האם ניתן למצוא רמזים למתקפות

האם אנו מתמודדים בצורה ראויה עם איומי הסייבר? האם אנו יודעים לזהות את הרמזים לגבי התקיפות שהארגון חווה? האם אנו יודעים כיצד לטפל באירוע? האם ניתן לענות בכלל על השאלות הנ”ל עם הדינמיות של הטכנולוגיות מצד אחד ומצד שני עם האיומים והסיכונים?

מחקרים שונים ברשת מגלים כי רוב הארגונים אינם יודעים להתמודד עם האיומים והסיכונים ברשת וכי הזמן הממוצע לזיהוי פריצה נע בין 98 עד 197 והזמן הממוצע לטיפול האירוע הוא בין 26 יום עד 39 יום במגזר הפרטי והפיננסי. לרוב עולה כי לאחר זיהוי מתקפה הטיפול במקרה היה יעיל.

זה לא חדש כי המתקפות ברשת הפכו ליותר מתוחכמות, ממוקדות, מורכבות ולעיתים הרסניות ובמקרה קיצון הדרך היחידה להתאושש מהן היא באמצעות שחזור המידע בלבד! ככל שהמתקפות הופכות למסוכנות יותר כך ארגונים חשופים לאיומים וסיכונים רבים יותר.
בגלל ריבוי המתקפות כלל הארגונים ללא יוצא מן הכלל חווים מתקפות כלשהן בין אם פישינג, ransomware, מתקפות ממוקדות בכירים, DoS, ריגול תעשייתי ועוד רבים ומסוכנים. רוב הארגונים אינם מיידעים על מתקפות בגלל סיבות רבות, כדוגמת: השפעה כלכלית, נזק תדמיתי.

כאשר אנו מדברים על מתקפות כל המתקפות או לפחות רובם עובדים לפי מנגנון זהה אשר מחולק למספר שלבים עיקרים,  אותם שלבים הם חלק ממנגנון Kill Chain המתאר את המתקפות לשושלה נקודות עיקריות:

• כניסה וחדירה לארגון
• איתור ואיסוף המידע הרגיש
• הוצאת המידע מתוך הארגון

בכל אחד מהשלבים ישנו קשר בין התוקף ובין הארגון שהותקף, בין אם זה קשר ישיר או עקיף ובין אם זה נעשה ע"י פישינג פשוט או ע"י תוכנות זדוניות ולכן במתקפות שונות ואולי אפילו ברובן אנו יכולים אחרי הכל לדעת מהו הקשר בין התוקף ליעד שלו ולקבל רמזים או אפילו ראיות.
הרמזים שניתן לראות במתקפות הם רזמים שונים כדוגמת: איך התוקף ביצע את המתקפה, באיזה כלים השתמש, מי הותקף בארגון ומהו הנזק שנגרם לארגון. אך חשוב להדגיש כי ישנם מקרים שבהם ניתן לבצע זיהוי וישנם מקרים בהם אולי לא נקבל אפילו רמזים.

כאשר אנו רוצים למצוא את הרמזים למתקפה אנו יכולים לעבוד לפי מספר מאפיינים:

• DNS Registration – אחד השלבים הראשונים במתקפה הוא לוודא שלאחר הפריצה ישלחו פעולות ופקודות נוספות לתוקף בכדי שיוכל לתקשר עם התוקף שלו, לדוגמא ניתן לקחת ransomware שלאחר הפריצה הוא מתקשר עם התוקף או עם השרתים של התוקף ומבצע פעולות נוספות.
• Behavior – ישנם מתקפות בהם התוקפים עובדים על אותם תבניות ומבצעים את אותם פעולות בכל מתקפה באופן זהה, למשל מבצעים מתקפה מאותם שרתים או תוקפים את אותם יעדים. במקרים כאלה ניתן לחשוף את התוקף ומהיכן הוא מגיע.
• Malware Metadata – לעיתים קוד ההרצה של אותה תוכנה זדונית עובר קימפול עם אותם תיקיות מקוריות או אותה תבנית מקורית ובמקרים כאלה ניתן לחשוף את התוקף.
• Keyboard Layout – כל מייל שנשלח מכיל פרטים ומידע רב כגון Header שמכיל מידע לגבי השולח, מאיזה שרתי דואר נשלח המייל, מידע לגבי המייל עצמו וכאן ניתן לחשוף מהיכן התוקף הגיע או מאיזה שרתים התחילה המתקפה.
• RAT – מתקפות בעלי נוזקות שלרוב יחודיות מאפשרות לתוקף לשלוט בזמן אמת על המחשב ולבצע עליו פעולות רבות של הקלטת מסכים, הקלטת המקלדת, הלקטת מיקרופון וכל מה שנעשה בתחנת הקצה באותו רגע. במצבים כאלה לעיתים עושים שימוש באותם כלים על אותם תבניות ולכן ניתן למצוא גורם משותף במקרים מסוימים אך הסיכויים לכך הם קלושים.

אם ניקח לדוגמא מתקפות מתקדמות שנעשו בארגון הכלים הרגילים לא נותנים מענה והדרך היחידה היא לעבוד עם טכנולוגיה אשר נמצאים בקטגורית EDR שמזהים מתקפות מתקדמות. אחת הדוגמאות המצוינות שניתן להציג הוא Defender ATP וזיהוי מתקפות חכמות ומתקדמות.
באמצעות Defender ATP ניתן לזהות מתקפה מתקדמת ולקבל מידע רב אודות המתקפה, בין היתר מהיכן המתקפה התתחילה, איזה קוד רץ מאחורי הקלעים, מול איזה שרתים נעשה תקשור החוצה, האם ישנם תחנות קצה שהריצו את אותם קבצים ועוד מידע רב ומעניין.

אם כך מה עושים במצבים כאלה? כל שניתן הוא להחיל מדיניות לגבי אבטחת מידע וסייבר עם מנגנונים שונים וליישם את המדיניות עם אותם טכנולוגיות וכלים ואחת לרבעון לדמות מתקפות.
מידע נוסף על Kill Chain בקישור הבא https://blogs.microsoft.com/microsoftsecure/2016/11/28/disrupting-the-kill-chain/
מידע נוסף ובהרחבה על רמזים למתקפות https://www.fireeye.com/content/dam/fireeye-www/global/en/current-threats/pdfs/rpt-digital-bread-crumbs.pdf