עומרי זכאי | מומחה אבטחת מידע | מייסד Online Security

כבכל שנה מאז 2013, גם השנה יתרחש אירוע OPIsrael ע"י קבוצות האקרים פרו פלסטיניים כנגד ארגונים ואתרי אינטרנט ישראליים.
מדובר במתקפות סייבר משולבות שכוללות בדרך כלל: התקפות מניעת שירות (DDoS), השחתה והשתלת קוד עוין באתרים, הדלפת פרטים מתוך מסד הנתונים, פישינג ופריצה לחשבונות ברשתות החברתיות.
זירות ההתארגנות של קבוצות התקיפה הן לרוב על גבי טלגרם, IRC, פורומים וקבוצות פייסבוק.

השנה ניתן לשים לב ל – 2 נקודות מעניינות:

  • בתחילת חודש מרץ הותקפו מעל 100 אתרים ישראליים ודפים שלהם הושחתו עם הכיתוב
    “Jerusalem Is The Capital Of Palestine”. קבוצת התקיפה מכנה את עצמה בשם OpJerusalem.
    נראה שמדובר בקמפיין הכנה לקראת אירוע OpIsrael.
  • נראה שלעומת שנים קודמות, השנה יש באז גדול יותר סביב המתקפה בעיקר בגלל הבחירות בישראל שנקבעו ל- 9 באפריל.
    ניתן לראות במקורות רבים באינטרנט שקבוצות האקרים מתארגנות ברצינות רבה ואוספות הרבה מידע מודיעיני מקדים לפני ההתקפה. הרבה יותר מבשנים עברו.

אירוע שיצרה אחת הקבוצות ברשת החברתית:

בינת תקשורת גיבוי בענן

לרוב מייחסים למתקפות OpIsrael כמתקפות "רעש" כנגד ארגונים ואתרים ישראליים, אשר מתעסקות יותר בהפחדה מאשר איומים טקטיים ומתוחכמים. השנה, נראה שהאיומים יהיו ממוקדים יותר, בעיקר בשל העובדה שכבר בתחילת חודש מרץ היינו עדים להתקפה יחסית מתוחכמת כחלק מקמפיין OpJerusalem כנגד התוסף Nagich המותקן במאות אתרים פופולאריים בישראל. במתקפה זו, האקרים הצליחו להשתיל קוד זדוני באחד הדומיינים שברשות Nagich, הקוד הזדוני הזה כלל בין היתר הורדת תוכנת כופר למחשב של כל גולש שנחשף לדף הנגוע. רק בעקבות טעות מביכה של התוקפים נמנעה כאן מתקפת כופר גדולה שכוונה לישראליים.

מהם המטרות העיקריות של התוקפים?

קבוצות התקיפה מכוונות בעיקר כנגד אתרים וארגונים בעלי עניין.
לרוב מדובר באתרי הממשלה gov.il ובאתרים ישראליים בעלי טראפיק וחשיבות גבוהה אך ניתן למצוא ברשימות גם אתרים פחות מוכרים.
במספר מקורות ברשת ניתן לצפות ברשימת מטרות ואיסוף מידע של קבוצות התקיפה, חלק מהן:

https://pastebin.com/search?q=Anonymous+JTSEC+%23OpIsra%C3%ABl+Full+Recon

https://www.facebook.com/events/281596456045451/

הכנות לקראת OpIsrael

בין אם אתם ארגון קטן ובין אם מדובר בארגון Enterprise, ישנן מספר פעולות שניתן ליישם כהכנה מקדימה לקראת OpIsrael כדי להיות מוכנים לכל איום אבטחתי שיכול לצוץ.
חלק מהפעולות ניתן ליישם באופן מיידי וחלקן דורשות הטמעה ויישום של תהליכים חוצי ארגון.

על מה צריך להגן?

על-ידי ניטור קבוע של ה-Perimeter ושל מקורות המידע של החברה תוכלו לקבל תמונה מלאה על הנכסים עליהם אתם צריכים להגן. ברגע שיש לנו רשימה מסודרת של כל השירותים שהארגון עושה בהם שימוש וכל מקור מידע שמשויך עם הארגון, נוכל לראות בצורה בהירה יותר על אילו נכסים אנו צריכים להגן.

אז מהם נכסי הארגון שעליהם יש להגן? ממש לא רק אתרי אינטרנט

יש לתת את הדעת על שירותים של גיבוי בענן, תעודות SSL, שרתי דואר, שרתי DNS, אתרי אינטרנט, Web services, שירותי טפסים, Firewalls, שירותי Load balancer, חשבונות של העובדים בענן ועוד.

לדוגמא, ארגונים רבים משתמשים בשירותי הענן של Amazon וביניהם ב – S3 Bucket  לאחסון קבצים.
סריקה של S3 Bucket יכולה לתת לנו רשימה של כל ה- URLs שחשופים לעולם. במקרים של תצורה שגויה התוקף יוכל לראות את רשימת הקבצים ובמקרים מסוימים להוריד אותם למחשב האישי שלו.

ניטור נכסים יכול להתבצע ע"י שירותים רבים, ביניהם גם שירותי Opensource כמו SpiderFoot,  NMAP, Nikto ודומיהם.

התראות ונראות ברשת

אחד הדברים הבסיסיים הוא נראות ויכולת איתור של התרחשויות בכל נקודה ברשת.
נראות משיגים על-ידי יישום של מנגנוני ניטור ואיסוף לוגים לשרתLogger  מרכזי שבו נוכל לייצר סט חוקים והתראות שיודיעו לנו על התרחשות של אירוע חשוד, נוכל לחפש ולחקור אירועים מעניינים בזמן אמת, לייצר רשימת מעקב אחרי מזהים חשודים, להשתמש בדשבורדים חכמים ולשלוח דוחות.

בתחום הזה מגוון הפתרונות גדול, ממוצרי SIEM ועד מוצרי BigData שמתאימים לכל תקציב ולכל גודל ארגון. גם במקרה הזה שוק ה- OpenSource מספק מענה הולם של מוצרים מפתיעים שלפעמים לא נופלים מהפתרונות בתשלום.

בגזרת ה- Opensource ניתן למצוא את Alienvault OSSIM, Wazuh, ELK.

הגברת מודעות העובדים

אחת הטכניקות הנפוצות של התוקפים היא הנדסה חברתית, באמצעותה מנסים התוקפים להשיג "דריסת רגל" ברשת הארגונית לרוב באמצעות פישינג – ניסיון להשיג מידע רגיש או לתמרן את המשתמש להוריד ולפתוח קבצים זדוניים דרך הדואר האלקטרוני. או באמצעות התקפות ממוקדות יותר המכוונות לאנשי מפתח בארגון.  תוכלו לקרוא על דרכי התגוננות מפישינג במאמר כאן.

החוליה החלשה בשרשרת ההגנה תהיה לרוב עובדי הארגון. לכן, מומלץ לשלוח מייל למשתמשים הכולל הסבר קצר על מתקפת OpIsrael המתוכננת וכמה דגשים לרתימת העובדים למאמץ המשותף.

חשוב לציין שמודעות עובדים אינה מסתיימת רק בהונאות פישינג וגלישה לאתרים זדוניים. חדירה לארגון עשויה לנבוע גם בעקבות טעויות תפעוליות, הגדרות תצורה שגויות ותקלות טכניות.

עדכוני תוכנה

יש לדאוג להפצה והתקנת עדכוני תוכנה ואבטחת מידע בכל תחנות העבודה והשרתים בארגון.
כמו כן, יש לדאוג לעדכונים לתוכנות צד ג' המותקנות על מערכות הארגון.

מדיניות תגובה לאירועים

האם הארגון שלכם מוכן להתמודד עם אירועי סייבר?
הטמעה של מדיניות תגובה לאירועים דורשת כתיבת נהלים, חלוקת אחריות, אימון ותרגול של צוות ההגנה ותהליך ארוך של חשיבה בין כל יחידות הארגון.

אין ספק שמדובר בתהליך ארוך שדורש מאמץ ארגוני, אבל גם אם טרם הטמעתם מדיניות תגובה לאירועי סייבר, ישנן כמה פעולות שתוכלו לנקוט כדי לכל הפחות להיות מוכנים להתמודד עם המתקפה הבאה:

  • קביעת הפעולות המיידיות אשר יבוצעו במקרה של אירוע אבטחת מידע, עם חלוקה לרמת חומרה וסדר הפעולות.
  • סמכות ואחריות, יש לקבוע מיהו הגורם המוסמך לקבלת החלטות קריטיות, כמו השבתת שירות ומיהו הגורם האחראי לתפעל ולסיים את האירוע.
  • התאוששות מאסון, במידה ומידע אבד כתוצאה מאירוע סייבר כמו במקרים של התקפת כופר, יש לוודא שבארגון יש נוהל מסודר של גיבוי ושחזור המידע.

כפי שהורגלנו, גם השנה אירוע OpIsrael תופס הרבה כותרות, במיוחד כשברקע יש הרבה רעש פוליטי שקשור לבחירות בישראל.
מצד אחד אנחנו הולכים לראות הרבה מתקפות מניעת שירות (DDoS), ניסיונות השחתת אתרי אינטרנט ופישינג ומהצד השני לאור הקמפיין המקדים ל – OpIsrael גם ניסיונות מתוחכמים וממוקדים יותר.
לכן, יש להערך כראוי ולדאוג שבארגון שלכם מערך ההגנה נשאר עם היד על הדופק כרגיל.