יריב דולב, סייבר ארק: "הנחת העבודה – אם תוקף רוצה לחדור, הוא יחדור"

"הנחת העבודה היא, שאם התוקף רוצה לחדור למערך ה-IT הארגוני, הוא יצליח במשימתו. בכל מתקפת סייבר ממוקדת על ארגון, החשבונות הפריבילגיים הם שלב הכרחי במתקפה, ואנו בסייבר ארק מגינים עליהם". כך אמר יריב דולב, מנהל קדם-מכירות ושירותים מקצועיים, סייבר ארק (CyberArk).

דולב דיבר בכנס CYBERSure, ועידת ניהול סיכונים בסייבר. הכנס, בהפקת אנשים ומחשבים, התקיים היום (ג') באולם יס פלאנט בראשון לציון, והנחה אותו יהודה קונפורטס, עורך ראשי של הקבוצה.

לדברי דולב, "כאשר ארגון נפרץ, הטלפון הראשון נעשה לחברת חקירות פורנזיות, ואילו הטלפון השני נעשה אלינו, על מנת לתת מענה לניהול הסיכון".

צילום ועריכת וידיאו: ליאור רובינשטיין

דולב תיאר בפירוט את הפריצה שאירעה ל-OPM, המשרד לניהול כוח אדם בממשל הפדרלי, הגוף האחראי לניהול, קבלה, רישום וביצוע תחקיר לעובדי הממשל.

ביוני, אמר דולב, פורסם דבר המתקפה שקרתה באפריל. זה התחיל עם דליפה של ארבעה מיליון רשומות עובדים, או עובדים לשעבר, או מועמדים. שבוע לאחר מכן גדל הנתון ל-21 מיליון, "סין הייתה החשודה המיידית. הסיבה היא היכולת לסחיטת עובדים בשל חשיפת פרטים אישיים". הוא הסביר כי השוואת הנתונים שהודלפו מול הנתונים של עובדי שגרירות, עלולה לחשוף את זהות המרגלים מטעם ארצות הברית, העובדים לכאורה באותה שגרירות.

התקיפה, אמר דולב, "החלה במאי 2014, אז ההאקרים נכנסו לרשת משרד OPM. במשך חודשיים לקח להם להגיע למידע, אליו הם הגיעו ביולי. בחודשים יולי-אוגוסט הפורצים משכו את המידע החוצה. במקביל, היו שתי מתקפות על קבלני ממשל-  USIS ו-KeyPoint. הפורצים המשיכו בעבודתם, הגיעו למשרד הפנים, שם היו עוד רשומות. מדצמבר הם החלו לגנוב מידע החוצה, עד אפריל 2015. אז הוזעק ה-CERT הלאומי, וחסם את הרשתות של OPM ומשרד הפנים". לדבריו, התוקפים שהו ברשת הממשל הפדרלי 11 חודשים, "התקיפה החלה אצל הקבלנים, ככה הם הגיעו לרשת הממשל".

על פי דולב, "התוקף חיפש אצל חברות הקבלן העובדות מול הממשל, איך להגיע לפרטי משתמש וסיסמה של מישהו, שיכול לגשת ל-OPM. מרגע קבלת הגישה, הם נכנסו בשלב הבא וחיפשו מנהל דומיין. חיפוש שכזה נעשה על ידי מקליט מקלדת, או פעולה מתמטית על הסיסמה, או חיפוש קבצי קונפיגורציה שבתוכם יש שם משתמש וסיסמה". בדרך זו, הסביר דולב, "התוקף הצליח להשתלט על כל רשת OPM. הוא גם מצא רשומות וגם התקדם הלאה. ההתקדמות נעשתה בשל העובדה שלצורך חיסכון במשאבים, נעשה בחברות הקבלן העובדות מול הממשל שיתוף של שירותים ושרתים".

הטיפול במתקפות שכאלה, אמר דולב, נעשה בכמה שלבים: זיהוי מתקפה ידועה, וידוא שאכן מזהים, הטלאה עדכנית למערכות. לדבריו, "הממשל הבין כי התוקפים חיפשו משתמשים פריבליגיים, ולכן הוא הוציא הנחייה ליצירת מדיניות להגנת אותם משתמשים פריבילגים. בנוסף, יש לאבטח את האותנטיקציה למערכות, במיוחד לאותם משתמשים פריבילגיים. הם היו מפתח ההצלחה של התוקפים".

דולב סיים בציינו כי פעמים רבות, ארגונים משקיעים הון עתק בהגנה על הגדר ההיקפית, ומעט מדי משאבים מושקעים בהגנה על אותם משתמשים פריבילגיים.