בנג'מין פאואל, RiskIQ: "תוקפים לא יכולים להימנע מלהשאיר עקבות באינטרנט"
RiskIQ מאתרת ומרכזת עקבות אלה ומאפשרת לקבל תמונה מהימנה האם יש נכסים שיכולים לשמש את התוקפים כנגד הארגון
NessPRO, קבוצת מוצרי התוכנה של נס, ערכה יחד עם RiskIQ, המיוצגת על ידה בישראל, סדנה ייחודית לציידי איומים בארגונים. בסדנה נכחו עשרות מומחי הגנת סייבר ממגוון ארגונים במגזרי המשק השונים, ובהם הממשלתי-ציבורי, הפיננסי והעסקי.
המשתתפים למדו כיצד לאתר סימנים מעידים שונים לגבי כוונות תקיפה, וכיצד לבצע חקירות על גורמי איום באינטרנט כדי לקבוע את היקף התקיפות ובאיזו תשתית הם משתמשים. כמו כן, למדו המשתתפים לזהות תשתיות לגיטימיות ותשתיות חשודות, כדי לבצע מצוד אחר איומים.
"90% מתקציבי האבטחה מוקדשים לאבטחה היקפית ואבטחת תשתיות. אולם, הרשתות החברתיות, תקשורת המובייל, האינטרנט והדארקנט יצרו תחומי תקיפה דינמיים חדשים", אמר בנג'מין פאואל, מנהל השיווק הטכני של RiskIQ. "יותר מ-75% מהאיומים נגרמים על ידי תוקפים חיצוניים, מחוץ לפיירוול". כך, לדוגמה, הוא ציין כי ב-2016 אותרו 155 אלף אתרי פישינג ו-2,754 מקרים של ניצול לרעה של מותגים.
פאואל הוסיף כי המערכות של RiskIQ מעשירות את הנתונים שבידי אנשי אבטחת המידע גם במודיעין שמקורו במידע היסטורי ומידע המצוי בידי צדדים שלישיים. המערכות מספקות תובנות על איומים, נקודות תורפה בארגון, ומידע נוסף הדרוש לביצוע חקירות ונקיטת צעדים.
לדבריו, נכסים דיגיטליים רבים של ארגונים נגישים מהאינטרנט, כולל מתקשורת מובייל ומרשתות חברתיות. לא זו בלבד, אלא שהאינטרנט מלא "נכסים מתחזים" וכאלה המופעלים על ידי נוכלים, שלא לדבר על "הרשת העמוקה" (Deep web) והדארקנט, שיכולות להוות סכנה של ממש לארגון, לעובדיו וללקוחותיו.
לעתים, גילוי איומים יכול להתחיל כבר בשלב הרישום של דומיינים בעייתיים, כגון כאלה הדומים לדומיינים לגיטימיים קיימים. לאחר מכן, האתר או דף האינטרנט החשוד נמצאים בתהליך של בנייה, ובסיומו עולה לאוויר אתר מתחזה (פישינג), שממנו יוצאות תקיפות שונות העלולות להזיק.
פאואל הדגיש כי התוקפים לא יכולים להימנע מלהשאיר עקבות כלשהם באינטרנט כגון כתובות IP, מספרי AS, פרטי ספקי האינטרנט שלהם, ספקי האימייל שלהם וכדומה. "העקבות הם ארעיים ובדרך כלל בלתי נראים, אלא אם מישהו שם אליהם לב", אמר. "כאשר מאתרים עקבות כאלה, הם יכולים לחשוף שלבים, אלמנטים או תשתית של תקיפה".
עוד הוא ציין כי RiskIQ סורקת באופן קבוע את רשת האינטרנט באמצעים טכנולוגיים שונים ובאמצעות שאילתות רבות מדי יום. בנוסף לכך, אוספת RiskIQ מודיעין רב ממקורות רבים ומגוונים. מאחר שתשתיות תקיפה שונות עלולות להשתנות בכל רגע, המערכת מבצעת ניטור ואנליזה קבועים של הרשת, כדי להישאר עדכניים ומדויקים במידה מקסימלית.
מקרה לדוגמה
בהמשך הסדנה תיאר אייל סלע, מנהל מערך המודיעין ב-ClearSky, תחקור תשתית תקיפה של קבוצה התוקפת ארגונים שונים בעולם. הוא הציג איתור של תשתיות שונות של הקבוצה. המקרה שתיאר החל מהתרעה על וירוס מסוים שנשא חתימה של אותה קבוצה. לאחר תחקורים וניתוחים מעמיקים, כולל באמצעות כלים טכנולוגיים מתקדמים, נתקבלה סדרה של כתובות IP שדומיין מסוים של אותה קבוצה הצביע עליהן.
סלע הדגים כיצד המשך התחקור כלל הצבעה על דומיינים שונים הקשורים לאותן כתובות IP ואיתור מידע עליהם. בהמשך אותרו נוזקות שונות הקשורות לאותם דומיינים, ולאחר מכן איתור מידע ממקורות שונים על אותה קבוצה וביצוע הצלבות מידע. באמצעות שיטות אלה ואחרות הצליחה ClearSky לבנות תמונה של תשתיות איומים פוטנציאליים שונים הקשורים לאותה קבוצה.
לסיכום אמר אבנר מימון, מנהל תחום הסייבר ב-NessPRO, כי "הסדנה הייתה הזדמנות מצוינת להסביר למומחי אבטחת סייבר בארגונים מובילים בישראל כיצד ניתן לאתר ברחבי הרשת איומים פוטנציאליים עוד לפני שהם פוגעים בארגון. הגילוי המוקדם של איומי סייבר הוא קריטי להצלחת ההגנה על עסקים וארגונים".