שיטת העבודה של ווייט-האט: 8200 פרטית לכל לקוח
25 יוני, 2017
"האקרים מעדיפים לחדור למפעלי תעשייה באמצעות ספקי רכיבים ונותני שירות כמו רואי חשבון ועורכי דין". ווייט-האט מתל-אביב הקימה יחידת מודיעין עלית המספקת הגנת סייבר לארגונים פרטיים - ובעתיד גם למדינות
ככל שעולם הסייבר נעשה מורכב, מתוחכם ומסובך יותר – ההתמודדות איתו מזכירה יותר ויותר מערכות ריגול ומודיעין אנושיות, ולא רק כלים טכנולוגיים דיגיטליים. מי שהבין את העוצמה של האדם בתחום הזה היא חברת White-Hat מתל-אביב, המספקת שירותי הגנת סייבר על בסיס עקרונות ריגול ומודיעין קלאסיים. לאחרונה היא גם צירפה אל שורותיה יועצים בכירים שהגיעו מהמגזר הבטחוני-צבאי ומהמגזר הפיננסי. רונן זרצקי לשעבר סמנכ"ל הטכנולוגיות של ישראכרט, אייל פישר שכיהן כמפקד מרכז הסייבר ב-8200 ואילן מזרחי ששימש כמשנה לראש המוסד עד לשנת 2003 והיועץ לבטחון לאומי עד שנת 2007.
האקר לבן והאקר שחור
ווייט-האט מספקת שירותי חמ״ל סייבר מתקדם לגופים בתחומי הפיננסים, הבריאות, הממשלה, הבטחון והמגזר העסקי, באמצעות "האקרים לבנים". בשיחה עם Techtime גילה המנכ"ל שרון נימירובסקי (בתמונה למעלה), כיצד החברה עובדת ומה היא מתכננת להציע למדינות זרות. אולם בשלב הראשון הוא מבהיר שההאקרים של החברה לא עוסקים במה שנקרא לעתים "הגנה פעילה", כלומר תקיפה ברשת. זהו מגרש המשחקים של האקרים שחורים. נימירובסקי: "אנחנו עוסקים בהגנה בלבד ולא בתקיפה. תקיפה היא עבירה על החוק, ורק לממשלות יש הכשר חוקי לבצע תקיפות".
מדוע חברות צריכות להפעיל האקרים כדי להתגונן?
"אסטרטגיית ההגנה של רוב החברות מבוססת על רכישת טכנולוגיות הגנה. מנמ"ר ממוצע מתעסק כיום עם 36 טכנולוגיות הגנה שונות – ולמרות זאת הארגונים נפגעים מפעילות עוינת. רשת הקמעונאות Target, למשל, משקיעה 20 מיליון דולר בשנה בטכנולוגיות הגנה – ולמרות זאת היא היתה נתונה תחת התקפה שלא זוהתה במשך 8 חודשים. זהו המקום שאליו אנחנו נכנסים, אנחנו חברה של ציידים. יש כאן דסק שעובד 24X7. אני יודע על כל תקיפה המתרחשת בעולם ועל כל איזכור של הלקוחות שלי ברשת הסמויה וברשת הגלויה. כל באג חדש, כל הדלפת מידע וכל כופרה, סוס טרויאני או וירוס חדשים שיוצאים לרשת.
"בנוסף, אנחנו גם צדים איומים סמויים שכבר נמצאים בחצר של הלקוח. למעשה, הלקוחות שלנו קונים יחידת מודיעין סייבר פרטית, מבלי להתקין שום טכנולוגיה חדשה במערכות של הארגון. אנחנו מקבלים לוגים ממערכות ההגנה של הלקוח, ומצליבים אותם אצלו, עם המידע העדכני שאנחנו אוספים. כך למשל, אם קבוצת תקיפה פיתחה נוזקה שמטרתה לבצע הדבקה ולהוציא מידע מהארגון – אני בוודאות מוחלטת יודע על ההתארגנות, על השיטה ומה לחפש".
אוואטרים המתחזים לבני-אדם
שרון נימירובסקי, 41 הוא בעל נסיון הגנתי רב שנים. בשירותו הצבאי הוא עסק בפיתוח אמצעי לחימה טכנולוגיים ולאחר מכן שימש כטכנולוג הראשי של בית החולים אסף הרופא וכיועץ טכנולוגי של חברת באבטחה אבנת. ווייט האט הוקמה לפני 4 שנים וצמחה בהדרגה, ביחד עם הלקוחות. כיום היא מעסיקה כיום כ-35 עובדים, ש-29 מתוכם הם האקרים.
כיצד אתם אוספים מידע על פעילות של האקרים ברשת?
"אנחנו מפעילים כלים האוספים מידע אנושי (UMINT) באמצעות אוואטרים. מדובר ביישות דיגיטלית שאין מאחוריה אדם אמיתי אבל היא מתנהגת כמו אדם אמיתי. האוואטרים חודרים לקבוצות של האקרים ולאתרי תקיפה. כל עובד שלנו מתחזק עשרות אוואטרים. אם למשל מתארגנת קבוצת האקרים חדשה באינדונזיה, האוואטר שלנו מצטרף אליה וחבר בקבוצת הפייסבוק שלה.
"הוא מתוחזק לאורך שנים ולכן אמין מאוד. כל מי שיחקור אותו יהיה משוכנע שיש אדם אמיתי מאחוריו, ולא חברת אבטחה. האוואטר חבר בקבוצות פייסבוק סגורות שבהן הוא שומע מאנשים אחרים על התארגנות של קבוצת תקיפה חדשה, ומפעיל אוואטר אחר אשר חודר לקבוצה. בעבודה שלנו אלה משחקי ריגול יומיים. הכמות הגדולה של הסנסורים ברשת מאפשרת לנו להגיע לכל מקור תקיפה כמעט. מדי שבוע הלקוחות שלנו מקבלים המלצות שהן מעין חיסון המבוסס על המידע שהדסק אסף במהלך השבוע.
מה עושים כנגד תקיפות של בודדים?
"אם מופיע מפגע בודד שלא מתקשר עם אף אחד, לא רוכש כלים ברשת האפלה, לא מתייעץ בפורומים ולא רוכש כלים באמצעות ביטקוין, לא נוכל לדעת עליו. אבל זוהי תופעה מאוד נדירה. מצד שני, כאשר הוא יתחיל לתקוף – מיד נדע עליו".
אתם מגינים על חברות אלקטרוניקה?
"אנחנו מספקים הגנה לחברות תעשייתיות ואחרות על בסיס מידע ממוקד שאותו אנחנו מחפשים. כך למשל, בהגנה על מפעל אלקטרוניקה נבקש מהלקוח את רשימת הטכנולוגיות שלו, את שמות המנהלים הבכירים, פרטים מלאים על הבקרים בקו הייצור ועוד. במקרה כזה, למשל, נחפש איומים ייעודיים הממוקדים בבקרים של הלקוח, כדי להגן עליהם לפני שמתבצעת התקפה. במקביל נחקור פעילות מסביב לארגון: כאשר אנחנו מזהים שמישהו מתחיל ללמוד את הארגון: מי הם המנהלים הבכירים, הפרטים המשפחתיים שלהם, נושאי העניין האישיים שלהם ועוד, מיד נשלח אזהרה לארגון.
"כיום זו הדרך שבה מתנהלים תוקפים. הם למשל, יציעו לילד של הבכיר משחק באינטרנט, או שהאשה תקבל קופון לרכישת מוצר מסויים. ברגע שהם יאשרו את קבלת המוצר – Game Over – התוקפים ישתלטו על המחשב בבית וימתינו עד שהבכיר יתקשר באמצעותו אל הארגון, ומשם ימשיכו הלאה לתוכו".
מה חדש בתחום של תקיפת חברות ומפעלים?
"כיום השיטה של ההאקרים היא לתקוף את הספקים של הארגון, ודרכם להיכנס אליו. אם אתה יצרן מערכות אלקטרוניות ואתה קונה רכיבים מספקים שונים, עובד עם משרד ראיית חשבון ועם עורך דין חיצוני, המידע הרגיש ביותר שלך נמצא אצלם, ואותם יותר קל לתקוף מאשר חברת אלקטרוניקה גדולה ומבוססת. הם לא יכולים להשקיע את הסכומים הדרושים בהקמת מערכת הגנה קלאסית. לכן השיטה שלנו מאוד יעילה בתרחישים כאלה. להערכתנו החיסון השבועי שאנחנו מספקים לחברות משפר את רמת ההגנה שלהם מ-50% מהאיומים, כמקובל כיום בתעשייה, לכ-90%".
מהיכן התקיפות מגיעות?
"לרוב, מי שאנחנו מכנים בשם 'הרעים' באים מחו"ל. הקבוצת בארץ הן מוכוונות רווח ולא מוכוונות תקיפה, וברוב המקרים הן גם בנויות מסביב לאנשים איכותיים יוצאי צבא. הקבוצות התוקפניות ביותר כיום מגיעות ממדינות כמו אינדונזיה, יוון, ארצות הברית, סין וטורקיה. אם תצא לפועל תקיפה ממומנת מדינה, ברוב המקרים לא יהיה ניתן לזהות אותה. רמת המשאבים שיושקעו בה היא כזו גדולה, שיהיו משאבים רבים מאוד שיוקדשו להסתרתה".
כיצד התמודדתם עם מתקפת הכופרה הגדולה בחודש מאי?
"התקפת הכופרה WannaCry Ransomware מחודש מאי שפגעה בבתי החולים בבריטניה, התבססה על חולשה שנגנבה מה-NSA בארה"ב. כאשר היא פרצה ביום ששי בצהריים, דסק הסייבר שלנו איתר אותה והעלה את החברה לרמת כוננות גבוהה, הדורשת מכל המנהלים להיות על הקו. ביצענו הערכת מצב בהשתתפות כל המנכ"לים והסמנכ"לים, והחלטנו להקפיץ את האנשים לדסק כדי להפיץ במהירות את החיסון.
"באותו יום בשש וחצי בערב הפצנו מסמך התגוננות ראשוני שבו ביקשנו מהלקוחות לחסום כתובות IP מסויימות, אתרי אינטרנט, קבצים מסויימים ולהוסיף כתובת DNS פיקטיבית לשרתי הארגון. זאת מכיוון שגילינו מהמידע ברשת שפוגען הכופר מנסה לפנות לאתר אינטרנט ספציפי המשמש כמתג כיבוי (Kill Switch), וכאשר נוצר איתו קשר – ההתקפה נעצרת. הלקוחות שלנו מימשו את ההמלצות כבר באותו יום והתוצאה היתה שהם היו מוגנים עוד לפני שהתקיפה הגיעה לישראל".
רשות הסייבר הלאומית בתמונה?
"אנחנו עובדים בשיתוף פעולה מלא עם רשות הסייבר והיא מקבלת מאיתנו מידע. בסוף חודש מאי, למשל, תוך כדי ניטור הלקוחות שלנו, איתרנו תקיפה אירנית והתברר לנו שגופים ישראלים, שהם לא לקוחות שלנו, נמצאים תחת התקפה. העברנו את המידע לרשות הסייבר והיא העבירה אותו אל הגופים האלה".
מה הן התוכניות שלכם לעתיד הקרוב?
"כעת אנחנו נמצאים במגעים לגיוס השקעה בהיקף של כמה מיליוני דולרים לצורך יציאה לשוק העולמי. במקביל, אנחנו מתחילים בהקמת חטיבה בטחונית שתמכור עסקאות הגנה לממשלות. הכוונה היא לספק לממשלה לקוחה דסק סייבר משלה, אשר ינטר אותה מסביב לשעון בצורה ממוקדת. לצורך זה אנחנו מגייסים כעת כוח אדם איכותי שיצטרף לקבוצת ההאקרים שלנו".
פורסם בקטגוריות: אבטחה , אבטחת סייבר , חדשות
כתבות נוספות העשויות לעניין אותך
