בכיר פדרלי מודה: "הממשל אינו ערוך להגנה מפני איומים מתקדמים"

הגנות הסייבר הפדרליות "אינן עומדות בקנה אחד" עם תוקפים בעלי יכולות תקיפה מתקדמות, ולכן אינן מסוגלות לאתר אותן, כך הודה בכיר בממשל הפדרלי.

ביום ה' האחרון נערך דיון בוועדה לביטחון המולדת ולעניינים ממשלתיים בסנאט, כחלק מהדיונים על הלקחים שניתן להפיק מהפריצה בסייבר הרוסית, רחבת ההיקף, למאות אלפי ארגונים, ובהם חברות היי-טק רבות ועשרות ארגונים פדרליים. כזכור, הפריצות התבססו על השתלת נוזקה בעדכון התוכנה של אוריון, תוכנת ניהול וניטור הרשת של סולאר-ווינדס (SolarWinds). הוועדה דנה באופן בו CISA, הסוכנות האמריקנית להגנת תשתיות וסייבר, מגינה על סוכנויות פדרליות מפני איומי סייבר.

מתקפת הסייבר בארצות הברית. אילוסטרציה: BigStock

"יכול לאבטח רק את מה שאתה יכול לראות"

"חלק מהאתגר הוא שאתה יכול לאבטח רק את מה שאתה יכול לראות", אמר ברנדון וויילס, ממלא מקום מנהל CISA, לגארי פיטרס, יושב ראש הוועדה. "במהלך העשור האחרון מערכת ההגנה שלנו הסתמכה במידה רבה על חיישנים ברשתות ההיקפיות. אלו נועדו להיות מוזנות על ידי מודיעין, על ידי מידע המגיע מהמגזר הפרטי. המטרה היא לגלות פעילות זדונית ידועה – והיריבים שלנו התקדמו (מעבר לכך)". לדברי וויילס, ההאקרים כבר לא משתמשים באותה תשתית תקיפות בה עשו שימוש בעבר, וכי "הם מדלגים, משרת לשרת – בתוך ארה"ב, כדי להימנע מגילוי ומתפיסה".

בעקבות חשיפתה של פריצת הענק, הקונגרס הוביל באחרונה מהלך לתקצוב של הסוכנות בסך 650 מיליון דולרים, כחלק ממה שמכונה "תכנית הצלה אמריקנית". אחד התחומים העיקריים שבכוונת הסוכנות להתמקד בהם, על בסיס המימון החדש, אמר ויילס, הוא "להתבונן ברשתות. פירוש הדבר הוא לבחון מה קורה במכשירים, רכיבים ובשרתים ספציפיים – כדי להבטיח שיש לנו את רמת התובנה הנכונה. זה צריך להיות מאוזן בצורה נכונה עם הניטור והגילוי ההיקפיים".

לסוכנות ישנן שתי תכניות בתחום – האחת, תכנית לגילוי חדירות ופריצות בשם 'איינשטיין', והשניה תכנית לחיזוק ההגנה, על ידי אבחון ומניעת איומים באופן רציף, CDM. הקונגרס הקצה בעבר לשתי התכניות מיליארדי דולרים. אלא שהתכנית הראשונה נועדה לפקח על התעבורה הרשתית, תוך התמקדות באיומים ידועים. מנגד, הכלים שמופעלים מסגרת תכנית CDM זקוקים לשדרוג, על מנת להשיג תובנות רבות ומעמיקות יותר ברמה הרשתית, זאת לדברי וויילס. מומחים הסבירו כי כך נוצר מצב בו אין לסוכנות כלי שנועד להפסיק מתקפות סייבר ממוקדות, הנסמכות על פגיעויות תוכנה שלא היו ידועות בעבר, או מתקפות ריגול בסייבר הנסמכות על הפצת נוזקות סמויות בתוך תוכנות, כפי, שלדברי החוקרים, קרה בפריצה לסולאר-ווינדס.

הגנה בממד ההיקפי

הסנאטור רוב פורטמן שאל את מ"מ ראש CISA מדוע חברת פייראיי (FireEye) – חברת אבטחת מידע מהמגזר הפרטי – היא שהייתה הראשונה לזהות את הפריצה, וזאת לפני הממשלה הפדרלית. "תכנית איינשטיין ממשיכה לעשות את ההגנות שהיא תוכננה ויועדה לעשות", השיב וויילס, "היא יכולה להגן רק מפני הדברים שהיא נועדה להגן עליהם, וזו הגנה בממד ההיקפי. יתר על כן, לא הייתה לנו כל מערכת לגילוי פריצות במקום כלשהו, שזיהתה את האיום הזה. עלינו להשלים את היכולות של איינשטיין להגנה ברמה ההיקפית, עם עוד יכולות ברמה של הסתכלות על מה שקורה ברשתות".

בתשובה לשאלת הסנאטורית מגי האסן, אמר וויילס כי "תכנית CDM היא דרך נוספת לשיפור. מאז תחילת התכנית, סוכנויות בודדות הצליחו לראות את המכשירים הנפרדים ברשתות שלהם, אך CISA לא הצליחה. אנו רואים כעת את המגבלה על יכולתנו להבין בצורה כוללת את תמונת סיכוני הסייבר של הממשל באופן פרטני. אני מקווה כי הנחיות ממשל ביידן ישנו את הדינמיקה הזו. המימון האחרון של הקונגרס יכול לשמש לרכישת כלי איתור ותגובה לטובת הגנה על נקודות הקצה בצורה מוצלחת יותר, עם היכולת להבין מה קורה בשרתים ובתחנות עבודה קריטיות. זה ייתן לנו את היכולת לאתר יותר יכולות זדוניות, להגיב מהר יותר ולעבוד עם סוכנויות פדרליות, כדי לחסום התנהגות חריגה – לפני שהיא עוברת באופן נרחב לרשת".