"עלייה משמעותית בכמות ובאיכות של מתקפות DDoS על אתרים ישראליים"

"בשבועות האחרונים חלה עלייה משמעותית בכמות ובאיכות של מתקפות מניעת שירות מבוזרות (DDoS) על אתרים ישראליים", כך אמר יובל סיני, ראש מחלקת הגנה אקטיבית במערך הסייבר הלאומי, לאנשים ומחשבים.

לדברי סיני, "מתקפות מניעת שירות מבוזרות מכוונות להשבתה של מערכות מחשב, על ידי יצירת עומס חריג על קווי התקשורת והשרתים, והן דומות ליצירה של עומס תנועה מלאכותי בכביש, מעבר לקיבולת שלו. לעתים קרובות, המטרה היא להביך, ליצור הד ציבורי לתקיפה או לגרום לפגיעה תפעולית – במקרה של אתרי אי-קומרס. במקרה של ענן ציבורי ייתכנו מתקפות שהמטרה שלהן היא לגרור את הארגון להוצאות כספיות חריגות".

סיני ציין כי "לפני כחודש ראינו איך מתקפת מניעת שירות מבוזרת כוונה להפיל את אתרי הממשלה. מאז האירוע חזינו בגל של ניסיונות למתקפות מניעת שירות על אתרים נוספים. בין המתקפות שפורסמו ניתן למנות את זו שממנה סבל אתר רשות שדות התעופה, שהושבת למשך כחצי שעה, ולפני כשבוע נמנעה הגישה לאתרים של אגד, רב-פס והופ-און – גם הפעם לזמן קצר".

הוא אמר כי "לאור זאת, חלק מהצעדים שננקטו על ידי מערך הסייבר הלאומי ומשרד התקשורת באחרונה הם השתת רגולציית הגנת סייבר על ספקי התקשורת, שאמורה להיות חלק מבלימת מתקפות מסוג זה, כחלק משכבת הגנה נוספת – אך לא בלעדית".

לדברי סיני, "לתוקפים קל לממש מתקפה מסוג זה, כי היא משלבת בין כלים פשוטים, לא דורשת מודיעין מקדים ומביאה תוצאה מיידית – ובחתימה גבוהה. במתקפות מסוג זה, התוקף לא יושב על שרתי החברה ואין לו גישה למידע, כך שהוא לא יכול להדליף מידע. באותה הנשימה, גם למגן קל יחסית למנוע מתקפה שכזו או להתאושש ממנה, תלוי בנפח שלה".

המלצות לצמצום הפגיעה

סיני מנה כמה צעדים שניתן לנקוט כדי לצמצם את ההשפעות של מתקפות DDoS. "הצעד הראשון הוא ניהול סיכונים: יש לבחון את המשמעויות של תקיפת DDoS על נכסי הארגון, תוך התייחסות להשפעה האפשרית על ההמשכיות העסקית. לא לשכוח לקחת בחשבון נכסים המנוהלים על ידי צד שלישי, דוגמת ספק אחסון אתרים, ספק האינטרנט או ספק שירותי הענן הציבוריים. הצעד השני הוא שימוש בשירות אנטי DDoS. שירותים אלה מסננים באופן קבוע תעבורה לא רצויה, כך שהתקיפה תיעצר עוד לפני שהיא תגיע למבואות ספק האינטרנט ולתשתיות הארגון".

"יש להשתמש ב-IPS, לשם הגנה על נכסים חשופים לאינטרנט. צריך להשתמש ב-IPS ייעודי, בעל יכולת מוכחת בהתמודדות עם תקיפות DDoS. עוד צריך לפעול להגבלת תעבורה (Rate Limit): יש לוודא ניטור, חסימה והגבלת תעבורה לפי מדדים מקובלים, דוגמת היקף צריכת משאבים מכתובת IP ספציפית בחלון זמן מוגדר, או כמה בקשות שניתן להגיש לשרת מאותו מקור", אמר.

DDoS – אחד מסוגי המתקפות שההיקף שלהן על אתרים ישראליים הולך וגדל. צילום: BigStock

על פי הבכיר במערך הסייבר, "צריך לוודא ניהול עומסים אפקטיבי. מומלץ להשתמש במערכת לניהול וביזור עומסים באפליקציות, ADC. עוד יש לוודא שניהול המשאבים מבוצע בערוץ נפרד. כדי לצמצם את השפעת המתקפה על כלל הערוצים השונים, מומלץ לוודא שיש הפרדה פיזית ו/או לוגית בין ערוצי השירותים. כמו כן, מומלץ לעשות שימוש בשירותי ענן ציבוריים, דוגמת CDN – לטובת צמצום ההשפעות האפשריות של מתקפות שכאלה".

המלצות נוספות שציין סיני הן: "צריך לבצע ניהול משאבים דינמי. בעת תקיפת DDoS יש לבחון הגדלה, באופן דינמי, של משאבים, דוגמת רוחב הפס לאינטרנט או מספר השרתים המספקים שירות ללקוחות. במקרה הצורך, ניתן לבחון מעבר לעבודה בסביבת ענן ציבורי, שמגדילה את הגמישות הניהולית והתפעולית. כמו כן, יש לטפל במתודת שרשרת האספקה: מומלץ לוודא שברשות ספקים, דוגמת ספק אירוח אתרים, יש הסמכה תקפה למתודת שרשרת האספקה מטעם מערך הסייבר הלאומי, ואף עמידה בתו החוסן של המערך. צריך לבצע תרגולים עיתיים (מזמן לזמן – י"ה) להתמודדות עם תרחישים מקובלים. זאת, לשם בחינת רמת הכשירות והמוכנות של הארגון למתן מענה אפקטיבי למתקפה. צריך לשלב את הנהלת הארגון בתרגילים, עם פלייבוק עדכני ברמת התהליכים העסקיים לנושא הקשחת נתבי תקשורת הנתונים, שייעשה בהתאם להמלצות היצרן".