העמקת תגובה לארועי סייבר

(מחשבות על הגברת יעילות הטיפול במתקפת סייבר)

אם כבר, אז כבר

כשזה כבר קורה, מתחילה פאניקה. כל דבר אחר מפסיק להיות דחוף, והמיקוד הבלעדי של הנהלת הארגון שנפגע הופך להיות: עצירת המתקפה ושיקום הנזקים. סביר שהארגון הנפגע יגייס למטרה זו צוות מיומן של תגובה לארוע סייבר (Incident Response, או IR). צוות כזה יתמקד בעצירת התפשטות הנזק, הסרה של הנוזקה והגשת דו״ח שינסה להסביר ״איך זה קרה לנו״. 

מדובר למעשה בגישה ״תגובתית״ והיא ממוקדת בעיקר בהתאוששות מהנזקים המסוימים שנוצרו. יחד עם זאת, אי אפשר שלא לחשוב על טיפול שורש יסודי יותר, כזה שיכול למנוע את הנזק הבא. אחרי הכל – הארגון כבר זימן גורם מקצועי לחסום את הפרצה ולעצור את הדימום, למה לא לנצל את ההזדמנות לעוד מספר פעולות קצרות שיגבירו את החסינות לארוע הבא? 

מחשבות על אפשרות העמקת התגובה לארועי סייבר, והפיכת הלקוח לחסין יותר.

אל תתמקד בחלון השבור

אם מישהו פרץ לבית שלך, לא מספיק רק להצביע על החלון המסוים שממנו נכנס הפורץ, או המסלול המדויק שבו הוא הלך בין החדרים בבית ואסף את השלל. אם קיימות דרכים נוספות בהן יכל הפורץ להכנס בקלות – לא תרצה לדעת עליהן?

כך גם בכל ארגון שספג מתקפת סייבר ונפגע. מאחר וסביר מאד שהפורץ בחר ללכת במסלול אחד מתוך כמה מסלולים אפשריים, חשוב מאד להראות לארגון מה הם אותם מקומות נוספים שמהם יכל לפעול הפורץ. 

צוות תגובה לארוע סייבר יחקור כאמור ולרוב יצביע על הדרך המדויקת שבה פעל הפורץ, ואפילו על חשבונות משתמשים מסוימים שבהם נעשה שימוש. סביר גם שימליץ לבצע איפוס סיסמאות לאותם חשבונות משתמשים ולחסום את הפתחים המסוימים דרכם בוצעה המתקפה.

כבר באתם, אפשר להשיג יותר?

תחשבו לרגע, מה כבר נוכל, כמקצועני אבטחת מידע, לומר ללקוח אם חס וחלילה הוא יפגע פעם שניה, או שלישית? במיוחד אם הפעמים הבאות יהיו באמצעות שיטה דומה לזו שבוצעה במתקפה הראשונה?

כשצוות תגובה לארוע כבר מוזמן לאתר לקוח שנפגע, ומקבל את המנדט (והתקציב!) המתאים לחקור ולטפל בארוע, מדוע לא לתת ללקוח תמונה קצת יותר מלאה של הבעיות הקיימות אצלו ?

קיימת היום מעין הפרדה בין אחריות צוות התגובה, לבין ביצוע פעולות נוספות שהארגון יכול ליישם בהמשך – כדי למנוע הישנות של מתקפת סייבר.  הכלים והמתודולוגיה שבשימוש צוות תגובה, הם לא בהכרח אותם כלים שיעזרו ללקוח להיערך טוב יותר למניעת הפירצה הבאה.

מכנה משותף לרוב המוחלט של המתקפות

אין מתקפה ללא ניצול חשבונות משתמשים (user accounts), ואין מתקפה ללא ניצול לרעה של הרשאות. פשוט אין!

 לא מוגזם לצפות ולבקש מאיש מקצוע שכבר הוזמן לבית הלקוח לאחר פריצה, להסתכל קצת יותר מסביב, ולפחות להראות ללקוח את הפרצות נוספות – אלה שניתן לראות ללא מאמץ גדול. לא צריך בהכרח לחפש ״מתחת לשטיח״, ולהפוך את זה לפרויקט גדול.  אלא לפחות להצביע על בעיות בולטות, כאלה שממש קל לטפל בהן! 

שילוב מתודולוגיות מעולם ניהול הזהויות

(להתאושש מהמשבר וגם למנוע את הבא)

לראייתנו, נכון לשלב בצוות תגובה לארוע גם כלים ומתודולוגיות מעולם ניהול הזהויות. 

למה הכוונה? אפשר לנצל שיטות וכלים מעולם בקרת הרשאות, כדי לסרוק, לנתח ולהראות ללקוח בעיות בולטות בהגדרות קיימות של משתמשים והרשאות – כאלה מהסוג שהמתקפה האחרונה ניצלה. מהלך כזה יתן ללקוח באופן מיידי כלים לצמצום החשיפה – גם ממקומות אותם לא ניצל הפורץ, למרות שיכל לעשות זאת בקלות. 

זה לא מסובך, ולא מדובר בכניסה ל״פרויקט״. מדובר בפעילות שניתן לשלב באותו חלון זמן שבו צוות התגובה כבר נמצא ממילא באתר הלקוח. 

הנה דוגמא לשני נושאים כאלה:

1. חשיפה בחשבונות משתמשים

ניתן לבצע סריקה להצגת כל חשבונות המשתמשים שמהווים חשיפה.

סטטיסטית – די בטוח שיש הרבה כאלה, ולא רק החשבון שבאמצעותו בוצעה העבירה. לדוגמא: בדיקה כזו תצביע באופן מדויק על כל החשבונות עם סיסמאות חלשות או קלות לניחוש.  קל מאד לאתר ולתקן את המצב הזה!

2. הרשאות עודפות (מיותרות!)

ניתן לבצע סריקה להצגת כל ההרשאות החריגות שיש למשתמשים בארגון, לפחות במוקדים מרכזיים כמו מערכת תיקיות הקבצים ברשת הארגונית. הרשאות כאלה כמעט תמיד קיימות  והן סיכון ״צועק״ שמחייב טיפול (קצת כמו להשאיר את כל החלונות בבית פתוחים ומזמינים פרצה)

קל יחסית להראות את הפערים הללו, ובחלק ניכר מהם אף לטפל – תוך כדי ניהול ארוע הסייבר. גישה מורחבת זו תשאיר כל לקוח שנחשף – מוגן יותר בפני נסיון התקיפה הבא.

3. חתירה לצמצום חשבונות פריבילגיים (אופציונאלי)

כפעילות אופציונאלית (ומאד רלוונטית) – אנו מציעים לפעול לצמצום מהותי של כמות החשבונות הפריבילגיים (אלה שיש להם הרשאות גבוהות). המציאות בנושא זה במרבית הארגונים – בעייתית מאד.

שורה תחתונה

אפשר לתת דגש קצת יותר עמוק על היבטים של מניעת המתקפה הבאה, בזמן שמטפלים בעצירת המתקפה הנוכחית ושיקום הנזקים ממנה. עם תכנון נכון – זה ישתלב באופן טבעי ומידתי בפעילות צוותי התגובה לארועי סייבר.

בסופו של דבר – מדובר בזוית אחרת של  טיפול בבעיית פשיעת הסייבר. שני צדדים של אותו מטבע: האחד מניעה, והשני תגובה. פעילות צוותי תגובה מתמקדת בהתאוששות (Recovery) ממשבר, בעוד כלים של ניהול זהויות מאפשרים מניעה (Prevention) של המשבר הבא. 

 
גלילה לראש העמוד
דילוג לתוכן