פרסום ראשון
הכה את ההאקר: סימטריה חשפה מערכת לתקיפת פורצים
הפתרון של החברה הישראלית, הראשון מסוגו בעולם, מיוחס לקטגוריית ה-Hack Back - טכנולוגיה שמאפשרת למגינים "לצוד" פושעי סייבר במקום רק לחסום אותם, מבלי להיקלע לתסבוכת משפטית
- למרות האשמות ארה"ב - קספרסקי סיכמה על שיתוף מודיעין עם האינטרפול
- דיווח: האקרים רוסים הצליחו לחדור לתשתיות קריטיות בארה"ב
- הוריקן WiFi: פרצת אבטחה קריטית מאיימת על ראוטרים בכל העולם
פתרון ה-Hack Back פועל בסביבת המחשוב של הלקוח, כאשר מיקוד הפעולה שלו הוא בחלק של התשתית הנמצא בשליטת התוקפים. החדשנות של הפתרון מתבטאת בהענקת היכולת לארגון המבקש להתגונן מפני מתקפת סייבר להטעות את היריב, לשבש את פעילותו, למנוע ממנו הישגים, לפגוע בו ואף להשמיד את הכלים שלו. בחברה מדגישים שמדובר בפעילות שמתבצעת כחלק אינטגרלי מנוהל התגובה לאירועי סייבר ובמסגרת מגבלות החוק.
הפיתוח החדש אף מאפשר לארגונים להגן באופן יזום על התשתית שלהם על ידי הפעלת אמצעים פעילים משל עצמו כנגד תוקף זריז המבקש לפגוע, לגנוב או להשמיד. המערכת עובדת באופן אוטומטי ומתבססת על זיהוי חד ערכי של התוקף, כדי להימנע מטעויות מבצעיות.
גדי עברון, מייסד החברה ומנכ"לה הסביר ל"כלכליסט" ש-MazeHunter יכולה לסייע ביצירת מידע משמעותי על המתקפה בזמן אמת, על ידי האצה של גילוי מחשבים נוספים ברשת שנפגעו במתקפה. הפתרון יודע לסייע בזיהוי כלי הפריצה המשמשים את התוקף, מקל על זיהוי המידע שנגנב ומסוגל להביא לעצירה של ההתקפה. עם זאת עברון מדגיש שלא מדובר בלקיחת החוק לידיים: "אנחנו עובדים במסגרת המגבלות של הרשת של הלקוח בלבד", הוא סביר, "אנחנו לא רודפים אחרי ההאקר מחוץ למרחב הפרטי בו אנחנו פועלים".
פתרון משפטי לפעולה
הפתרון של סימטריה נבנה בהתאם לדרישות הרגולציה (הבינלאומית והישראלית), והוא לוקח בחשבון את החוק הפדרלי האמריקאי Computer Fraud & Abuse Act (CFAA). בעוד שחלק מהפעולות (המבוצעות באופן אוטומטי ובזמן אמת) שנכללות בפתרון אינן שונות מסדר הפעולות הרגיל המופעל בתגובה לאירועי תקיפת סייבר, הרי שהפתרון מעניק לארגונים את האפשרות להפעיל אמצעים אחרים, שפריסתם דורשת הפעלת שיקול דעת של המפעיל.
סימטריה תפרסם ניתוח משפטי הכולל מודל מוצע לקביעת מדיניות תגובה ומודל מוצע להליך קבלת החלטות, שבאמצעותו יוכלו לקוחותיה המיישמים את הפתרון לקבוע בעצמם מהן הפעולות שהם רוצים לבצע, באילו תנאים, באיזה היקף ובאיזו אגרסיביות הם מעוניינים להגיב. עם זאת, הניתוח המשפטי של החברה אינו נועד להחליף את תהליך קבלת ההחלטות של לקוחותיה, והם אלו אשר יצטרכו להיעזר בייעוץ משפטי עצמאי בטרם הפעלה.
"הגיע הזמן שנחזיר אלינו את השליטה על הרשתות שלנו. המונח Hack Back הוא מטעה ומבלבל. יש הרבה שניתן לעשות במסגרת החוק, ובעיקר בהתמודדות עם התוקפים החודרים לרשתות השלנו", הוסיף עברון. "טכנולוגית ה-Hack Back החוקית של סימטריה פשוט מוסיפה כלי נוסף לתגובה לאירועים, כשהיא מרחיבה את היכולות הקיימות גם עבור תשתית הנמצאת בשליטת תוקפים בתוך הסביבה הארגונית".
יונתן ברוורמן, סמנכ"ל התפעול והמשפטים של החברה הסביר כיצד התאימה סימטריה את המוצר למציאות החוקית: "ראשית יש לחדד כי הפיצ'ר שאנחנו משיקים מסתמך על פרשנות צרה בהרבה של החוק מאשר לכאורה מתאפשר לנו על בסיס המסגרת המלאה שפיתחנו. MazeHunter פועל אך ורק על מחשבים שיש לחברה המגינה את סיסמת מנהל הרשת עבורם, והוא לא פועל במחשבים אחרים. המשמעות היא שמבחינה אופרטיבית פשוט אי אפשר להריץ אותו מחוץ לרשת, כך שהחששות על כך שאנחנו לגרום לנזק ש"זולג" מכותלי הארגון מקבלות מענה טכנולוגי חד וברור - אין נזק מחוץ לרשת כי אין לנו אפשרות טכנית לפעול מחוץ לרשת".
ישנו כרגע תיקון שנמצא בהכנה בקונגרס לחוק המחשבים האמריקאי בו יתאפשר למגינים לתקוף בחזרה. האם המוצר שלכם לוקח את התיקון הזה בחשבון?
יש התייחסות ל-ACDC (התיקון האמור לחוק, ר"ק) ואמירה מפורשת לכך שאנחנו לא לוקחים את הוראותיו בחשבון כי אין בכוונתנו לחכות לשינוי החוק עתידי שאולי יקרה או אולי לא יקרה. לדעתנו, הפתרון שלנו חוקי גם תחת המצב הקיים, ואין לנו צורך בשינוי חקיקה כדי להפעילו. יחד עם זאת, אין ספק כי טכנולוגיית ה-"beaconing" וטכנולוגיית ההגנה האקטיבית שאנו מציעים יכולה ברמה התיאורטית להתאים ל-ACDC, כך שזה בפירוש יגביר את הוודאות ואת מידת הסמך שיש לנו - אך כאמור, זהו לא תנאי קדם".
ישנם מומחי סייבר ואקדמאים רבים (ביניהם למשל ברוס שנייר) שרואים ברעיון ה-Hack Back כרעיון רע מאוד שעשוי לגרום ליותר נזק מתועלת. מה עמדתכם בנושא?
"החששות בנוגע לנזקים לצד ג' תמימים ולהחדרת כאוס למרחב הם מוצדקים. זוהי הסיבה למה בכמה וכמה מקומות ברחבי המאמר אנחנו כותבים שתקיפה חוזרת לשם תגמול או לשם נקמה הם רעיונות נוראיים ואנחנו לא מעודדים אותם בשום צורה ודרך. יחד עם זאת, זה שאנחנו לא מעודדים תגמול או נקמה לא אומרים שאנחנו חייבים לנצח להישאר כבולים ב-IN-ACTION".
"התרומה המשמעותית שאנחנו מקווים להוציא באמצעות המסגרת שלנו היא ההבנה שלא כל Hack Back הוא מקרה של רדיפה אחרי תוקף וביצוע פעולות על גבי המערכות שלו (שזה רעיון נוראי), אלא שניתן לבצע engagement משמעותי אל מול תוקף בתוך גבולות הרשת הפנימית שלך, שלגביהם אפשר וצריך לבצע אוטומטציה. העובדה שאתה מגיב לפעולות תוקף באגרסיביות לא אומרת שאתה תוקף את המערכות שלו, והעובדה שאתה מסכל את התקיפה על ידי שימוש בכלים אגרסיביים לא אומרת שהנזק שנגרם אגב פעולות הסיכול שלך הוא תמיד מוגזם ביחס לתועלת. לצורך כך צריך להבין שיש רכיבים מסויימים שהפריסה שלהם בתוך הרשת היא לגמרי מסוג הדברים שאפשר לכנות Hack Back גם ללא ההשלכות השליליות המשוייכות על פי רוב ל-Hack Back ה'רגיל".