$
חדר מחשבים

להתמודד נגד מתקפות מיועדות

התקפות מתוכננות על ארגונים לא צפויות להיעלם בקרוב, אבל יצירת תרחישים וניהול סיכונים חכם יכולים לצמצם נזקים. כיצד עושים זאת?

יורם גולנדסקי 12:4302.05.11

באחרונה אנחנו נחשפים יותר ויותר למתקפות מיועדות, כשהמתוקשרת שבהן היא המתקפה על RSA Security. מתקפות מיועדות, או Advanced Persistent Threat אלו מתקפות קיברנטיות המכוונות ליעדים מפורשים, ובמקרה שלהלן - מתקפה של גורמים מיומנים ומקצועיים מאוד על חברת אבטחת המידע מובילה.

 

מתקפות

מיועדות אינן דבר חדש, והן גם לא הולכות להיעלם. אבל אפשר להיערך להן כראוי ולצמצם את השפעותיהן. כדי לעשות זאת, על הארגונים להבין את מידת הנזק הפוטנציאלי ממתקפה מיועדת. משמע: כל היכולות של התוקפים צריכות להיכלל בהערכה.

 

בדיקת "צוות אדום" מייצרת תרחיש שבו הארגון נמצא כאילו היה תחת מתקפה אמיתית, אך עם יתרון של סביבה מבוקרת וצוות בדיקה מהימן. במהלך הבדיקה, נלקחים בחשבון לא רק היבטים של עמידות ושרידות טכנולוגית, אלא גם היבטים נוספים כמו כח אדם ונהלי עבודה. עוד נושא חשוב הוא היכולת לזהות ולהתמודד עם מתקפות: צוותי תגובה, ניהול משברים וכדומה.

 

גישה מונעת נוספת היא איתור רוגלות בארגון. יש לקיים תהליכים שגרתיים של איסוף וניתוח מודיעין על התשתיות הטכנולוגיות בארגון, ומילת המפתח כאן היא "שגרה". רוגלות מתפתחות במהירות, ולכן לסריקות למציאתן יש אפקטיביות מוגבלת וחיי מדף קצרים.

 

צריך גם יחצ"נים 

 

בעת אירוע, ישנם לפחות שני צעדים משמעותיים והכרחיים לשליטה בהשפעה: תהליך ניהול האירוע וזיהוי פלילי דיגיטלי.

 

ללא צוות ניהול אירוע מקצועי ומיומן, השפעת ההתקפה עלולה להתעצם. הצוות חייב להיות מסוגל לתחום את האירוע, להכיר ביכולותיו ובבקרות הטכנולוגיות העומדות לרשותו ולפעול במהירות על מנת לשכך את הנזק. חלק מכך נובע מהיכולת תהליכי זיהוי פלילי דיגיטלי על מנת לנתח ולהבין את יכולות הגורם המאיים, המידע אותו הוא מנסה לאסוף ודרכי ההתקשרות עם מפקדת השליטה.

 

מלבד ההיבטים והפתרונות הטכנולוגיים, קיימים שני אלמנטים נוספים שחייבים להיקלח בחשבון. הראשון הוא ההיבט המשפטי - בחלק מהמדינות קיימת חובת דיווח לגורמי החוק או לנפגעים פוטנציאליים. אלמנט השני הוא יחסי ציבור כגורם מסייע לניהול משברים.

 

מרשתות חברתיות ועד עבריינות קיברנטית

 

העבודה לא מתסיימת גם כשההתקפה הודברה. על הארגון להתניע תהליך אסטרטגי לזיהוי הגורמים שהובילו את המתקפה או אפשרו אותה. בנוסף, יש ליישם את הצעדים שהודגשו בהיערכות לאירוע בתוספת הנושאים שעלו בתהליך הזיהוי הפלילי, וזאת על מנת לייצר מתווה להתמודדות עם אירועים עתידיים ולצמצם פערים.

 

הניתוח שלאחר האירוע צריך גם לכלול זיהוי פלילי רחב יותר כדי לזהות את דרכי החדירה לארגון שבהן השתמשו התוקפים. בדיקה כזאת תכלול נוכחות ברשתות חבריות, מכשירים חכמים ואפליקציות אינטרנטיות שייתכן והכשירו את המתקפה. בנוסף, על תהליך ניהול הסיכונים לכלול גם סיכונים הקשורים לעבריינות קיברנטית, כגון סחיטה.

 

לסיכום, כנראה שזה לא אפשרי לחלוטין למנוע התקפות מיועדות, אולם התמודדות עם הבעיה וניהול הסיכון הקשור למתקפות אלו יעזרו לצמצם נזקים. 

  

* הכותב הוא מנכ"ל חברת Security Art 

 

בטל שלח
    לכל התגובות
    x