מהדארקנט לכופר: כשמרתון ההגנה בסייבר הופך ברגע לספרינט

זה קרה בסוף השבוע השני של דצמבר 2021: העולם למד באיחור על חולשת אבטחה חמורה מסוג Zero-day. למרבה חוסר המזל, החולשה נחשפה ב-Log4j, ספריית ג’אווה המשמשת לתיעוד פעילות המשתמשים באפליקציות ובשירותים מהנפוצים ביותר שישנם.

עד מהרה הפכה התגלית הזאת לתקרית סייבר בינלאומית חמורה: תוך פחות מיממה זוהו מאות אלפי ניסיונות לניצול החולשה. מערכי הגנת הסייבר הלאומיים, חברות אבטחת המידע וה-CISO הארגוניים עברו לנוהל חירום בניסיון למזער נזקים, לנקוט צעדי מנע ולעדכן גרסה כדי להטמיע את ה-Patching הייעודי. הפגיעוּת, שהייתה קיימת כבר מאז 2013, נחשפה רק כעבור שמונה שנים. נוסף על הנזק המצטבר – והתרגול החשוב “על רטוב” – היה זה גם שיעור מאלף למה שקורה לפני ותוך כדי ברשת האפלה.

איך קשורה הרשת האפלה למתקפה?

המושג “דארקנט” (Darknet) מלווה אותנו כמעט מאז שהאינטרנט קיים. אנחנו נוטים לחשוב עליו, במידה רבה של צדק, במונחים אפלים: מעין רשת שחורה שמזימות זדוניות, לא אחת פליליות, נרקמות בה. כדאי רק לזכור שלא כל מה שקורה שם אפלולי כל כך. דוגמה?

בי-בי-סי העלתה ברשת TOR The Onion Router) ) אתר צל לאתר הרשמי שלה, כדי לאפשר גישה חופשית ובלתי מצונזרת אליו לגולשים מסין, איראן ובלרוס. למעשה, כל אחד יכול להיכנס מכל מחשב לדארקנט. לפיכך, הגדרה מדויקת יותר למרחב הזה תשים דגש על האלמנט האנונימי, ולאו דווקא האפל, שבגלישה בו. חיפוש רגיל בגוגל, מן הסתם, לא יביא אותנו לשם. איך בכל זאת נקשרת הדארקנט לפשיעה המקוונת, ואיזה מענה נותנות חברות הסייבר לאתגר הזה? שאלה מצוינת.

הנה הנחת יסוד חשובה לגבי הפשיעה המודרנית בכלל וה-Cyber Crime בפרט: קל יחסית לחדור למערכת; קשה הרבה יותר לעשות מזה כסף, כלומר למצוא מטרה איכותית שתאפשר בסופו של דבר לבצע מוניטיזציה אשר תצדיק את ההשקעה. האמת שזה די הגיוני, אם חושבים על זה רגע. קחו למשל ארנק פיזי: לא מאוד מסובך לכייס עובר אורח, או לגנוב ארנק מתיק שמונח על עגלת קניות. אבל להגיע לארנק של טייקון ספציפי? זה כבר כרוך במאמץ. לזה עוד צריך להוסיף את העובדה שהשימוש במזומן הולך ופוחת. ואם בכרטיסי אשראי עסקינן, שלא לדבר על ארנקים וירטואליים או קריפטוגרפיים, תכשיטים ומוצרי אומנות עתירי אבטחה – מוניטיזציה באמצעותם זה כבר סיפור אחר לגמרי. סיפור שמחייב אופרציה שלמה.

הקונטקסט שבתוך הדארקנט

מי שיוזם פשיעה מקוונת, ותהא מטרתו אשר תהא, זקוק לכמה וכמה פונקציונרים והתמחויות. מישהו צריך לבצע סריקה ולאתר מטרה רלוונטית, אולי לעקוב אחריה למשך פרק זמן מסוים. מישהו צריך לדעת לנצל      את נקודות התורפה. מישהו צריך לפתח כלים שיידעו לאתר ולנצל את החולשות כדי להגיע ליעד, לשהות בתוך המערכות שלו, לאתר משתמש פריווילגי עתיר הרשאות, ובכל הזמן הזה לחמוק ממערכות ההגנה ולהישאר שקוף עד כמה שניתן. לבסוף, מישהו גם צריך לדעת איך מנצלים את מה שנעשה – אם אלו פרטי כרטיסי אשראי שנגנבו, דאטה נצור ככופר וכדומה – ולהפוך את זה לכסף מזומן.

איפה כל המוחות האלה נפגשים? נכון, בדארקנט.

אז מה קורה שם, מתחת לרדאר? מחליפים רעיונות, דרכי פעולה, כלים ועוד. זו יכולה להיות ההתארגנות עצמה לקראת מתקפה אפשרית. זה יכול להיות עיסוק נרחב ביעד לתקיפה, או בחולשה שאותרה במערכת כלשהי ופורסמה אי שם, וכעת נפתח חלון הזדמנויות קצר לניצולה. מפתחי הכלים למיניהם יכולים להתייעץ זה עם זה כיצד לנצל את החולשה, ממש כשם שמפתחים נוהגים כיום להתייעץ במערכת ניהול גרסאות מבוססת קוד פתוח (Git). אגב, זה לא חייב להיות ברשת האפלה: פעילות כזאת זולגת גם לפורומים שונים, לקבוצות טלגרם ועוד. לכן, קריטי עבורנו להיות גם שם ולהבחין בזמן בכל אותם פרסומים פומביים אך שוליים ביחס לאיתור החולשות. אנחנו חייבים להניח שמי ש”על זה” כעסק יומיומי, שם לב כבר מזמן.

מחט בערימת דאטה

כאן בדיוק נכנס מודיעין האיומים שלנו ב Cybersixgill, שלוקח את פיסות האינפורמציה, מחבר אותן לכדי תמונה שלמה ושם אותן בקונטקסט הנכון.

אנחנו אוספים 24/7 עבור הלקוחות שלנו את כל המידע הרלוונטי מכל המקורות, ובעצם מחפשים מחט בערימת שחת: מתוך שלל אינסופי של מלל, שמשלב ז’רגון אופייני, אנחנו יודעים לזהות סאב דומיין, IP מסוים או כינוי מוכר כלשהו, להצליב את הכול יחד ולהצביע על משהו שמריח לנו לא טוב.

במילים אחרות, זה לא יהיה רק X אמר Y, אלא גם זיהוי של מי דיבר, איפה ומה ההיסטוריה, המוניטין והמודוס אופרנדי שלו. ההקשר הזה יכול להיות ההבדל שבין Threat actor, שחקן איום מוכר בעל משמעות מודיעינית גבוהה בתחום ה-Fraud למשל, לבין מצטרף חדש שרוצה להרשים את  החברים בפורום. זה יכול גם להיות ההבדל שבין אזכור אגבי של ציטוט מפי גורם בכיר כלשהו, לבין כוונה אקוטית לטרגט אותו כדי לפעול נגדו או כדי להשתמש בו במסגרת פעולה נגד גורם המקושר אליו.

ציון פגיעויות ומודיעין מוטה פעולה       

מפת האיומים שלנו מאפשרת לנו לזהות את מה שמחוץ לשגרה. אבל גם זה לא מספיק: כי מודיעין טוב, כזה שמתריע מבעוד מועד – אם אפשר, עוד בשלב התכנון המקדמי – זה טוב ויפה. אבל מה עושים עם המודיעין הזה? איך הופכים אותו לאפקטיבי? ואיך יודעים שמדובר בסכנה ברורה ומיידית?

מעבר להיותו בתוך קונטקסט, מודיעין איכותי צריך להיות Actionable – מוכוון פעולה. זאת הסיבה שפיתחנו עבור הפלטפורמה של סייברסיקסגיל מודול ייחודי, שיודע לדרג את מידת החומרה של האיום. אנחנו קוראים לזה ציון DVE – Dynamic Vulnerability Exploit – שמכמת ומשקלל את בשלות הפגיעות יחד עם כוונת השחקנים לנצלה. כך מדרגת הפלטפורמה שלנו כל CVE – Common Vulnerabilities and Exposures.

למה זה כל כך חשוב? כי בכל רגע נתון מוכרות לנו יותר מ-150 אלף חולשות, אבל רק אחוזים בודדים מנוצלים בסוף לתקיפות. ברור שאי אפשר להשבית מערכת שלוש פעמים ביום (אפקט ה”זאב זאב”, מכירים?), וגם לא כלכלי להשקיע הון בסגירת פרצות לא אקוטיות. מה שכן, מאחר שהרוב המכריע של אירועי ניצול הפגיעויות (Exploit) מתרחש ביום שבו הן מתפרסמות, קריטי לתת למגנים פור משמעותי על פני התוקפים. זו המשימה הבוערת שלנו ברגע האמת, כשהמרתון הופך לספרינט.

אז נסכם את ארבעת האתגרים המרכזיים שלנו, שכל אחד מהם מתפצל לתתי עולמות ומשימות:

  1. איתור – להכיר את תמונת המקורות, לדעת היכן יכול להסתתר המודיעין הרלוונטי ללקוחות שלנו, ולפתח נגישות אפקטיבית אליהם. התמונה הזאת היא כמובן דינמית: מקורות נסגרים ונולדים כל הזמן, וצריך כאן להיות עם היד על הדופק. לבנות מחדש שוב ושוב את מפת המודיעין בהתאם להיווצרות של מרכזי עניין חדשים.
  2. חילוץ – לאסוף באופן שוטף ועקבי את המודיעין עצמו. זה אולי נשמע כמו מהלך טריוויאלי, אבל כשחושבים על אוקיינוס האינפורמציה, ברור שנדרשים כלי מעקב וזיהוי מתקדמים ואוטונומיים (אם תרצו, מנוע החיפוש של הדארקנט).
  3. ניתוח – לעבד את המודיעין ולהבין אותו בצורה הנכונה ובקונטקסט הנכון. זה מחייב היכרות עמוקה עם שחקני איום מרכזיים, וגם דריכות מתמדת ושדרוג עקבי של המערכות כך שיידעו להקפיץ באופן אוטונומי “ידיעת זהב”, או יותר מדויק: ליצור אחת כזאת מחיבור של נקודות. לשם כך יש עבודה רבה של Machine learning – בתיוג, בהעשרה, בזיהוי טרנדים, בחילוץ ישויות ובזיהוי אוטומטי של קשרים בין ישויות. שיתוף פעולה בין יכולת ניתוח אנושית חזקה של אנליסטים לבין אוטומציה ואלגוריתמיקה, מביא ליכולות זיהוי מודיעין רלוונטי ומותאם לקוח.
  4. שיקוף אפקטיבי – להקפיץ בצד הלקוח התרעה שלא מסתפקת בתקרית, אלא דואגת שיידע מה בדיוק קרה, איזו אינדיקציה זו יכולה להיות, ומה כדאי לעשות. הוא יקבל גם דו”חות שוטפים, אבל אנחנו לא אוספים מודיעין לשם מודיעין- כל מודיעין נאסף לצורך שימוש מבצעי. זיהוי מוקדם, הגנה וסיכול – בשביל זה כל האופרציה הזאת קיימת.

ובחזרה לדארקנט ול-Log4Shell, השם שניתן לאירועי איתור וניצול החולשה החמורה בספרייה Log4j (קוד פגיעות: CVE-2021-44228).

גיל קוברי – Director D&R.
צילום: יח”צ.

מרגע שצוות אבטחת הענן של קבוצת עליבאבא הסינית גילה את הפרצה ודיווח עליה לקרן התוכנה אפאצ’י, שהספרייה משויכת אליה, לא רק הממשלות והחברות עברו לנוהל חירום. הרשת האפלה שקקה מרוב אזכורים ומאמצים לנצל את הפגיעות, רגע לפני שהחלון נסגר. החוכמה הייתה לזהות את השיח הזה בשלב מוקדם ככל שניתן, עוד לפני שהוא הופך לכותרות ראשיות בכל אתרי החדשות.

צריך להבין: עליבאבא ידעה על החולשה כבר ב-24 בנובמבר, היא נחשפה פומבית רק ב-9 בדצמבר, ולקח עוד יום עד שמערך הסייבר הלאומי בישראל פרסם במוצאי שבת את ההתרעה הדחופה. במונחי עולם הסייבר ואבטחת המידע, כשכל שעה יכולה להיות קריטית – אם זה לצורך השתלטות עוינת על דאטה, מתקפת כופר או שימוש זדוני בכרטיסי אשראי – זמן כזה הוא נצח. מודיעין איכותי שמזהה ומתריע על האיום בזמן יכול להיות ההבדל שבין קטסטרופה ארגונית לחזרה מהירה לשגרה.


גיל קוברי, R&D Director ב Cybersixgill

תגובות סגורות