מדיניות עדכון קפדנית היא קריטית להצלחת הבקרה הזאת.
גבו את הנתונים החשובים לכם
לא תמיד תוכלו למנוע באופן מוחלט את יצירת הפגיעה או השיבוש במידע השייך לכם. זאת הסיבה, שיצירת מתודת גיבויים תדירה היא כה חשובה בהקשר הזה. גבו את הנתונים שלכם בתדירות כזו שתאפשר לכם להתאושש במהירות מפגיעה במידע. בסופו של יום, אל תשכחו שמטרת ההטמעה של תהליכי אבטחת מידע היא להבטיח את שלמות המידע שלכם, מהימנותו וזמינותו.
מה מניע אנשים לבצע מתקפות סייבר?
תקיפות סייבר הינן עניין שבשגרה ומבוצעות על בסיס יומיומי בין מדינות, ארגונים עסקיים, ארגוני טרור ועוד. המניעים לביצוע מתקפות הסייבר האלו הם מגוונים ומשתנים מאוכלוסיה לאוכלוסיה. מיד ננסה להמחיש כמה מן המניעים העיקריים (אבל בטח לא היחידים) שגורמים לאנשים לעבור על החוק ולבצע מתקפות כאלו.
סקרנות עניין או שעמום
הרמה הנמוכה ביותר של מתקפות הסייבר מבוצעת לעיתים באמצעות גורמים חובבנים למדי, שעושים זאת מתוך סקרנות או שעמום. רשת האינטרנט מציעה כלים שונים שמקלים באופן משמעותי על ביצוע תקיפות סייבר, ואם פעם נדרשה התמחות, וכן ידע בכתיבת קוד, רשתות תקשורת, מערכות הפעלה, פגיעויות וחשיפות כדי להוציא אל הפועל מתקפות סייבר, הרי שכיום פשיעת סייבר מוצעת כשירות לכל דבר ועניין. פורטלים שונים ברשת מציעים מחירונים גלויים שבאמצעותם יכולים מי שמתעניינים בנושא להפעיל מתקפות שונות בלחיצת כפתור, מבלי שיהיה להם צורך ברכישת ידע מעמיק בנושא.
האקטיביזם
לעיתים תתבצענה מתקפות סייבר דווקא מתוך מניעים אידאולוגיים טהורים. אלו יכולים להיות פעילי איכות סביבה קיצוניים, ארגונים הפועלים למען זכויות לבעלי חיים או כל ארגון אחר אשר מקצין מאוד בעמדות שלו ומוכן לבצע גם פעולות פליליות על מנת להפיץ את תורתו ואמונתו, האקרים מן הסוג הזה פועלים בשם אג'נדה, וקשה יהיה לעצור את הפעילות שלהם, על אחת כמה וכמה אם הם משקיעים משאבים רבים בתכנון וביצוע מדויק של הפעולות האלו, וזאת בניגוד לתקיפות החובבניות שהצגנו בסעיף הקודם.
מניעים כלכליים
פשיעת סייבר הפכה להיות דבר נפוץ מאוד במחוזותינו. מתקפות כופרה אשר מטרתן לסחוט בעלי עסקים, ריגול תעשייתי מצד חברות שונות, ארגוני פשיעה אשר עושים שימוש במתקפות מסוג זה כדי להעשיר את קופתם - כל אלו הפכו להיות שכיחים יותר ויותר ככל שהתקדמו שירותי פשיעת הסייבר המוצעים למכירה. מתקפות סייבר מוצעות היום למכירה ויש להן מחירונים לכל דבר ועניין. מעבר לכך, מטבעות וירטואליים אשר מסייעים לעיתים לארגוני פשיעה לטשטש את נתיב הכסף שלהם, הופכים את פשיעת הסייבר הכלכלית לזמינה ונגישה מאי פעם.
מניעים מדינתיים
ברמה המדינית, סייבר הוא מלחמה תמידית המתנהלת מתחת לפני השטח באמצעות מתקפות סייבר מדינות אוספות מודיעין, משבשות תשתיות אויב, משפיעות על תודעת האזרחים במדינות אחרות, משבשות נתיבי כסף של ארגוני טרור ולמעשה,בפועל, מייצרות נזק לא קטן בהיקפות ממתקפות רגילות בשגרה.
ישנם, כמובן, עוד לא מעט גורמים שמניעים אנשים לבצע מתקפות סייבר כנגד מטרות שונות, וככל שהתעשייה הזאת מתפתחת ומנגישה את שירותי התקיפה לגורמים פחות טכנולוגיים ופחות מנוסים בעולם הסייבר, כך גם גדל היצע הגורמים שמניעים.