י"ט אדר ב' התשפ"ד
29.03.2024

הפורצים שיחדרו לכם למחשב ותודו להם על כך

איך תדעו אם אתם חסינים מפני מתקפת סייבר? תמורת כמה עשרות אלפי שקלים, שורה של חברות ישמחו לפרוץ לכם לרשת • שיעורי ההצלחה קרובים ל-100%

הפורצים שיחדרו לכם למחשב ותודו להם על כך



לפני כחצי שנה פורסם ברשת סרטון ארוך, המתעד פריצה לחברת אנרגיה בארה"ב. בסרטון נראים הפורצים מגיעים למקום באישון לילה, ומצליחים לטפס מעל הגדר ולחדור לארגון. הם משכפלים כרטיסי כניסה לדלתות, לוקחים מכשירי אייפד ומתחברים למערכות המחשוב הארגוניות, בלי שאיש מבחין בהם. החלק הכי מעניין: הכל חוקי. אלה היו פורצים ברישיון, שנשכרו למשימה כחלק מסקר אבטחת מידע שאותו יזם מוסד בנקאי (המוסד נשאר אנונימי למרות התיעוד).



אין מדובר במקרה בודד. בעולם אבטחת הסייבר יש תעשייה שלמה סביב העניין הזה: פורצים מקצועיים ברישיון שבודקים את רמת אבטחת המידע של הארגון. הם נוקטים פעולות של "האקינג", פריצה מרחוק לרשת המחשוב; הם בודקים את רמת המודעות והערנות של העובדים לאבטחת מידע; ובמקרים מסוימים - גם בודקים את האבטחה הפיזית של החברה, למשל אם ניתן להיכנס למשרדיה דרך החלון, או לשטות בשומר שבשער.

המונח המקצועי לתעשייה הזאת הוא PT (penetration testing או בקיצור pen testing), ובעברית היא מכונה בכינויים שונים כמו "סקר בטיחות", "מסדקי חדירה" או "ניסיונות חדירה מבוקרים". בענף פועלות חברות ייעוץ רבות, המעסיקות האקרים התקפיים ומבצעות תקיפות יזומות ללקוחות שמשלמים על כך לא מעט כסף.

"הלקוחות הם מתחומים שונים: רכב, היי-טק, השקעות, בנקאות וביטוח", אומר בועז שונמי, מייסד ומנכ"ל משותף בחברה הישראלית קומודו קונסלטינג, העוסקת בייעוץ סייבר ובבדיקות חדירות. קומודו היא אחת משורה ארוכה של חברות בתחום ה-PT, שהמוכרות והגדולות בהן הן באגסק, קומסק, אבנת, Secoz, מדסק ומגלן, לצד שחקניות נוספות כמו Citadel ו-WhiteHat. בשנה־שנתיים האחרונות, הידע והמקצועיות שיש לחברות ישראליות בתחום ה-PT, הביאו להן גם לא מעט עסקים בחו"ל.

לא רק בגלל החובה הרגולטורית

הרגולציה הישראלית מחייבת ביצוע בדיקות חדירות בענפים מסוימים. אחת מההנחיות של המפקח על הבנקים קובעת, למשל, כי יש חובה לבצע "סקר בטיחות וניסיונות חדירה מבוקרים אחת ל-18 חודשים". עוד נכתב בהנחיה: "מנהל אבטחת מידע ייזום ניסיונות חדירה מבוקרים למערך טכנולוגיות המידע של התאגיד הבנקאי לבחינת עמידותו בפני סיכונים פנימיים וחיצוניים. סקרי הבטיחות ייערכו על ידי גורמים מקצועיים, עצמאיים, בלתי־תלויים, חיצוניים לתאגיד הבנקאי, תוך מניעת ניגודי עניינים ונקיטת אמצעי הזהירות המחייבים".

חברות הביטוח והגופים המוסדיים כפופים לסעיף דומה. בהוראה של המפקחת על הביטוח נכתב כי שי לבדוק גם את אתר השירות העצמי של חברת הביטוח וגם את האפליקציה הסלולרית, וכן לבדוק ניסיון פריצה מבחוץ וגניבת מידע מבפנים מצד עובד או בכיר.

"הרבה ארגונים שרוצים להעלות פרויקט של אתר שירות עצמי ללקוחות, פונים אלינו", אומר שונמי. עם הרצון להנגיש מידע ללקוחות, עולה גם רמת הפגיעות של החברות.

חברות האשראי נדרשות אף הן לבדיקות חדירות אחת לשנה, לפי התקן, וכך גם מוסדות רפואיים מכוח תקן שאימץ משרד הבריאות.

אבל גם ללא החובה הרגולטורית, רוב החברות הגדולות בשוק מבצעות סקרי אבטחה ברמות כאלה או אחרות - פשוט מפני שהן מגלות ומבינות בהדרגה את החשיבות של תחום אבטחת המידע.

"הנושא של PT מתחיל מהרגולטורים השונים - רשות ניירות ערך, המפקח על הבנקים ומשרד הבריאות - ולכן עד היום הוא היה נחלת הארגונים הגדולים. אבל כיום גם ארגונים קטנים ובינוניים הבינו שזה קריטי, שסייבר הוא סיכון שיכול למוטט חברה", מסביר נועם הנדרוקר, מנהל הפעילות ב–Secoz, חברת אבטחת מידע שנרכשה באחרונה בידי BDO (ראו תיבה).

"בנוסף, חברות שרוצות למכור בחו"ל, בעיקר בארה"ב, שומעות יותר ויותר את המשפט, 'אני מוכן לקנות את המוצר שלכם, אבל תוכיח לי שאתה עומד בתקן ISO 27000', שהוא תקן שמטפל בנושא אבטחת מידע. האיום נהפך נחלת הכלל. לכל ארגון יש הסיכונים שלו, ולכל מתקפה יש את המניע שלה - פוליטי, חברתי, פיננסי או אפילו בשביל מוניטין. כיום האקרים שרוצים להיכנס לפורומים מסוימים צריכים להוכיח הצלחות", מוסיף הנדרוקר.

כמו קופסה שחורה

מה צריך לעשות ארגון שרוצה לבדוק את רמת אבטחת המידע שלו ולהזמין האקרים ברישיון לפרוץ למערכות? רונן כרמונה, מנכ"ל חברת באגסק, שהיא מהגדולות והוותיקות בישראל בתחומה, מסביר: "PT הוא מונח רחב. בדרך כלל הלקוחות מתקשרים בגלל מחויבות רגולטורית, ואנחנו בונים אתם תיחום מסודר של בדיקות לפלטפורמות שונות. הלקוחות שלנו הם בנקים, משרדי ממשלה וחברות תשתיות קריטיות.

"אנחנו מדמים תוקף מתקדם מרוחק, ואם צריך אנחנו אפילו כותבים סוסים טרואניים תפורים ללקוח שמסמלים כיצד התוקף היה מתקדם, אם הוא היה חודר לרשת הארגונית. זה יכול לקחת דקות או ימים, אבל שיעור ההצלחה שלנו הוא 100%. בהרבה מקרים אנחנו מגיעים לשליטה מלאה ברשת".

בדרך כלל צוות התקיפה נדרש לעבור בדיקת פוליגרף, מכיוון שהוא נוגע במערכות הכי רגישות של ארגונים. בקומודו מספרים, למשל, כי בעבודה שביצעו בחו"ל, הם הצליחו להגיע למערכת ה-SWIFT (מערכת הטרנזקציות הכספיות) של בנק באפריקה. בנוסף, נדרשים התוקפים לחתום על הסכם סודיות, וכן על מסמך הסרת אחריות (דיסקליימר), שבעצם נותן לחברה את הזכות החוקית לפרוץ למערכות - מה שאסור לחלוטין לפי חוק המחשבים.

חברות הייעוץ אינן ששות לדבר על כסף ועל התעריפים שהן גובות, מה גם שכל פריצה שונה בהתאם לרמת המורכבות של המערכת. עם זאת, מקור באחת החברות בתחום הסכים לומר שמחיר ממוצע של בדיקה כללית הוא כ-50 אלף שקל.

לדברי הנדרוקר יש שני סוגי בדיקות שמבצעים בתחום: "אחד מכונה White Box, ובו בדרך כלל נבדקת אפליקציה ספציפית של הארגון - למשל מערכת שירות הלקוחות. התוקף מקבל שם משתמש וסיסמה, כאילו היה עובד או בכיר בחברה. מטרת הבדיקה היא לראות אם תוקף מבפנים יכול להגיע למידע שהוא לא אמור להיחשף אליו, או לפעול מעבר להרשאות שלו. זו סוג עבודה, נקודתי יותר, ובדרך כלל יתומחר ב-20-10 אלף שקל.

"הסוג השני מכונה Black Box - אתה מגיע לארגון מבחוץ, בלי שום מידע מקדים, כמו האקר מאוקראינה לצורך העניין, שרוצה לפרוץ. במתקפה כזאת מכינים תיק, כמו שתוקף רציני היה עושה: אנחנו לומדים דרך לינקדאין, למשל, מי האנשים הרלוונטים בארגון ואיך הוא נראה; אנחנו מגלים אילו מערכות IT יש לארגון, בין השאר מהודעות לעיתונות, איזו מערכת מייל יש לארגון, איזו מערכת ניהול קשרי לקוחות וכדומה.

"אחרי שבנינו פרופיל לקוח, אנחנו מחפשים חולשות טכנלוגיות, תהליכיות או אנושיות. כשאני אומר חולשות אנושיות, אני מתכוון לכל עולם ההנדסה החברתית (social engineering). זה מדע שנולד מהעולמות הביטחוניים: איך אני גורם לך לעשות את מה שאני רוצה בלי שתדע. לדוגמה, באחת העבודות שביצענו הצמדנו פלייארים לשמשות של מכוניות העובדים בחניון עם הודעה על מתנות לחג ממחלקת משאבי אנוש, עם לינק לקבלת המתנה. מי שנכנס ללינק נדבק. זה יכול להגיע לזה שכדי לעשות פישינג שנראה אותנטי, אנחנו מקימים חברה וירטואלית, נגיד חברה לייעוץ עסקי, רוכשים דומיין, מעלים אתר לאוויר ואף ממנים מנכ"ל וסמנכ"לים.

"מותר לנו לעשות הכל, כמובן בכפוף לזה שקיבלנו את כל האישורים הנדרשים, ואנחנו תמיד נמצאים בצד החוקי. בסופו של דבר, אנחנו האקרים עם כובע לבן, אף שלא פעם קיבלנו הצעות עם הרבה מאוד כסף לעשות נזק לחברה כזאת או אחרת".

לטענת הנדרוקר, "אין דבר כזה רשת סגורה ומבודדת. אנחנו יודעים את זה מההיסטוריה של Stuxnet (תולעת המחשב שהשביתה כור גרעיני באיראן ומיוחסת לארה"ב ולישראל; א"ז). התולעת הוחדרה לכור דרך בקרים של סימנס. בנקים משקיעים מאות מיליונים באבטחת מידע, אבל את הצ'קים והמשכורות מדפיסים בחוץ. כל מקום שיש בו מחשב הוא נקודת פריצה.

"יש עוד התקנים ברשת: מצלמות אבטחה שניתן לנסות להגיע אליהן, מערכות בקרה וכניסה - אלה בדרך כלל מערכות שלא באחריות מנהל אבטחת המידע, אלא באחריות הקב"ט. המערכות האלה הן 'לא בעיה של אף אחד', אבל ניתן להתקדם מתוך מערכות לא קריטיות במעלה ההרשאות. ברשת של בתי קזינו פרצנו את מערכת הכניסה, ונתנו הרשאה מאוד גבוהה לכרטיס אורח", מסביר הנדרוקר.

שונמי חושף עוד קצת מאחורי הקלעים של הפריצה ברישיון: "קוראים לזה משטח תקיפה. אנחנו ממפים את הפרישה הגיאוגרפית של הארגון, את האנשים ואת הטכנולוגיות. במפעל במקסיקו למשל, ניסינו לשים נקודות WiFi ליד הגדר ולראות מי יתחבר. הלקוח לא אישר את הפעולה הזאת. הוא אמר שאם נגיע לגדר בלילה, יירו בנו".

"המונח PT הוא כבר קצת פאסה", אומר שרון נימירובסקי, מנכ"ל WhiteHat. "הרעיון ב-PT הוא שאני אסרוק ואציף לך כל מיני חולשות אפליקטיביות או טכנולוגיות. כיום יותר נכון לדבר במונח של APT (התקפה מתקדמת עיקשת - advanced persistent threat), שמדמה מצב אמת. מהעיניים שלנו זה מבצע צבאי לכל דבר ועניין. אנחנו מתחילים לסרוק את הארגון ולגלות מה פתוח, אנחנו בונים פרופילים על הבכירים עד רמת תחומי העניין, עורכים תצפיות ובוחנים את סידורי האבטחה. כך אפשר למשל לבנות דפי נחיתה באינטרנט באותם תחומי עניין של הבכירים, ולשכנע אותם להיכנס, או שנברר מי ספק הקפה של החברה ונשלח מייל פישיינג: 'לרגל החג קפה חינם! לחץ כאן'".

יש מגוון אינסופי כמעט של אפשרויות תקיפה. באחת החברות מתגאים בסרבל של עובד מי עדן שמשמש את החברה, ויש דוגמאות לחברות שעובדיהן מתחפשים לטכנאים מטעם חברת התקשורת. מהרגע שההאקרים נמצאים בתוך הארגון, מספיק להחדיר דיסק און קי נסתר לאחד המחשבים ומשם להיכנס לרשת הארגונית.

מה קורה אחרי שה-PT מסתיים? נימירובסקי אומר כי ללוקח מוגש דו"ח, "הכולל המלצות כיצד לשפר את מנגנוני האבטחה, אבל בעיקר את התהליכים הארגוניים. אחרי ארבעה חודשים עושים בדיקה נוספת".

כשהרובוט תוקף

כמו הרבה מקצועות בעולם, יש הסוברים שאת עולם ה-PT המסורתי יחליפו מערכות אוטומטיות. אייל וקסמן הוא אחד מאלה שאחרי 17 שנה בעולם אבטחת המידע, ואחרי שהחזיק בתפקיד בכיר בחברת אבטחת המידע אבנת, החליט להקים סטארטאפ בשם Cymulate, המבצע אוטומציה למבחני החדירה.

"החברה מבצעת התקפות סייבר על רשתות ומערכות עיקריות בארגון, כמו המייל, אתר האינטרנט, מערכת ההתאוששות מאסון ועוד, והופכת את ה-PT למשהו אוטומטי שניתן לעשות בכל רגע נתון", הוא מסביר. "זה חוסך את הצורך של חברה לפנות לחברת ייעוץ עם כל הכרוך בכך. בחברת ייעוץ קונים שעות, למשל 100 שעות ייעוץ, אבל אם צריך יותר? ובכל מקרה הדו"ח הוא נכון לנקודת זמן ספציפית.

"כשהייתי מנהל אבטחת מידע, גם אחרי השקעה של מיליונים, לא יכולתי לתת למנהלים שלי את התשובה על השאלה כמה אנחנו באמת מאובטחים. בקרוב יהיו מכוניות שנוסעות לבד, ועולם ה-PT לא השתנה 20 שנה. המטרה שלנו לשנות את התפישה בשוק, כך שהלקוח יוכל לבדוק את עצמו תמיד ולקבל תמונה מיידית של מצבו. הארגון צריך לבדוק את עצמו בכל רגע. האיומים העכשוויים משתנים במהירות, ומבדקי חדירה צריכים להתבצע בזמינות גבוהה ובשליטת הארגון, ממש כשם שמנהל אבטחת המידע או מנהל הטכנולוגיות מתחזק עדכוני תוכנה ופעילות של מוצרי אנטי וירוס. כיום יש לבדיקות חדירה המוצעות בשוק זמן מוגבל, שמקצה חברת הייעוץ לטובת הבדיקה, ולרוב מדובר בהליך חד־פעמי. Cymualte מאפשרת שליטה מלאה בעיתוי, בהיקף ובתדירות בדיקות החדירה", אומר וקסמן.

הוא מרחיב על יכולות המוצר שהוא מפתח: "הכנו שישה סוגי התקפות נפוצות, ובהן סוס טרויאני ווירוס כופר. אנחנו שולחים את הנוזקה (המעוקרת) באי־מייל, כי 80% מהמתקפות בעולם מתחילות מהמייל, ובודקים את מערך ההגנה: אם המערכות הקיימות עצרו את המתקפה או לא. בדרך כלל אנחנו מוצאים שמוצרי האבטחה לא מוגדרים כמו שצריך או שבמסגרת עבודת תחזוקה פתחו את ה-port (מעין 'שער' המשמש לתקושרת נתונים; א"ז). ושכחו לסגור - האפשרות השנייה היא השכיחה ביותר. הלקוחות שלנו מקבלים שם משתמש וסיסמה, ויכולים להריץ בדיקות שנמשכות בין עשר דקות לשעה, ונותנות תמונת מצב מלאה על מצב החוסן הארגוני, עם דו"ח טכני ודו"ח מנהלים. אם מתגלה וירוס כופר חדש, אז אנחנו מוסיפים אותו למערכת".

אתם מוכרים על ידי הרגולציה כבדיקת PT?

"לא כרגע, ולכן אנחנו בתהליכים מול בנק ישראל והמפקח על הביטוח. לאחרונה אחת מחברות הביטוח הריצה את Cymualte, ואף שיש לה מערכות הגנה מתקדמות הצלחנו לחדור. למנהל האבטחה לקח שעה לתקן את החור - אז מובן שהוא הזמין מאתנו את המוצר".

כמה זה עולה?

"מודל אחד שלנו כולל רישיון ללא הגבלה במספר הבדיקות, ומחירו 30 אלף דולר לשנה. מכיוון שלא כל חברה יכולה לשלם את זה, יש לנו מודל מותאם לעסקים קטנים ובינוניים במחיר של 1,000 דולר לבדיקה חד־פעמית".

באחרונה קיבלה Cymualte השקעה של מאות אלפי דולרים מאייל גרונר, המייסד של באג־סק - שמאז הקים עוד שתי חברות סטארט־אפ, שאחת מהן אף נמכרה באקזיט מרשים. מתחרה נוספת בזירת האוטומציה של ה–PT היא קרונוס (Cronus). מנכ"ל קרונוס, דורון סיון, הוא המייסד והבעלים של מדסק, חברה שעדיין מוכרת ייעוץ ו–PT.

האם הפתרונות האוטומטיים יהרגו את ה–PT המסורתי?

סיון מפתיע: "בסופו של דבר כן. חברות הייעוץ עושות עוד דברים כמו הדרכות, ליווי וכדומה אבל התחום הספציפי של PT ייכחד בהדרגה. כיום עושים PT בעיקר כדי לעמוד בכללי הרגולציה, זה נקודתי מאוד ומדגמי, אבל הצורך הוא בבדיקות 24/7, וזה מה שאנחנו מאפשרים".

מה קרונוס עושה?

"המוצר של קרונוס מכונה CyBot, והוא מסוגל לאסוף את רצף הפגיעויות, וכך הוא באמת מחקה את הפעולה של האקר. יש לו בינה, והוא לא מחפש פגיעות נקודתית, אלא איך להגיע דרך פגיעה למשאב קריטי בארגון. מה שלהאקר לוקח שעה, ל- CyBot לוקח שנייה - אז ארגון גדול יכול לבדוק בשלוש שעות מיליון תרחישים".

החברה גייסה עד כה 7 מיליון דולר בשני סבבים, ועם לקוחותיה נמנים הבנק הבינלאומי, אוניברסיטת חיפה ובית חולים נהריה.

מנהלי חברות הייעוץ סקפטיים: "אין תחליף לחשיבה ההתקפית של בן אדם", אומר כרמונה. "כשאנחנו מדברים על מכונות, נקבל תוצאות מסוימות - אבל לא את החשיבה של התוקף וההיגיון העסקי שלו". הנדרוקר מוסיף: "הפתרונות האוטומטיים הם לשלב הסריקה. יש כלים אוטומטיים כאלה, ואפשר לעלות על 70% מהבעיות ברשת, ולפעמים זה מספיק - אבל יש חלק שנמצא רק בראש של אנשי התקיפה ומושג בעבודה ידנית של צוות מיומן".

מה לרואי חשבון ולסייבר?

בתחילת 2011 רכשה השלוחה הישראלית של חברת רואי החשבון ארנסט אנד יאנג את פעילות חברת ייעוץ הסייבר הקטיקס (Hacktics) מהרצליה. הפעילות נרכשה בסכום לא ידוע, אבל היא סימנה את תחילתה של מגמה - פירמות רואי החשבון התחילו להתעניין באבטחת מידע.

במאי רכשה פירמת רואי החשבון BDO זיו האפט את חברת ייעוץ הסייבר Secoz בכ–10 מיליון שקל. פירמות אחרות, כמו השלוחה של דלויט ופאהן קנה בישראל, הקימו פעילות מתמחה לתחום הסייבר, וחלק מהפירמות יצרו שותפיות עם חברות ייעוץ אחרות. כיום אין פירמת רואי חשבון שמחוץ למשחק.

מה לחברות רואי חשבון ולסייבר? מה למעונבים מהאקסלים עם האקרים? רואי החשבון רואים בתחום אבטחת המידע הזדמנות לספק סוג נוסף של ייעוץ עסקי בתחום מתפתח, אבל גם יותר מכך: "אזור הסייבר מעניין מאוד את פירמות רואי החשבון, כי רואי חשבון עוסקים גם בעולם של ניהול סיכונים, הונאות, מעילות וכדומה", מסביר נועם הנדרוקר, מנהל הפעילות ב–Secoz ישראל, שנרכשה על ידי BDO.

"רואי חשבון מתעסקים באמיתות נתונים ופורנזיקה פיננסית - כל זה מתיישב טוב עם עולם הסייבר. בנוסף, יש יותר ויותר היבטים מחייבים בממשל התאגידי שנוגעים לסייבר, כל מיני רגולציות למשל תקן באזל 2, העוסק בניהול סיכונים, בין היתר בעולם אבטחת המידע (וריאיציה שלו אומצה על ידי בנק ישראל; א"ז). בנוסף, הפירמות ניגשות למכרזים כדי להיות מבקרות הפנים של חברות, והיבט בעבודה הזאת הוא מערכות אבטחת המידע, אז הן זקוקות לידע הזה", מוסיף הנדרוקר.

לא רק חברות רואי חשבון מתעניינות במומחיות בתחום הסייבר. ביוני נרכשה חברת ייעוץ הסייבר מגלן על ידי חברת הייעוץ הבינלאומי אקסנצ'ר, גם הפעם בסכום לא ידוע. על בסיס הרכישה הקימה החברה בישראל מרכז מחקר ופיתוח לתחום אבטחת המידע. חברת הייעוץ 2BSecure נרכשה על ידי חברת המחשוב מטריקס ב–2012 תמורת 20 מיליון שקל, כך שאפשר לומר שחברות מתמחות בייעוץ סייבר הן סחורה חמה.

קישורים:
'טראמפליישן': המונח החדש שמטלטל את שוק האג
טראמפ מפוצץ את הבועה? האג''ח הממשלתיות נופלות
אכזבה באוצר: פחות 10% דירות מושלמות ב-2016
מתקפת סייבר פריצה אבטחת מידע אבטחת הסייבר

art

'בחדרי' גם ברשתות החברתיות - הצטרפו!

הוספת תגובה

לכתבה זו טרם התפרסמו תגובות

תגובות

הוסיפו תגובה
{{ comment.number }}.
{{ comment.message }}
{{ comment.date_parsed }}
הגב לתגובה זו
{{ reply.date_parsed }}
טען עוד