מאת אורלי מגר, סמנכלית ניהול לקוחות, חברת הסייבר מייזבולט (MazeBolt)

ישראל חוותה לאחרונה סדרת מתקפות Distributed Denial of Service) DDoS), שהתמקדו בעיקר בשירותים פיננסיים כגון בנקים, חברות ביטוח ושירותי תשלומים. מתקפות אלו התגברו במהלך המלחמה ואינן מראות סימני האטה גם בשנת 2025. לצערנו, קונפליקטים גיאופוליטיים והאקטיביזם ההאקרי הם כאן כדי להישאר, ולכן חברות חייבות להבין שהפתרונות הקיימים משאירים אותן חשופות. הגיע הזמן לחשוב מחדש על דרכים חדשניות למנוע השבתות כתוצאה מהתקפות DDoS. ראשית, נבין את האתגרים העומדים בפנינו.

חברות משקיעות סכומי עתק בשירותי הגנה נגד DDoS, מוסיפות שכבות אבטחה ומבצעות בדיקות תקופתיות כדי למנוע השבתה בעקבות מתקפות. עם זאת, ההשקעה הרבה בזמן ובמשאבים לא פתרה את הבעיה, כפי שמעידות המתקפות האחרונות הן בישראל והן ברחבי העולם.  

הבעיה הבסיסית בפתרונות ההגנה נגד DDoS אינה הטכנולוגיה עצמה, אלא תצורות ההגנה השגויות. פתרונות DDoS היברידיים שפועלים תמיד (Always-On) רגישים מאוד להגדרות לא נכונות ודורשים כיוונון מתמשך כדי להתאים לשינויים ברשת ולתוקפנות ההולכת וגוברת של מתקפות DDoS. שגיאות תצורה אלו מובילות לאלפי חולשות שניתן לנצל בקלות.  

ניקח לדוגמה חברה בעלת 100 כתובות IP (שירותים ציבוריים) ונכפיל זאת ב-150 וקטורי תקיפה של DDoS (שכבות 3,4,7). אנו מקבלים שטח תקיפה של 15,000! כלומר 15,000 דרכים בהן האקרים יכולים לנצל חולשות בתצורות ההגנה. שימוש בהגדרות ידניות בשיטה של ניסוי וטעייה או בדיקות DDoS מסורתיות אינו מספק פתרון מקיף. גישה מסורתית זו משאירה את הארגונים במצב של תיקון חולשות בזמן מתקפה, תוך כדי השבתה הרסנית של שירותי האונליין שלהן.  

היעדר נתונים מפורטים אודות פגיעויות מחייב את הארגונים לתקן שגיאות תצורה במהלך מתקפה פעילה, תוך הסתמכות על הסכמי SLA יקרים (כלומר, ההשבתה כבר מתרחשת). ספקי ההגנה נגד DDoS לרוב מסתמכים על תצורות סטנדרטיות, כאשר צוותי SOC וחוזי SLAs נכנסים לפעולה רק לאחר שההתקפה הצליחה.  

אפילו SLAs המובילים בתעשייה, שמבטיחים תגובה תוך 15 דקות, משמעותם היא שטכנאי יתחיל לעסוק בבעיה רק בפרק זמן זה. השינויים הידניים בתצורת ההגנה כדי לעצור את המתקפה מתבצעים לאחר מכן, אך כאשר המתקפה מסתיימת, התצורות עשויות לחזור למצבן המקורי, מה שמשאיר את הארגון חשוף.  

כאשר פתרונות ההגנה נגד DDoS כבר פרוסים, הסיבה היחידה לאובדן שירות עקב מתקפות היא פגיעויות הנובעות משגיאות בתצורות ההגנה. ספקים כמו Akamai, Radware, Cloudflare, Imperva ו-A10 יוכלו לסגור את הפער בהגנת DDoS רק אם הפגיעויות יזוהו ויתוקנו מראש.  

הגיע הזמן לפרוס כלים חדשניים לניהול פגיעויות DDoS באופן רציף וללא הפרעה. כלים שמכסים את כל שטח התקיפה של הארגון ומציעים אוטומציה משמעותית לזיהוי, תיעדוף ותיקון של כל הפגיעויות. כלים שיעבדו על פי מסגרת CTEM המומלצת של גרטנר, בתהליך רציף של בדיקות ותיקונים המנוהל באופן אוטומטי.  

שוק ה-DDoS זקוק לחידוש מהותי. נראות מלאה של כל שטח התקיפה מבחינת פגיעויות DDoS תוביל להגנה אוטומטית ומותאמת אישית.  

[צילום: רונן גולדמן]