"בתחבולות תעשה לך מלחמה"

Advanced Persistent Threat

APT -Advanced Persistent Threat התקפה עקבית ומונחת

מוסדות ממשלתיים, חברות תשתית לאומיות ומוסדות פיננסים מהווים מטרות נבחרות להאקרים עצמאים וכאלה שממומנים על ידי ארגונים גדולים או ממשלות. המטרה היא לחדור לארגון ולאסוף מידע רגיש למטרות רווח כלכלי או במטרה לגרום נזק משמעותי לתשתיות ולתדמית הארגון. המעבר המואץ של ארגונים אילו לתשתיות דיגיטליות, תוך הגדלת הניגשות של הצרכנים והעובדים למידע ולאפליקציות רגישות הם רק סיבה אחת לכך.

בעולם אבטחת המידע קיימת תמיד א-סימטריות בין הצד המתגונן לבין הצד המתקיף. ניתן להשוות זאת למבצר מימי הביניים. המגן בונה חומות, קווי הגנה פיזיים ואחרים, בעוד לתוקף יש יתרון בכך שהוא יכול לכוון את ההתקפה לנקודה הפגיעה ביותר במערך, ולנצלה. אותה א-סימטריות מנוצלת היטב בעולם אבטחת המידע. תוקף מיומן ובעל אמצעים, יוכל בסבירות גבוה לחדור כמעט לכל ארגון.

השאלה הנשאלת היא מתי זה יקרה ומה שיותר מפחיד ארגונים היא מתי נגלה את החדירה?

התקפות APT 

נקודת ההנחה הסבירה היא שקוד זדוני קיים בארגון והשאלה היא מה הדרך המהירה ביותר לזהות אותו ולהסיר אותו.

תוקף יבצע את הכניסה דרך אזורים פחות מאובטחים ברשת, למשל רשת ספקים, מחשב של אחד העובדים או נקודות חולשה אחרות.

לאחר החדירה הראשונית לארגון, תוקף מיומן ישאיר מעט מאד עקבות. משם ינסה התוקף באמצעות ביסוס אחיזתו במערכת הראשונה, לעבור למערכות נוספות בארגון תוך כדי איסוף מידע ונתונים כגון: סיסמאות ושמות משתמשים, במטרה לקבל הרשאות נוספות ולהגיע למערכות נוספות.

חשוב להבין שבכל שלב לתוקף יש קשר רציף עם המערכות הנגועות בארגון והוא מבצע מיפוי מלא של כל מערכות המחשוב והתשתית בארגון כדי להגיע למטרה שהציב לעצמו. תהליך זה יכול לקחת שבועות ואף חודשים. מבדיקה של אירועי פריצה כמו למשל באירוע Target המפורסם, נמצא כי התוקף שהה ברשת כ-4 חודשים עד שהגיע למידע שאותו הוא גנב.

התקפות אלו מכונות APT, אלו איומים מתקדמים וממוקדים מאד בארגון ובמידע מסוים ובדרך כלל מבוצעים על ידי האקרים ברמה גבוהה שברשותם מימון רב.

כיצד מתגוננים? 

התגוננות מפני התקפות מסוג זה הינה מורכבת. ניתן לזהות התקפות על ידי שימוש בכלי אבטחת מידע קיימים, למשל ע"י זיהוי ערוץ הבקרה והמידע שהתוקף משתמש בו וכן על ידי איסוף "עקבות"  ושימוש בכלים לאנליטיקה ולזיהוי ההתקפה. הניסיון מלמד שבכלים אלו קשה מאד לזהות ולעצור התקפות APT.

Deception

כיוון חדש להתמודדות עם סיכונים אלו הוא ע"י שימוש בהטעיה מכוונת. הטעיה (Deception)– היא הוספה של מטרות אשר מבחינת התוקף ישמשו אותו כדי להמשיך ולהתקדם בארגון אליו חדר. הטעיות אלו הן "פיסות קוד" אשר  מוגדרת בתשתיות כגון מערכות מחשוב, רשת ואפליקציות של הארגון ויוצרת למתקיף מספר מטרות שנראות אמתיות, אך למעשה הן מלכודות שמזהות את הפעילות שלו ובולמות את הכניסה לארגון.

שימוש בהטעיה מכוונת יכול לשנות את המשוואה הא-סימטרית ולתת למותקף יתרון משמעותי.

השיטה: הגדלת משמעותית של מטרות ה- Deception. הטעיה טובה תייצר 10 נקודות תורפה בחומה שייראו למתקיף כמטרות נוחות בדומה למטרה האמיתית.

בזק בינלאומי יצרה שיתוף פעולה עם חברת illusive שהוקמה על ידי יוצאי 8200 ומציעה פתרון המבוסס על פרדיגמה זו.

מערכות illusive יוצרות מספר רב מאד של מטרות הטעיה ברמות שונות בארגון כגון שרתים, Active Directory, כונני רשת וכו'. תוקף הנמצא בארגון ינצל את מטרות אלו כדי להתקדם בארגון המותקף בין אם לצורך השגת הרשאות נוספות (שם משתמש וסיסמא) ובין אם לצורך מידע רלוונטי (כונני רשת שרתים) דבר שיוביל לגילויי מהיר של ההתקפה והסרתה.

היתרון של פתרון illusive הוא שלמעשה אין התקנה של כל Agent או חומרה נוספת בארגון כך שהיישום של הפתרון הוא מהיר ופשוט. כל ההטעיות נוצרות כחלק מתשתית הארגון ונסתרות ממשתמשים רגילים כך שאין זיהוי שגוי של מתקיף (False positive).

המפתחים בחברת illusive מכירים היטב את מבנה ההתקפה של האקר ולמעשה נכנסים "לראש" של מתקיף ובונים הטעיות הנראות מאד אטרקטיבית ולגיטימיות למתקיף ומסייעות לגלות את התוקף במהירות.

 

מאת: דובב פלג, מנהל מחלקת פריסייל בבזק בינלאומי

דובב פלג, מנהל מחלקת פריסייל בבזק בינלאומי

כתיבת תגובה