כך נינג'ות הסייבר ממזערות נזקי מתקפות

"היכולת הייחודית שלנו לאתר תקיפות במגרש של הלקוחות תביא לכך שעד סוף העשור, נכפיל את מצבת כוח האדם שלנו", אמר שרון נימירובסקי, מייסד ומנכ"ל White Hat.

נימירובסקי שימש סמנכ"ל טכנולוגיות בבית החולים אסף הרופא, עבר לעולם הייעוץ, עבד באבנת אבטחת מידע והקים את החברה הנוכחית שלו לפני שש שנים. White Hat מונה עשרות עובדים, רובם ככולם האקרים, מתמקדת בעולם התוכן של הסייבר ומספקת מודיעין אודות איומי סייבר.

עובדי החברה מחפשים אחר איומים קיימים וחדשים ברשת, מספקים שירותי תקיפה בהרשאה לארגוני ובמקביל עוסקים גם באספקת מודיעין אודות התוקפים. לחברה עשרות לקוחות, רובם בישראל. בסוף 2017 היא פתחה סניפים בקפריסין, יוון ונציגויות בבלגיה ובצרפת, ובימים אלה היא נמצאת בעיצומו של תהליך הקמה של סניף בבריטניה ונציגות בארצות הברית.

כל ארגון חשוף

כבר במחצית הראשונה של 2018, אמר נימירובסקי, "התמודדנו עם יותר מ-30 מתקפות על ארגונים גדולים בישראל. מתקפה לדוגמה יכולה להופיע כמכתבי סחיטה לארגון בנוסח 'יש לנו את הנתונים שלך, אם לא תשלם נפרסם אותם' וההאקרים לא מפרטים היכן הם יפרסמו אבל כן נותנים דוגמה להוכחת היכולת שלהם, להמחשת הרצינות שלהם. האיומים הללו חוצים את כלל מגזרי תעשייה. כל ארגון חשוף".

"האיומים", אמר נימירובסקי, "הם מסוגים שונים: מתקפות גדולות, חלקן סחיטה, חלקן הדלפת נתונים בלא לסחוט כעת, כלומר, גניבת מידע שבעתיד ההאקרים ימכרו או יסחטו, או יעשו עימו כריית מידע; מתקפות מניעת שירות מבוזרות, DDoS; ו'סתם' מתקפות, שאיננו יודעים מה המניע מאחוריהן".

הוא ציין כי "הדרך להתמודדות מושכלת עם האיומים היא בעזרת צוותי תגובה, נינג'ות-סייבר. הם מגיעים לאתר הלקוח, בזמן תגובה של כעשר דקות. אז, נפתח חדר מלחמה. האנשים שלנו מגיעים לשדה קרב מעורפל, למקום בלא עיניים אבל עם אלפי מחשבים, מאות שרתים, עשרות רכיבי הגנה ובתוך כל הערימה הזו לך חפש תוקף. הפעולה הראשונה היא לנסות לקבל דוגמיות מהאירוע: מה ידוע עליו, מאיזו כתובת IP הגיעה המתקפה, מי נפגע, ועוד. אז מתחיל איסוף מודיעין לבניית פאזל האירוע. אנו מבטיחים SLA של שעה אחת בניגוד לאחרים העושים זאת בשלוש שעות. ההנחיה הראשונה ללקוח המותקף היא מה ואיך לחסום, על מנת למגר את התוקפים ולמזער את נזקי האירוע. המשימה היא ללמוד את המתקפה, לאתר דמיון למתקפות קודמות  ואז לגזור לאחור את יכולת האיתור. בה בעת, לצד לימוד האירוע, אנו לומדים את הלקוח הארגוני – מבנה הטכנולוגיה שלו, מהותו העסקית, ומערכות ההגנה שיש לו". אז, הסביר, "אנו פורסים חיישנים המאפשרים לנו לחפש ולהתחיל לצמצם מרחק מהתוקף בצורה יעילה יותר. הם נותנים לנו יכולת לראות איך המערכות מתנהגות".

תוקפים יודעים טוב יותר להסיר מתקפות

"החבר'ה שלי הם תוקפים בבסיסם", אמר נימירובסקי. "ככאלה, הם יודעים איך להסיר את המתקפות". לדבריו, "במסגרת ציד האיומים שאנו עושים, 'על הדרך' אנו מגלים עוד תוקפים חבויים. זה קורה לנו ב-70% מהאירועים, שאנו מגלים תוקפים אחרים, שמערכות הארגון תופסות אותם כמי שמייצרים תעבורה לגיטימית ובפועל הם עוינים".

הוא סיכם באמרו ש-"ארגונים רבים הבינו שעל מנת להיות מוכנים טוב יותר לאירוע אבטחת מידע וכדי לצמצם את זמן התגובה הם צריכים מוכנות לתגובה לאירועים. כמובן שעדיף לעשות זאת בטרם האירוע, ללמוד את הארגון ולפרוס את החיישנים מראש ולערוך בדיקות תקופתיות. לעומת שירותי SEIM-SOC במיקור-חוץ, יתרוננו בכך שהניסיון שלנו הוא התקפי. זאת, בשונה ממבדקי חדירות, שמטרתם ניהול סיכונים. אנו משתלטים על ארגונים שהם לקוחות שלנו, עושים זאת כמה פעמים בשבוע, עוקפים את כל מערכות ההגנה שלהם מבלי להתגלות – ואז סוגרים את החור הזה. ידע זה מאפשר לנו לאתר תקיפות דומות. כך אנו נתונים מענה מקיף לכל עולם ה-APT, מתקפות עקביות, מתוחכמות ומתמשכות".