כנס הסייבר
"סולאר ווינד היתה רעידת אדמה בתחום פריצות הסייבר"
קרן אלדור סמנכ"לית ניהול מוצר, ב-CyberArK בכנס הסייבר של כלכליסט: "בשיטות תקיפה לא מסובכות הצליחו אותם גורמים להעלות את רמת ההרשאות שלהם ולנוע בתוך הרשת הארגונית ולהגיע לנכסים יקרי ערך, לחשוף מידע ולגנוב כלים. מדובר במתקפה בסדר גודל שלא נראה זה זמן רב"
"סולאר ווינד היתה רעידת אדמה", כך לדברי קרן אלדור סמנכ"לית ניהול מוצר, CyberArK במהלך כנס הסייבר של כלכליסט. בדבריה התייחסה אלדור לאחת ממתקפות הסייבר הגדולות ביותר על מתקנים אמריקאים שהתרחשה בדצמבר אשתקד, "מדובר באירוע אשר מתרחש אחת לכמה שנים בתחום פריצות הסייבר ומרעיד את התעשיה". עוד ציינה: "במקרה של סולאר ווינד התוקפים חיפשו בעצם את הדרך שתביא להם את החשיפה הגדולה ביותר. בדצמבר דווחו על ידי חברות כגון FIRE EYE על תקיפות סייבר בהן נגנבו כלי תקיפה של החברה עצמה שבהם היא משתמשת כדי לסייע לארגונים אחרים להתגונן מפני מתקפות סייבר - ולאחר כמה ימים התגלה שארגונים נוספים הותקפו מאותו מקור: תוכנה ששמה הוא 'אוריינט' של סולאר ווינד".
סוס טרויאני זדוני
אלדור הוסיפה, "אוריינט היא תוכנת ניהול בסביבת IT של ארגונים שמאפשרת להם לשלוט ולהגן על כל סביבת ה-IT שלהם. התוכנה מותקנת בכשלושים אלף ארגונים שנמנים על הגדולים בעולם, כולל ארגוני ממשל. בעצם התוקפים החליטו לתקוף באופן מתוכנן ולפגוע בסולאר ווינד. מדובר במתקפה של שרשרת האספקה אשר תוקפת את פס הייצור של תוכנת סולאר ווינד. בכך התוקפים הצליחו לחדור לתוך הארגון ולמען האמת כל פרטי התקיפה עדיין אינם ידועים, אך בעצם הם החדירו קוד זדוני משלהם לתוך תוכנת סולאר ווינד, אותה תוכנה שבסוף פס הייצור נחתמת על ידי סולאר ווינד ויוצאת לארגונים אשר סומכים על סולאר ווינד. אותם ארגונים יודעים שביכולתם להתקין תוכנה כזו באופן אוטומטי בתוך הארגון וכך בצורה מתוחכמת התוקפים פתחו לעצמם שער כניסה לכל אותם ארגונים שקיבלו מסולאר ווינד עדכוני תוכנה – ומדובר בכשמונה עשר אלף ארגונים, סדר גודל לחסר תקדים. ומשם ברגע שהשער נפתח התוכנה אפשרה לאותם גורמים זדוניים להגיע אל נכסים יקרי ערך בתוך אותם ארגונים".
האם מתקפת סולאר ווינד תחזור על עצמה דווקא אצלנו בבית?
לדברי אלדור: "התוכנה של סולאר ווינד שולטת על משאבים רבים בארגונים, יש לה את שם המשתמש והסיסמה לגשת לכל אותם משאבים ומכאן בשיטות תקיפה לא ממש מסובכות הצליחו אותם גורמים להעלות את רמת ההרשאות שלהם ולנוע בתוך הרשת הארגונית ולהגיע לנכסים יקרי ערך, לחשוף מידע ולגנוב כלים. מדובר במתקפה בסדר גודל שלא נראה זה זמן רב".
אלדור הוסיפה, "המתקפה הזו היא מאוד ייחודית ורואים מתקפה כזו מדי כמה שנים. כעת בעקבותיה התעשיה משלבת ידיים ויש הרבה שיתוף מידע וכל הזמן נלמדים פרטים חדשים, אך איננו מצפים שזו תהיה המציאות היום יומית של כל ארגון. דווקא היום יום של ארגונים רבים מוכיח שתוקפים מחפשים את מה שבסיסי, כלומר ניצול של חולשות ידועות שמאפשרות חדירה לארגון. חולשות כאלה, למשל הגדרות שנעשו בצורה לא מדויקת, או סיסמה שהושארה במקום חשוף, מאפשרים לתוקפים להעלות את רמת ההרשאות שלהם. ברגע שיש לתוקפים יכולת בתוך הרשת הארגונית, המסלול שלהם לנכסים יקרים וגניבת מידע פתוח".
יש לציין כי כיום ארגונים רבים אינם מחייבים עוד את עובדיהם להגיע פיזית אל המשרד, מה שיוצר כמובן לא מעט איומים של פריצות וגניבת מידע אשר עלולים להיות מופנים אל החיבור עצמו מן הבית, על כל האיומים שהוא עלול לייצר. לדברי אלדור:" בבית כל הטרנספורמציה הדיגיטלית היא נושא שקיבל תאוצה. ארגונים רבים החליטו להאיץ את המעבר שלהם לענן הציבורי ולכן סוג המתקפות השתנה. הענן הציבורי למשל טוב מאוד לארגונים ומאפשר להם להתרכז במומחיותם במקום בניהול תשתיות, אך מגוון יכולות זה ששירותי הענן מעניקים לארגונים דורשים מומחיות, לפתע יש זהויות חדשות רבות, שירותים חדשים אשר דורשים הרשאות. ניהול פעולות כאלה בהתחשב בענן הציבורי הוא מעל ליכולותיו של המוח האנושי ונדרשים כלי בקרה. נושא גיוס מומחים באבטחת ענן אינו קל ויש להתארגן לכך בהתאם".
"אבטחה אינה רק טכנולוגיה"
עוד ציינה אלדור: "אנו תמיד אומרים שאבטחה אינה רק טכנולוגיה. זהו שילוב של טכנולוגיה, אנשים ותהליכים. אנו מנסים לסייע לארגונים להבין שמדובר בכמה שכבות הגנה ובניית תהליכים שונים וגם חינוך של אנשים. צריך לנהל את הדבר הזה, ארגון צריך לדעת לנהל תהליכים, להחליט מה אסטרטגיית האבטחה שלו – וסולאר ווינד היא דוגמה טובה: כאשר היתה המתקפה ראינו לפתע אבטחה דרך פס היצור, זהו אזור הפיתוח ולפתע האיום הפך ממשי, אנשים הבינו שזהו אזור שניתן לתקוף ולכן אנו תמיד ממליצים לארגונים לחשוב מהם הנכסים היקרים ביותר בארגון שיש להתרכז בהגנתם וגם בגישה אליהם".