קלארוטי: כלי הגישה-מרחוק מייצרים סיכוני סייבר על הסביבה התפעולית

[בתמונה למעלה: מנכ"ל קלארוטי, יניב ורדי. צילום: קרן מזור]

חברת הסייבר קלארוטי (Claroty), המתמחה בהגנה על מערכות סייבר-פיזיות (CPS), פרסמה מחקר חדש של זרוע המחקר שלה, Team82, על התרחבות השימוש בכלי גישה מרחוק והחשיפה לסיכונים שהיא יוצרת בסביבות טכנולוגיות תפעוליות (OT). נתונים שנאספו מיותר מ-50 אלף מכשירים בסביבה התפעולית, הראו כי כמות הכלים לגישה מרחוק שהוטמעו הינה מוגזמת, כאשר ל-55% מהארגונים יש ארבעה או יותר כלים ול-33% יש שישה כלים או יותר לגישה מרחוק.

בנוסף, מצא המחקר של Team82 , כי ל-79% מהארגונים יש יותר משני כלים המותקנים על התקני רשת OT ואינם ברמת האבטחה הנדרשת בארגונים. כלים אלה חסרים יכולות בסיסיות לניהול גישה מורשית כגון הקלטת החיבורים מרחוק, בקרות גישה מבוססות הרשאות לבעלי תפקידים מוגדרים ואפילו תכונות אבטחה בסיסיות כגון אימות רב-גורמי (MFA). כתוצאה מכך עולה רמת החשיפה בסיכון גבוה ונוספות עלויות תפעול הנובעות מניהול מגוון פתרונות.

"מאז מגפת הקורונה, ארגונים פונים יותר ויותר לפתרונות גישה מרחוק כדי לנהל בצורה יעילה יותר את העובדים שלהם וספקי צד שלישי. גישה מרחוק היא אמנם פועל יוצא הכרחי של מציאות חדשה, אולם במקביל היא יצרה דילמה אבטחתית ותפעולית", אמרה טל לאופר, סמנכ"ל מוצרים בקלארוטי. "בעוד שהגיוני כי לארגון יהיו כלי גישה מרחוק עבור שירותי IT וגישה מרחוק לסביבות OT, זה לא מצדיק את מגמת הרחבת השימוש בכלים אלו בתוך רשת ה-OT הרגישה, שזוהתה במחקר שלנו, מאחר והיא מובילה לסיכון מוגבר ולמורכבות תפעולית". 

טל לאופר, קלארוטי. באדיבות קלארוטי

בקלארוטי מסבירים כי רבים מפתרונות הגישה מרחוק הנמצאים ברשתות OT משמשים למטרות ספציפיות בסביבות  IT, אך קיומם בסביבות תעשייתיות עלול ליצור חשיפה קריטית ולהגביר את סיכוני האבטחה, ובהם היעדר נראות, שטח תקיפה מוגבר וניהול זהויות מורכב.

לפי חברת המחקר Gartner, "מנהלי אבטחה וניהול סיכונים (SRM) צריכים לבדוק את מצב החיבורים המרוחקים הקיימים בכל הארגון, מכיוון שסביר להניח שיימצאו פתרונות כאלו, לא גלויים, בכל הרשתות התפעוליות, ובמיוחד באתרי שטח". יש להסיר פתרונות גישה מרחוק ישנים לטובת פריסת פתרונות מאובטחים חדשים יותר המותאמים לסביבות CPS. ארגונים בדרך כלל פורסים פתרונות חדשים מבלי להתמקד במה שנותר מאחור, ועם הגידול במספר חולשות ה-VPN המנוצלות, הדבר יכול להוות נקודה עיוורת משמעותית". 

Zero Networks חשפה יכולות סגמנטציה במערכות OT

[בתמונה: צוות Zero Networks. קרדיט צלמת: רוני הרמן]

חברת הסייבר זירו נטוורקס (Zero Networks), שפיתחה פתרון מבוסס למידת-מכונה המבצע סגמנטציה אוטומטית של הרשת הארגונית, חושפת כעת יכולות חדשות שתוכננו במיוחד כדי לחסום תנועה רוחבית – באמצעות סגמנטציה – ברשת במהלך מתקפות נגד מערכות OT (Operational Technology – מכשירים וטכנולוגיות המשמשים לניהול, ניטור ובקרה של תהליכים תפעוליים בתעשייה ובתשתיות קריטיות). לדברי החברה, יכולות קריטיות אלה מצמצמות באופן משמעותי את הסיכון הכרוך במתקפות כופרה בתעשיות עתירות במכשירי OT כמו: ייצור, בריאות, נפט, גז, תחבורה ושירותי תשתית.

היכולות החדשות שולבו ב-Zero Networks Segment, מרכיב מרכזי בפלטפורמת ה-Zero Trust של החברה. זו פלטפורמת SaaS אוטומטית לחלוטין שלומדת את כל תעבורת הרשת ומגבילה את הגישה של כל מחשב וכל משתמש בארגון למינימום ההכרחי – ומחייבת אימות רב-שלבי בפעולות רגישות. לדברי החברה, שירות ה-SaaS מוטמע תוך דקות ומתחיל לרוץ תוך כ-30 יום בלבד – לעומת מספר שנים שנדרשות להטמעה של פתרונות סגמנטציה אחרים שלעתים קרובות לא מספקים הגנה מקיפה.

דו"חות שונים מעידים על כך שמפעלי ייצור היו בראש רשימת המטרות של מתקפות כופרה בשנת 2023. בנוסף לכך, מסמך של הסוכנות הממשלתית של ארה"ב להגנה מפני מתקפות סייבר ותשתיות (CISA) מצביע על כך שקבוצות תקיפה מגבירות את פעילותן נגד מערכות OT של תשתיות קריטיות. בשני מגזרים אלה הסיכון לשיבוש ההמשכיות התפעולית והסכנה הפוטנציאלית לציבור מגדילים את הסיכוי שהארגונים הללו ישלמו את דמי הסחיטה שההאקרים דורשים.

בני לקונישוק, מייסד משותף ומנכ"ל זירו נטוורקס, הסביר כי "היסטורית, סגמנטציה של מכשירי OT היתה קשה מאוד לביצוע ויקרה. לאור הקלות שבה ניתן לפרוץ למכשירי OT, נוצרה בעיית אבטחה חמורה במגזרים עתירי מכשירים מסוג זה כמו סביבות ייצור ותשתיות קריטיות. אנו מצמצמים את משטח התקיפה נגד מכשירים אלה ומנטרלים את היכולת של האקרים לגרום נזק, אפילו אם הצליחו לפרוץ לרשת או השיגו הרשאות של מנהל רשת".

חברת המחקר העצמאית ESG (Enterprise Strategy Group) ביצעה תיקוף של הפלטפורמה שפיתחה זירו נטוורקס ופירטה כיצד Zero Networks Segment יוצרת מיקרו אזורים מאובטחים בנכסים ארגוניים המחוברים לרשת, כולל מכשירי OT, וחוסמת מתקפות כופרה ותנועה רוחבית ברשת. בנוסף לכך, ESG גילתה שזירו נטוורקס חוסכת לארגונים בממוצע 87% מהעלויות שאחרת היו מוקצות לפתרונות מיקרו סגמנטציה באמצעות פיירוולים ו-75% מהעלויות לעומת פתרונות סגמנטציה מסורתיים.

Zero Networks נוסדה בשנת 2019, ומנוהלת על ידי בני לקונישוק (מנכ"ל) ואמיר פרנקל (סמנכ"ל הטכנולוגיות). החברה גייסה מהקמתה 45 מיליון דולר במצטבר, מתוכם 20 מיליון דולר בסבב B שנסגר בסוף 2023. החברה, שמעסיקה 65 עובדים, 35 מהם בתל-אביב, והיתר במשרדים בארה"ב ובאירופה, מגייסת בימים אלה עובדים נוספים על מנת לתמוך בצמיחתה המואצת. הפתרון של Zero Networks הושק במרץ 2022 ולאור יכולותיו החלוציות הוא זכה בהצלחה יוצאת דופן בשוק העולמי מכירות החברה הגיעו בתוך 9 חודשים מההשקה למיליוני דולרים וצמחו בשנה השנייה פי 5 והיא צברה רשימה מגוונת של לקוחות בארה"ב, אירופה והמזרח התיכון.

ווטרפול מנסה לפתור את אתגר האבטחה של הפעלה-מרחוק של רשתות תעשייתיות

[בתמונה: צוות החברה במשרדיה בישראל. מקור: עמוד הלינקדאין של החברה]

חברת הסייבר ווטרפול סקיוריטי (Waterfall Security) השיקה מוצר אבטחה חדש, שנועד לתת מענה לאחד מאתגרי האבטחה הגדולים ביותר בעולם התעשייתי: כיצד לאפשר גישה בטוחה מרחוק לרשת תפעולית כלשהי (OT). גישה כזו מרחוק נדרשת, למשל, במקרים שבהם יש צורך לתפעל או לתקן מערכת תפעולית כלשהי המצויה באתר מרוחק.

מוצר הדגל של ווטרפול, Unidirectional Gateway, מתבסס על רכיב חומרה שמייצר חיץ "פיזי" חד-כיווני בין הרשת התפעולית (OT) לרשת המידע החיצונית (IT). פתרון זה מספק, להערכת החברה, אבטחה הרמטית מפני חדירה לרשת, תוך כדי שהוא מאפשר למשתמש לקבל דיווח של נתונים מהמערכת התפעולית, כמו למשל במערכות אנליטיקה, טלמטריה וחיזוי עסקי (BI).

התעשייה רוצה "גישה מרחוק"

ווטרפול עובדת מול חברות תעשייתיות ממגזרים שונים כמו תשתיות קריטיות, גז ונפט, אנרגיה מתחדשת וכדומה. לדברי מייסד ומנכ"ל החברה, ליאור פרנקל, בשיחה עם Techtime, ככל שרמת האוטומציה בתעשיות שונות הולכת ומשתכללת כך גם יש צורך גובר בפתרונות של תפעול מרחוק של אתרים. "השוק משתכלל והמערכות התעשייתיות עברו מודרניזציה. כיום ניתן להפעיל מערכות מרחוק, ובתעשייה מחפשים פתרונות שיאפשרו לממש באופן בטוח את היכולת הזו. זה יכול לחסוך בצורה ניכרת בעלויות תפעוליות וכוח אדם. במקרים רבים, זה לא אפשרי לשלוח אנשים לכל אתר ואתר, כמו למשל תחנת תמסורת באמצע צינור גז במדבר".

הפלטפורמות הקיימות של גישה מרחוק מתבססות למעשה על שרת וירטואלי בענן (VPN) שמתווך בין שני המחשבים. ואולם, בפלטפורמות הללו, נוצר למעשה תקשורת ישירה עם הרשת התפעולית, תקשורת שפותחת אותה לסכנות של העולם החיצוני, וזאת תוך שימוש בשכבת הגנה מבוססת-תוכנה כמו "חומת אש".

פרנקל: "זו חלופה עם רמת סיכון בלתי סבירה, כי היא מחייבת אותך לפתוח את הרשת התפעולית לעולם החיצוני, ויש בכך סיכונים רבים. כמו כן, הפרוטוקולים של פלטפורמות הגישה מרחוק הם מאוד מורכבים, ועל כן מספקים כר פורה לניצול של האקרים. גם המחשב שממנו אתה מנהל את התקשורת עם השרת המרוחק חשוף לסכנות כמו השתלטות או גניבת זהות. עם זאת, בהיעדר חלופות, אנשים בעולם התעשייתי נאלצים לעיתים לקחת את הסיכון הזה".

תקשורת ישירה מדומה

הפתרון החדש של ווטרפול, שזכה לשם HERA (Hardware Enforced Remote Access), מנסה לשמר את היכולת לתפעל מרחוק, באופן אינטראקטיבי, את מערכת הבקרה התעשייתית – וזאת מבלי שתתקיים בפועל תקשורת ישירה בין מחשב המשתמש לרשת התעשייתית.

כיצד הדבר אפשרי? נתחיל בצד המשתמש: במחשב שלו מותקן מסוף (client) של ווטרפול, שבו הוא מקליד את הפעולות שהוא רוצה לבצע במחשב התעשייתי המרוחק. תפקידו של המסוף הוא להעביר הלאה, באופן נקי ומוצפן, אך ורק את הקשות המקלדת ותנועות העכבר של המשתמש. ההצפנה של פעולות אלה מתבצעת באמצעות רכיב ה-TPM המותקן במחשב המשתמש. זהו רכיב חומרה המצוי במרבית מחשבי הפרימיום בשוק, הוא מותקן על גבי לוח-האם ותפקידו הוא לשמור את מפתחות ההצפנה הייחודיים של המחשב. המסוף של ווטרפול עושה שימוש במפתחות ההצפנה הללו כדי להצפין את התקשורת.

בשונה מפלטפורמות הגישה-מרחוק, פעולותיו של המשתמש עוברות הלאה אל המחשב המרוחק על גבי פרוטוקול מינימלי ופשוט, שלמעשה אוצר אך ורק את הקשות המקלדת ותנועות העכבר. כך למעשה שום פיסת קוד זדונית לא יכולה לעבור ממחשב המשתמש למחשב המרוחק – מאחר שלתוקף אין שום "קוד עודף" שהוא יכול לנצל ולהעביר לרשת ה-OT.

גם במחשב של הרשת התעשייתית המרוחקת יש אמצעי אבטחה, בדמות רכיב חומרה, HERA Gateway, שמפלטר את אריזות המידע  הנכנסות ויודע, על סמך מפתחות ההצפנה של ה-TPM, שמדובר במשתמש מורשה ושרק הפקודות הבסיסיות ביותר נכנסות פנימה. לאחר שעברו את תהליך הבדיקה, הפקודות המבוקשות מבוצעות במחשב התעשייתי.

בנוסף לעובדה שהתקשורת מוגבלת ללחיצות עכבר ומקלדת, מוצפנת ומאושרת, ישנה הפרדה מבוססת חומרה בין התקשורת הנכנסת לתקשורת היוצאת (התקשורת היוצאת היא למעשה "צילומי מסך") מרשת ה-OT – כל כיוון תקשורת מתקיים על גבי שער הפרדה חד-כיווני נפרד, שמאפשר למידע לזרום רק בכיוון אחד.

פרנקל: באופן הזה, למרות שלא באמת נוצר ממשק ישיר בין שני המחשבים, למשתמש יש חוויה אינטראקטיבית של גישה-מרחוק. הוא מבצע פעולות ומקבל גם חיוויים מהרשת התעשייתית בזמן אמת. בתצורה הזו, כל ניסיון פריצה מחייב משאבים ורמת תחכום שלמעשה הופכים את המשימה לכמעט בלתי אפשרית".

ווטרפול, שהוקמה ב-2008, מעסיקה כ-150 עובדים, מרביתם בישראל וכ-20 עובדים בסניף החברה בוושינגטון. לחברה יש אלפי לקוחות בארץ ובעולם, כשהסקטורים המרכזיים הם אנרגיה וחשמל, גז ונפט, מים וכימיקלים.