הירשמו
  1. ראשי
  2. BizTech
האקר צילום: AI
האקר צילום: AI

פורטינט: להתכונן לפעולת תגמול איראנית בסייבר

לפי חוקרי החברה, מתקפה מסוג זה לא תהיה מיידית, ולכן רצוי לנצל את חלון הזמן להיערכות כדי להפחית את הסיכונים. בעימותים קודמים, ניתן היה לראות שמתקפות מתרחבות במהירות מחוץ לשדה הקרב המסורתי, כשגורמים מסוימים מכוונים לא רק למערכות צבאיות, אלא גם לרשתות אזרחיות ותאגידיות

עוזי גרסטמן |
נושאים בכתבה סייבר פורטינט שאגת הארי איראן

התקיפות של ארה"ב וישראל על מטרות איראניות מעלות חששות מיידיים לגבי האפשרות של תקיפות סייבר, וכתוצאה מכך מכך עולה השאלה, האם תגובת סייבר איראנית בדרך? נכון לעכשיו, יש ראיות מוגבלות לפעולות סייבר איראניות מתואמות בקנה מידה רחב הקשורות ישירות למתקפות. זה לא אומר שרמת האיומים תישאר כזו לאורך זמן. חוקרי FortiGuard Labs, גוף חקר האיומים והמודיעין של פורטינט, רואים כרגע עלייה בפעילויות סייבר אזורית הקשורות בניסיונות שינוי תודעתי, השחתות, הפרעות שידור וניסיונות חדירה אופורטוניסטיים - הכל בצלו של הסכסוך.


בעימותים קודמים, ניתן היה לראות שמתקפות מתרחבות במהירות מחוץ לשדה הקרב המסורתי, כשגורמים מסוימים מתמקדים אפילו בארגונים עם הקשר הרופף ביותר לאויביהם, ומכוונים לא רק למערכות צבאיות, אלא גם לרשתות אזרחיות, תאגידיות וחוצות גבולות ובכך, מגבירים סיכונים ברחבי העולם.


במהלך השבוע החולף, התצפיות כללו: השחתה ופגיעה ביישומים ונכסי מדיה איראניים, כולל אפליקציית לוח השנה BadeSaba הנפוצה; הפרעות לשידורים ולתקשורת המפיצות מסרים פסיכולוגיים; שיבושי קישוריות לאינטרנט בתוך איראן; הגברת טענות מבוססות טלגרם אודות מתקפות סייבר המכוונות לישראל, ירדן, אפגניסטאן וישויות אזוריות נוספות; ושיח מוגבר המצביע על מיקוד פוטנציאלי בשירותים פיננסיים ותשתיות קריטיות. רוב האירועים האלה מתחלקים לשלוש קטגוריות: פעולות פסיכולוגיות, האקטיביסטיות וניצול אופורטוניסטי של רעש גיאופוליטי. 


נכון להיום אין ראיות מאומתות לקמפיינים איראניים הרסניים של תוכנות מחיקה (Wiper) או למתקפות סייבר רחבות היקף על תשתיות הקשורות ישירות למתקפות. אבל זה עשוי להשתנות. היסטורית, תגובות הסייבר האיראניות לאירועים גיאופוליטיים אינן תמיד מיידיות, אך הן עלולות להיות משבשות. באירועים הקודמים, מפעילים המקושרים לאיראן הפגינו סבלנות. הגישה לעתים קרובות מתוכננת מראש, וההפעלה עשויה להתרחש ימים או שבועות לאחר האירוע הראשוני, כשתשומת הלב משתנה וההגנה מתרופפת. ארגונים המפרשים את היעדר התגמול המיידי כסיכון מופחת עלולים למצוא עצמם לא מוכנים אם תתרחש פעילות בהמשך.


ניצול של הכאוס והרעש


דפוס אחד ראוי לתשומת לב מדוקדקת יותר באופן מיידי: תקופות של הסלמה גיאופוליטית יוצרות סביבה רועשת שגורמי איום - כולל אלה שלא קשורים ישירות לסכסוך - מנצלים לעתים קרובות לטובתם האישית. זה כולל השקת קמפיינים של פישינג בנושא חדשות מתפרצות, הפצת התראות מזויפות מלאות תוכנות זדוניות או עדכוני אבטחה מזויפים, כולם מוסווים בתוך הכאוס המתפתח. 


כמה מהטענות שהועלו בטלגרם נראות קשורות באופן רופף לקבוצות פרו-רוסיות או לאקטיביסטים אזוריים שפעלו גם בעבר ללא תיאום ברור עם איראן. בתקשורת הזו בדארקנט, יש מי שטוענים שבוצעו מתקפות סייבר נגד גופים ממשלתיים ירדניים, ישראליים או אפגניים, אך רבים מהם חסרים אימות טכני.


סביבות קונפליקט מספקות כיסוי טוב לפעילות זדונית. הייחוס הזה נהפך לקשה יותר, הבחנה בין מדדים אמינים לטענות ממוחזרות דורשת מאמץ רב יותר ופעולות דגל כוזב (מבצעים חשאיים, לרוב צבאיים או ביטחוניים, שבהם גורם מסוים פועל בזמן שהוא מסווה את זהותו ומטיל את האחריות על צד שלישי) קלות יותר לביצוע. כתוצאה מכך, הסיכון התפעולי של גורמי ההגנה גובר גם כשתגובה אסטרטגית מתואמת עדיין לא התרחשה.

קיראו עוד ב"BizTech"


למה כדאי לשים לב?


בהתבסס על קמפיינים איראניים קודמים ועל התנהגות איומים אזורית רחבה יותר, ארגונים צריכים להתכונן לטקטיקות שהוכיחו את עצמן כיעילות, שכוללות: תוכנות Wiper זדוניות המתמקדות במגזרי ממשלה או אנרגיה, מתקפות מבוזרות של מניעת שירות נגד מוסדות פיננסיים, גניבת פרטים מזהים סביב נושא של עדכונים הקשורים לקונפליקט, עדכוני אפליקציות מובייל מזויפים או תוכנות התקנה מזויפות, והשחתות אתרים שנועדו להניע הגברת מדיה.


הפגיעה באפליקציית לוח השנה BadeSaba ממחישה נקודה חשובה, של ניצול נרחב של התראות קופצות המרמז על גישה לשרתי ה-backend. גישה שכזו כמעט ולא מושגת ביום אחד. זה מרמז על פגיעה מוקדמת או מיקום מראש. גם אם הייחוס נותר לא ברור, הטכניקה משקפת את שיטת הפעולה המודרנית: לקבל גישה מוקדם ולהמתין לתזמון האופטימלי לביצוע.


הקונפליקט הזה לא דומה למתקפת סייבר טיפוסית שנעשית ממניעים פיננסיים. כשמעורבות פעולות פיזיות, תיאום תפעולי, אם קיים, לא סביר שיתרחש בערוצים פתוחים. במקום זאת, פעילות התכנון עשויה לעבור לתקשורת מוגבלת או חשאית ולהתרחש זמן רב לפני ההפעלה. המגינים לא צריכים להסתמך על אינדיקטורים גלויים של הגברה בפורומים ציבוריים כאישור לרמות הסיכון. היעדר סימנים של תכנון פומבי לא אומר שלא נעשתה הכנה.


מה לעשות כעת?


ניסיון קודם יכול לסייע בהכנה לכל פעולת תגמול סייבר עתידית. אם פעולה רחבה תתפתח בהמשך, בהתבסס על טקטיקות, טכניקות ונהלים (TTPs) שנצפו בעבר, סביר להניח שהיא תסתמך על טכניקות מוכרות ולא על מתקפות zero day חדשות. קמפייני סייבר גיאו-פוליטיים רבים מצליחים בזכות עיכוב בעדכונים, שימוש חוזר בפרטים מזהים, חוסר באימות רב-שלבי, שירותים חשופים ובקרות גישה חלשות. הגורמים האלה, ביחד עם העובדה שמה שנראה כמו עימות רחוק עבור רבים, עלולים לגרום לכך שפעילות סייבר זדונית עלולה להגיע במהירות גם לארגון שלכם.


הנה כמה צעדים מרכזיים שבפורטינט ממליצים לנקוט:


  • מודעות גיאו-פוליטית למצב - צריך להבין מי מתמקד במי, באילו כלים ומדוע. ניתן להתעדכן במה שקורה דרך מרכזי שיתוף וניתוח מידע (ISAC) בתעשייה שלכם או על ידי הרשמה לשירות המודיעין של FortiRecon Adversary Centric Intelligence (ACI). 

  • הכשרת אבטחת סייבר - עם הכשרה נכונה, הצוות שלכם יכול להגן טוב יותר על הארגון ולהפוך לקו ההגנה הראשון מפני איומי סייבר. צרו כוח עבודה מודע לסייבר עם הכשרה בעלות נמוכה או ללא עלות, לדוגמה באמצעות הכשרת NSE של פורטינט, שזמינה ללא תשלום. ניתן גם להעשיר את ההכשרה עם סימולציות פישינג אמיתיות כדי להעריך ולשפר את המוכנות של הארגון; הפעלת אימות רב-שלבי (MFA) ב-VPN, גישה מרחוק ויישומי SaaS: גם אם שם משתמש או סיסמה נפרצים, בין אם בטעות או בכוונה, האבטחה הכוללת של אותו משתמש נשמרת כי הגורמים לא יכולים לקבל גישה לשלב השני, כמו טוקנים או נתונים ביומטריים, שגם נדרש כדי לקבל גישה.

  • הגדרת תיקונים ועדכונים אוטומטיים - למרות שנים של הנחיות לקידום שיטות תיקון בזמן אמת, חוסר בתהליכי היגיינת סייבר מיטביים נותר אחד האיומים המרכזיים על אבטחת הרשת ושלמותה. תיקון קבוע של פגיעויות הוא צעד יסודי למניעת ניצול על ידי פושעי סייבר. חשוב לשמור על כל התוכנות, מערכות ההפעלה והיישומים מעודכנים עם תיקוני האבטחה האחרונים. התחילו בהקמת תהליך ניהול תיקונים כדי לייעל עדכונים ולהבטיח יישום מהיר. נסו להשתמש ב-AI ומערכות אחרות כדי להפוך משימות תיקון מייגעות לאוטומטיות. בעוד שמערכות ישנות רבות אינן ניתנות לתיקון עקב הפעלה רציפה של תהליכים קריטיים, ניתן להגן עליהן מפני פגיעויות באמצעות בקרות פיצוי, כמו חתימות IPS ממוקדות.

  • שימוש באבטחת סיסמאות חזקה - השתמשו בכלי ניהול סיסמאות ובאימות רב-שלבי כדי לוודא שהסיסמאות עומדות בהנחיות הדרושות. הצורות האלה של הגברת האבטחה ימנעו מסיסמאות שנפרצו להוביל לפגיעה במערכות. שירותים המנטרים פורומים מקוונים בדארקנט שמוכרים פרטי התחברות גנובים, יכולים גם לשמש אזהרה מוקדמת כדי להבטיח שהסיסמאות מעודכנות לפני שמנצלים אותן. בנוסף, צריך לוודא שמכשירי IoT, כמו מצלמות, מותאמים ושסיסמאות ברירת המחדל שונו.

  • הבנה והקטנת מרחב התקיפה - הצעד הראשון להקטנת מרחב התקיפה הוא להבין מה יש לכם. התחילו בביצוע ניטור מערכות כדי לגלות אילו יישומים, חומרה והתקני IoT נמצאים ברשת הפנימית שלכם, ואל תשכחו להסתכל מחוץ לארגון שלכם. תמיד מועיל לקבל נקודת מבט של מישהו מבחוץ על הרשת שלכם כדי לסייע בביקורת המערכות, זיהוי של מה שנמצא שם וקביעה למי יש גישה למה.

  • בניית הגנה לעומק - הניחו שתתרחש פרצה בשלב כלשהו ובנו חוסן אבטחה ויכולת איתור מהיר בכל רמה. חלקו את הרשת שלכם כדי שההשפעה של פרצה תהיה מוגבלת בהיקפה, מה שיסייע בהתאוששות מהירה של הרשת, תוך שמירה על חוסן עסקי. גורמי איום יכולים לעתים להישאר לא מזוהים ברשת במשך חודשים. פתרונות איתור ותגובה לרשת, טכניקות הטעיה ואנליטיקה יכולים להאיץ ולפשט את האיתור ותיקון האיומים. הפתרונות האלה יכולים לקצר את זמן האיתור מכמה ימים לכמה דקות. תתעדו את כל הפעילות לפתרון SIEM מרכזי ותבנו יכולת איתור ותגובה אוטומטית.

  • גבו את הנתונים - יישמו אסטרטגיית גיבוי ושחזור נתונים חזקה כדי להבטיח שלמות ואבטחת הנתונים. בצעו גיבוי קבוע של נתונים קריטיים והבטיחו שהגיבויים מאוחסנים בסביבות מאובטחות, מבודדות ומחוץ לרשת. חשוב לא פחות לבדוק את שחזור הנתונים שלכם, כדי לוודא כי במקרה של מתקפת כופר או אובדן נתונים, הארגון שלכם יוכל לשחזר במהירות מידע חיוני.

  • פיתוח ובדיקת תוכנית תגובה לאירועים - צרו תוכנית תגובה מקיפה לאירועים ומדריכים שמפרטים את הצעדים שיש לנקוט במקרה של אירוע סייבר. עם זאת, תוכנית שנמצאת במגירה היא בעלת ערך מועט. עליכם גם לבדוק ולעדכן את התוכניות בקביעות כדי להבטיח את יעילותן. זה כולל ביצוע סימולציות כדי לאפשר לבעלי העניין המרכזיים שלכם לתרגל ולחדד את תגובותיהם לסוגים שונים של איומי סייבר.

  • בניית אמון ושותפויות - מנהלי מערכות מידע וצוותי IT חייבים להבין שאבטחת סייבר היא אחריות משותפת. אחד המרכיבים הקריטיים ביותר של אבטחה חזקה הוא בניית שותפויות גלובליות ושיתוף פעיל של מודיעין איומים. זה כולל מעורבות עם ספקים אמינים והשתתפות במרכזי שיתוף וניתוח מידע הרלוונטיים למגזר שלכם.

  • דווחו על אירועים במהירות - דיווח בזמן הוא חיוני. ארגונים צריכים להודיע מיד למרכז הארצי לניהול אירועי סייבר (CERT) ולרשויות החוק במקרה של תקרית סייבר.

הוספת תגובה

תגובות לכתבה:

הגב לכתבה

השדות המסומנים ב-* הם שדות חובה