שי זנדני, ISACA ישראל: "על מנהלי אבטחה להפנים שהסינים יצליחו לפרוץ למערכות הארגון"
בראיון לאנשים ומחשבים מדבר זנדני, נשיא האיגוד הישראלי לביקורת ואבטחת מערכות מידע ומנכ"ל Cytegic, על שיטות העבודה של ההאקרים הסינים, הפריצה למערכת כיפת ברזל ויכולות הסייבר של החמאס
"יש אמירה בעולם אבטחת המידע לפיה 'אם הסינים רוצים לפרוץ למערכות ה-IT שלך – הם יצליחו, ויהי מה'. על מנהלי אבטחת המידע בארגונים להפנים זאת – ולהיערך בהתאם", כך אמר שי זנדני, נשיא ISACA ישראל, האיגוד הישראלי לביקורת ואבטחת מערכות מידע.
זנדני, המשמש גם כמנכ"ל חברת אבטחת המידע Cytegic, היה בין מייסדי CyberARM וראש מערך אבטחת המידע בחיל האוויר. הוא התראיין לאנשים ומחשבים על רקע הדיווח לפיו האקרים פרצו למערכות ה-IT של רפאל, התעשייה האווירית ואלישרא – שלוש החברות שתכננו, פיתחו ובנו את כיפת ברזל. על פי הדיווח, ההאקרים גנבו כמות עצומה של מסמכים רגישים הנוגעים לפיתוח המערכת, לפעילותה ולטכנולוגיות הגנה מפני טילים של מערכות ביטחוניות אחרות. הפריצות, שלא פורסמו עד לדיווח השבוע, בוצעו בשנים 2011-2012.
"הפריצה, אם אירעה, איננה חדשה", אמר זנדני. "פרסומה נראה כעיתוי טוב, על רקע מבצע צוק איתן, שבו רואה העולם את ההצלחה של כיפת ברזל".
לדבריו, "מעניין לראות במתקפות את הטקטיקה, את וקטור התקיפה, שההאקרים היפנו על מנת להגיע לקניין הרוחני (ה-IP) של החברות". הוא ציין כי "על פי מה שידוע, התוקפים ביצעו Spear-Phishing נגד אנשים ספציפיים בחברות, כדי לגרום להם לבטוח בכתובות ובדפים שהושתלו. כשהם פרצו את החומות, הם ביססו את נוכחותם והתפרסו ברשת על ידי ניצול Privileged Credentials על מנת להעתיק מידע רגיש ולהוציא אותו דרך דלת אחורית. סוג התקיפה מלמד על כך שככל הנראה, ביצעו אותה חברי צוות התקיפה הסיני Comment Crew".
הצוות זכה לפרסום בתחקיר שביצעה בפברואר השנה מנדיאנט (Mandiant) – שנרכשה על ידי פייראיי (FireEye) חודש קודם לכן – עבור הניו-יורק טיימס (New York Times). התחקיר העלה כי צבא סין קשור למתקפות על מערכות של חברות וסוכנויות בארצות הברית. הוא בוצע לאחר מתקפה בת ארבעה שבועות ממנה סבלו מחשבי העיתון בעקבות כתבה לא מחמיאה שפרסם על אשתו של ראש ממשלת סין.
הניו-יורק טיימס בדק מהיכן מבוצעות מתקפות על חברות וסוכנויות ממשל אמריקניות. מנדיאנט מצאה כי בבניין משרדים בן 12 קומות בשנגחאי פועלת יחידה 61398 של צבא סין, וכי "אחוז מדהים" מהמתקפות נגד ארגונים בארצות הברית מבוצע משם. כינויה של היחידה הוא Comment Crew".
"השיטה הזו מוכרת לנו", אמר זנדני. "היא מאפיינת האקרים שפועלים בחסות מדינות. אם הסינים רוצים לפרוץ למערכות שלך – הם יצליחו, מאחר שיש להם משאבי מיחשוב וכוח אדם כמעט בלתי נדלים".
הגורמים שתוקפים את ישראל
זנדני ציין כי "חשוב להבחין בין הגורמים השונים שתוקפים את ישראל. יש לערוך הבחנה בהיקף הפעילות של התוקפים, ביכולות, בזהות שלהם וביעדי התקיפה. ברמה הראשונה, הגבוהה ביותר של מבצעות הריגול, מדובר על פעילות ארוכת טווח שמטרתה לגנוב מידע מתעשיות וגופים ביטחוניים. מדינות כמו סין, הודו ורוסיה מבצעות ריגול סייבר כבר שנים ומנסות להשיג מידע, בעיקר מתעשיות ביטחוניות מערביות, חברות טלקום וחברות היי-טק, על מנת שיהיה להן יתרון עסקי וכחלק ממודיעין כללי".
"תוקפים נוספים, שהצטרפו בשנים האחרונות, הם ארגוני פשיעה בינלאומיים", לדברי זנדני. "היכולות שלהם הן כמעט כמו של מדינות והם מוכרים את המידע שהם גונבים לכל המרבה במחיר. בסיסם של ארגוני הפשע המאורגן המקוונים (Cybercrime Syndicates) הוא לרוב ברוסיה, אוקראינה או מדינה אחרת במזרח אירופה. הארגונים האלה תוקפים בעיקר חברות מעולמות האנרגיה, הבנקאות והפיננסים".
"הסוג השלישי הוא מדינות באזור שלנו שמנסות לתקוף את ישראל, בדגש על איראן והצבא האלקטרוני הסורי", ציין זנדני. "המטרה שלהן היא לגנוב מידע ביטחוני מישראל ובמקביל להכין תשתית התקפית לפגיעה בתשתיות קריטיות בשעת פקודה – ספקיות אינטרנט מישראל, תשתיות חשמל, מים ועוד".
הוא אמר כי גם ארגוני טרור תוקפים את ישראל קיברנטית במטרה להרוס תשתיות. "החמאס לא מהווה איום קיברנטי ממשי על ישראל, אבל בהחלט ייתכן שיהיו בעתיד מאמצים שלו ושל ארגוני טרור אחרים בתחום זה", לדברי זנדני.
בדרג הנמוך הוא ממקם את ההאקטיביסטים (שילוב המילים האקרים ואקטיביסטים), דוגמת אנשי אנונימוס (Anonymous). "הם פועלים בצורה מאוד לא מאורגנת, ללא היררכיה או תיאום, והיכולות שלהם נמוכות מאוד ונועדות בעיקר ליצירת רעש. המטרות שלהם הן להביך כמה שיותר חברות וארגונים ישראלים, בדגש על השחתה של אתרים בעלי פרופיל גבוה. הם פועלים בשיטת 'שלח לחמך' ומהווים את האיום הגדול ביותר על עסקים קטנים-בינוניים – כי לא אכפת להם במי הם פוגעים", אמר זנדני.
הוא דיבר על מנהלי האבטחה והמנמ"רים בארגונים ואמר כי "הם הופכים להיות נושאים באחריות, כחברי הנהלה. עליהם להתמודד עם מצוקת המשאבים וכוח האדם שברשותם, מול האיומים המשתנים דינמית והולכים ונעשים מתוחכמים. הם נדרשים לקבל תמונת מצב בזמן קצר ובאופן שוטף על השתנות האיומים. לא פחות חשוב הוא לשקף כיצד האיומים משפיעים עליהם ספציפית וכתוצאה מכך, להציג תוכנית עבודה מתועדפת, שתנחה במה יש לטפל בכל רגע נתון".
"אנחנו, ב-Cytegic, מפתחים מוצר שנותן לארגון את התעדוף לטיפול באיומים ולהגנות באופן שוטף – מול האיומים ומול מצב אבטחת המידע הקיים בארגון. בדרך זו, ארגונים יכולים להיות פרו-אקטיביים בטיפול באיומים ובמגמות הצפויות, וכך הם יכולים להגיע למיטוב השקעות בתחום", ציין.
לסיכום, אמר זנדני, "האתגר של הארגונים כיום הוא להתמודד באופן דינמי ובצורה פרו-אקטיבית מול שלל האיומים המשתנים הללו".
מה זאת אומרת "יש אמירה". בספרי "תורת האבטחה 773" נכתב כבר לפני יותר משלוש שנים שאנשי האבטחה חייבים להתייחס לכל מערכת כאל ניתנת לפריצה ולתכנן בהתאם צעדים שונים לצמצום הנזק האפשרי.