המלכודות שפיתחו החברות הישראליות להאקרים
רוב חברות הסייבר מציעות שיטה דומה של הגנה: סריקה של אינסוף קבצים זדוניים תוך שימוש כבד במשאבי המחשב ■ דור חדש של חברות החליטו להפסיק לרדוף אחרי ההאקרים והנוזקות - ובמקום זאת מציעות הגנה מסוג אחר: להטעות את התוקף
- אמיתי זיו, themarker
- י"ט טבת התשע"ז
איור: ליאו אטלמן
במלחמת העולם השנייה צבאות בעלות הברית הצליחו להטעות את האויב. הם השתמשו ב"טנקים" מתנפחים, אוהלים ריקים, איתותי עשן, רמקולים רועשים ותקשורת רדיו מפוברקת - כל זאת, כדי לפתות את הגרמנים לבזבז תחמושת, לחשוף כוחות ולתמרן גייסות למלכודות שנטמנו להם.
זה כמובן לא היה המקרה הראשון או האחרון בתולדות המלחמה של שימוש בטכניקות הטעיה, במטרה להבריח את היריב או לפתות אותו להתגלות. בשנים האחרונות גם תעשיית אבטחת המידע מאמצת את הגישה הזאת - ומגינה על המרחב הווירטואלי. כמה מהחברות הבולטות בתחום הן, איך לא, ישראליות.האנטי־וירוס וחומות האש אינם מספיקים
חברות הסייבר אילוסיב נטוורקס (Illusive Networks) או טופ־ספין (TopSpin), שכבר משמן אפשר להסיק על המוצר שהן מספקות, הן חלק מטרנד של השנים האחרונות בתחום אבטחת הסייבר: ההטעיה (Deception).
מוצרי ההטעיה נועדו לבלבל את התוקף ולגרום לו לעשות טעות. "אילוסיב נטוורקס יוצרת פרוזדור של מראות, שבו התוקפים אינם יכולים לדעת בוודאות מה אמיתי ומה לא. כאשר התוקפים פועלים על סמך המידע הכוזב, אילוסיב נטוורקס מנטרלת את המתקפה ומדווחת מיידית על החדירה", נכתב בהודעה לעיתונות שפירסמה החברה באוקטובר 2015, כשהכריזה על גיוס של 22 מיליון דולר. "כותרות העיתונים כיום מאששות את הצורך בגישה חדשה לחלוטין לעצירת תוקפים בעולם הסייבר", מסר אז מנכ"ל החברה, שלמה טובול.
בתעשיית הסייבר הישראלית התגבש אשכול של כמה חברות בתחום ההטעיה, כאשר כל אחת מציעה גישה מעט שונה. ואולם ההנחה הבסיסית של כולן היא כי משום שיכולת הזיהוי של הנוזקות נעשית קשה מיום ליום ומוצרי האנטי־וירוס הקיימים וחומות האש פשוט אינם מספיקים כדי לבלום את המתקפות החדשות - כדאי להטעות את הנוזקה או את השולח שלה."במקרה של תקיפה, הווירוס יכבה את עצמו"
"אם אתה או אני נכנסים לסניף בנק, נמשוך כסף מהכספומט גם אם יש שם מצלמת אבטחה", אומר אדי בובריצקי, המייסד והמנכ"ל של חברת מינרבה לאבס (Minerva Labs), אחת החברות הצעירות והמבטיחות בתחום. "אבל אם גנב נכנס לסניף ויש בו מצלמה, הוא כנראה לא יגנוב משם כסף, גם אם יש סיכוי שזו מצלמת דמה".
כך, הפתרון שמציעה החברה של בובריצקי נועד לדמות מוצרי אבטחה. לדבריו, "בכל המתקפות הגדולות של השנים האחרונות לנוזקה היתה יכולת זיהוי המרחב. זה מכונה Environmental Awareness (מודעות סביבתית) - הווירוס לומד איפה הוא נמצא. פיתחנו פלטפורמת סימולציה שמותקנת על כל תחנת קצה בארגון ו'מסמלצת' מוצרי אבטחה ופורנזיקה אחרים, כמו תוכנות אנטי-וירוס".
לדבריו, "אנחנו גורמים לתוקף לראות כל הזמן אויבים, רעש פיקטיבי. במקרה כזה הווירוס יכבה את עצמו, ואנחנו ניקח את הקובץ ונשלח אותו לסריקה במוצרי אבטחה קיימים. בשיטה הזאת אנחנו לא סורקים אינסוף קבצים ולא רודפים אחרי עדכונים.
"זו גישה של מניעה, במקום גישה של זיהוי ותגובה, שהיא הגישה השלטת בעולם אבטחת המידע. גישת הזיהוי והתגובה בעייתית כי אם זיהית, כנראה כבר נפגעת, והיא מצריכה הרבה כוח אדם שיטפל בכל ההתראות. גישה של מניעה מאפשרת ניצול טוב יותר של מוצרי האבטחה הקיימים, כי אנחנו מעסיקים אותם רק עם קבצים חשודים ממילא. זה גם ניצול טוב יותר של משאבי המחשוב. התוכנה שלנו משתמשת בפחות כוח עיבוד מתוכנת הצייר המובנת של ווינדוס".
חברות ההטעיה, אגב, אינן ממליצות להסיר את תוכנות האנטי־וירוס הקיימות או את יתר התוכנות הסטנדרטיות, אלא רואות בעצמן שכבה נוספת במערך ההגנה.
מינרבה לאבס היא חברה צעירה: היא הוקמה ב–2014, וגדלה "במרתף של ההורים", כפי שמספר בובריצקי, עד שהתקבלה לאקסלרטור של סטיט בנק. החברה פעלה בסודיות (Stealth Mode) עד שחשפה את פעילותה בכנס סייברטק 2016 שנערך לפני כשנה בישראל, ובו זכתה בפרס "החברה החדשנית של הכנס" (כנס סייברטק 2017 ייערך בסוף ינואר). מינרבה גייסה 15 מיליון דולר ביוני 2016 בהובלת קרן StageOne. לחברה 18 עובדים ועשרה לקוחות."הפורץ תמיד נופל במלכודת"
הסטארט-אפ הגדול בישראל בתחום ההטעיה הוא ככל הנראה TrapX Security. לחברה יש כבר כ-200 התקנות, כולל בבית ההשקעות פסגות, בבנק אגוד ובבורסה, וכן בביטוח הלאומי של מדינת גאנה. בפסגות בחרו ב–TrapX אחרי תהליך בדיקת היתכנות (POC) שארך שנה וחצי ונבחנו בו ארבעה פתרונות הטעיה שונים, שחלקם שייכים למתחרות ישראליות אחרות.
בהודעה משותפת של החברות, שפורסמה עם הבחירה ב–TrapX, אמר חנניה כפרי, מנהל אבטחת המידע של פסגות כי "לפסגות יש מערך אבטחת מידע גדול ומושקע, המגן על השכבה ההיקפית של הארגון...בשנתיים האחרונות החלטנו לצרף פתרון מבוסס הטעיה שיזהה איומים מתקדמים בכלל הרשתות הארגוניות — איומים שעקפו את מערך ההגנה ההיקפי וחדרו פנימה". הפתרון של TrapX נבחר לאחר מבחני חדירה, שבוצעו על ידי חברות סקרי סיכונים בהזמנת פסגות וכן על ידי משרד האוצר.
TrapX, שהוקמה ב–2010, גייסה עד כה 19 מיליון דולר, בין היתר, מ–Trategic Cyber Ventures, אינטל קפיטל, BRM וקרנות נוספות, והיא מעסיקה 80 עובדים. לדברי יובל מלאכי, ממייסדי החברה וסמנכ"ל הטכנולוגיות, "אנחנו מניחים שהתוקף כבר בפנים, וכעת צריך לתת לארגון זמן להגיב. התוקף ינסה להתקדם בארגון עד שהוא יגיע לחשבון פריווילגי (חשבון משתמש בעל הרשאות נרחבות; א"ז). דמיין שאתה נכנס למסדרון, ועל 30 דלתות כתוב 'סמנכ"ל הכספים'. ואולי אפילו חלק מהדלתות פתוחות מעט. אנחנו יוצרים מלכודת דינמית עם רעש של רשת אמיתית, שמתקשרת כמו רשת אמיתית. ברגע שהתוקף נוגע ברכיב לא אמיתי אחד, הוא נתפס - מפני שאף אחד לא אמור לגעת ברכיב כזה".
הפתרון של החברה, לדברי מלאכי, מדמה לא רק את מערכת ההפעלה, אלא גם כל גורם שיכול להיות מחובר לרשת ארגונית - כמו ראוטרים, מצלמות ומדפסות. החברה יודעת לפתות את התוקף לאחת ממלכודות הדבש שלה ואז לזהות את הנוזקה ולנטרל אותה. "כשחברות מזמינות שירותי פריצת סייבר חיצוניים, הפורצים תמיד נופלים במלכודת שלנו", אומר מלאכי."אין דרך טובה וזולה יותר לגילוי פוגענים בעשרות ג'יגה בשנייה"
מתחרה נוספת בתחום היא גארדיקור (GuardiCore), שהוקמה ב-2013 ועד כה גייסה 33 מיליון דולר בשלושה סבבים מקרן בטרי ונצ'רס, סיסקו ומשקיעים פרטיים (ובהם הרמטכ"ל וראש הממשלה לשעבר אהוד ברק). מנכ"ל החברה, פבל גורביץ', מסביר כי האטרקטיביות של התחום נמצאת בשיטה.
"ההטעיה היא אמצעי יעיל ומרכזי מאוד בזיהוי תוקף שנכנס לארגון. הוא יעיל טכנית כי כשעובדים בסביבה עתירת תקשורת, כמו מרכזי נתונים ושרתי ענן, אנחנו מדברים על תעבורה של עשרות ג'יגה בשנייה, ואין דרך טובה וזולה לגילוי פוגענים בנפח כזה. ההטעיה היא שיטה שלא מחייבת לנתח את כל המידע", הוא אומר.
גורביץ' מסביר כי "מדובר בכלי יעיל מאוד גם מבחינת זיהוי התוקף: אפשר לזהות אותו כבר בשלב מוקדם, מפני שכלי ההטעיה 'חותרים למגע' ומעודדים את התוקף להיכנס למלכודת. זה כלי גם יעיל מאוד למודיעין: הוא מאפשר ללמוד את הכלים והשיטות של התוקף ואת מה שהוא מחפש".
גורביץ' טוען כי "התחום הזה התפתח מאוד בשנים האחרונות, ובגופים פיננסיים גדולים זה כמעט סטנדרט. יש הרבה חברות ישראליות חזקות בענף, וגם כמה אמריקאיות טובות".
גארדיקור, המונה 70 עובדים ועשרות לקוחות משלמים, מתמחה בהגנה על חוות שרתים ותשתיות ענן. החברה מוכרת תוכנות הגנה למגוון של לקוחות, החל בחברות הזנק קטנות שזקוקות להגנה על שרתי הענן שלהן, ועד לבנקים ותאגידים שיש להם חוות שרתים עצמאיות גדולות.
"חברת סלקום, למשל, היא לקוחה שלנו שלה מידע חשוב שיכולה להוות מטרה מודיעינית ותשתית מהמדרגה הראשונה. הם משתמשים בנו בסביבת הדאטה סנטר של החברה כדי להתריע, לנתח ולהגיב. אפשר להשיג מידע מודיעיני רחב באמצעות הטעיה", אומר גורביץ'.
על שיטת העבודה של החברה שלו מסביר גורביץ' כי "אנחנו מאפשרים לתוקף שמגיע דרך אתר אינטרנט ציבורי ורוצה לחדור למאגר נתונים אחורי - להצליח כביכול. אנחנו 'מחלישים' רכיבים ברשת, אבל למעשה הוא מופנה למלכודות ששתלנו, שכלל לא נמצאות ברשת הארגונית, אלא מחוץ לה"."היית מגיע לעבודה בבוקר בידיעה שאתה הולך להפסיד"
עוד חברה מבטיחה בתחום ההטעיה הישראלי היא Cymmetria, שהמייסד והמנכ"ל שלה הוא גדי עברון, מוותיקי ענף הסייבר בישראל, בתקופה שבה הוא עוד נקרא אבטחת מידע. "אני נמצא בתעשייה הרבה שנים. הייתי סמנכ"ל בחברת אבטחת המידע קספרסקי, ויום אחד נמאס לי מכך שיש בתחום תבוסתנות בסיסית: התפישה שכל הגנה היא חשובה והופכת את החיים של התוקף לקשים יותר, אבל אם הוא באמת רוצה — הוא נכנס. היית מגיע לעבודה בבוקר בידיעה שאתה הולך להפסיד", הוא אומר.
לדברי עברון, "בכנסי סייבר רואים מאות ואלפי חברות שקשה באמת לציין את ההבדל ביניהן - יזמות של לעשות את אותם הדברים, קצת יותר טוב. זו תעשייה שאפשר להגיד עליה בלי למצמץ שהיא נכשלה, ועם כל המיליארדים שנשפכים עליה, הייתי מצפה לקצת יותר חדשנות.
"החלטתי שאם אני עושה משהו חדש, זה לא בשביל לעשות שיפור קטן, אלא משהו ששובר את הא־סיטמריה המובנית בסייבר. הרי הבעיה בהגנה היא שהוא (התוקף) צריך להצליח רק פעם אחת, ואנחנו צריכים להגן כל הזמן על הכל. היופי בהטעיה הוא שזה פתרון שהופך את המצב: התוקף צריך לטעות פעם אחת בשביל להיתפס".
הפתרון של Cymmetria מבוסס גם הוא על שרת שמריץ מכונות וירטואליות שמדמות מחשבים אמיתיים ושרתים אמיתיים ברשת, עם נתיב "פירורי לחם", כפי שמכנה זאת עברון, שנועד לתעל את התוקף. באחרונה החברה יצאה בצעד חריג והכריזה על "אחריות סייבר" למוצר שלה עד לסכום של מיליון דולר, עם התחייבות לתפוס מתקפות עיקשות לא ידועות (APT). "אנחנו מאמינים במוצר והוכחנו כבר שאנחנו עוצרים תוקפים (החברה זיהתה עד כה ארבע מתקפות מסוג APT; א"ז) אז החלטנו להתגבר על התבוסתנות הזאת שדיברתי עליה, ולשים את הכסף ליד ההצהרות. לקח לנו זמן, אבל מצאנו חברת ביטוח שתעמוד מאחורי הדבר הזה, ובלי הרבה אותיות קטנות".
חברות לא נוהגות לגלות באילו מוצרי אבטחה הן משתמשות. האם כשחברה משתמשת במוצר הטעיה כדאי לה להחצין זאת כדי שהתוקף יידע מראש שהוא נכנס למבוך ויימנע מכך מלכתחילה?
עברון: "זו כבר החלטה של מדיניות, אבל כן, ברגע שתוקף יודע שיש הטעיה הוא יודע מראש שהוא חייב לעבוד הרבה יותר לאט, וכל הכלכלה של המתקפה משתנה — זה פחות כדאי לו. הנטל של ההגנה — הרעש — עובר לתוקף".
Cymmetria גייסה עד כה 10.5 מיליון דולר ומעסיקה 25 עובדים. לחברה, שהוקמה בדצמבר 2014, יש עשרה לקוחות משלמים ועוד 23 התקנות ברמת בדיקת היתכנות.פוטנציאל הכנסות של 200 מיליון דולר בשנה
יש שני תחומים עיקריים שבהם עוסקת אבטחת מידע המבוססת על הטעיה. אחד מהם מכונה Endpoint — נקודת הקצה בארגון, שהיא המחשב של העובד בעמדה. תחום שני הוא הרשת הארגונית והשרתים הארגוניים. פתרונות הטעיה מתאימים במיוחד במקרים שיש קושי להתקין תוכנות אבטחה סטנדרטיות, למשל במגזר הרפואי, שבו משתמשים לרוב במערכות הפעלה ישנות ובמערכות מחשוב ה"סגורות" בפני עדכוני תוכנה והתקנת תוכנות הגנה. גם בעולם התשתיות הקריטיות, בגלל שימוש בבקרים מיוחדים, יש קושי להתקין תוכנות הגנה סטנדרטיות.
באחרונה פירסמה חברת המחקר גרטנר מחקר על טכנולוגיית ההטעיה (Deception Technology) וקבעה כי "טכניקות של הטעיה ומלכודות דבש אינן קונספט חדש באבטחת מידע, אך טכניקות ויכולות חדשות מאפשרות לשנות את הכללים באופן שבו מתמודדים עם איומי סייבר….דמיינו מצב שבו ברגע שתוכנה זדונית מתגלה, הנתקף יכול להתחיל לשקר לה ולמי ששולט בה. יכולות כאלה הופכות כעת למציאות".
על פי המחקר, ב–2018 ההכנסות בשוק ההטעיה בעולם יסתכמו ב–100–200 מיליון דולר וכ–10% מהארגונים בעולם ישתמשו בפתרונות הטעיה כחלק מחליפת ההגנה שלהם. "זה נתון די נמוך", טוען בובריצקי, ומסביר כי פתרונות הטעיה עדיין נתפשים כ"משחק באש", היות שהם מעודדים את התוקף לנסות להיכנס לרשת וקיים חשש כי הפורץ יתגבר על המלכודת. בגרטנר מודעים לסיכון, אך קובעים כי "כלי ההטעיה הקיימים כיום התפתחו עם יכולות אוטומציה מתקדמות ויכולות המתאימות לרמה התאגידית". לפיכך, בגרטנר ממליצים לכלול תוכנות מהסוג הזה בפתרון ההגנה: "זה כבר לא רק Nice To Have, זו אסטרטגיה חדשה להגנה", קובעים בגרטנר.
תגובות
{{ comment.number }}.
הגב לתגובה זו
{{ comment.date_parsed }}
{{ comment.num_likes }}
{{ comment.num_dislikes }}
{{ reply.date_parsed }}
{{ reply.num_likes }}
{{ reply.num_dislikes }}
הוספת תגובה
לכתבה זו טרם התפרסמו תגובות