4963*
Infinity Labs R&D
Infinity Labs R&D

כיצד זיהוי אנומליות היה יכול לעצור את פריצת SolarWinds

תארו לעצמכם אתם מתחילים את יום העבודה: קפה ביד, מרגישים בטוחים לגבי מערכות אבטחת הסייבר בחברה שלכם, ואז, לפתע, אתם מגלים שהמערכת שעליה סמכתם כל כך עבדה בשקט נגדכם במשך חודשים. נשמע כמו תסריט של סרט? זה בדיוק מה שקרה ב-2020, באחת ממתקפות הסייבר ההרסניות ביותר אי פעם – פריצת SolarWinds.

זו לא הייתה סתם עוד פריצה – היא חשפה את השבריריות של מערכות האבטחה הדיגיטליות שלנו.  SolarWinds, חברה מטקסס ושחקנית מרכזית בתחום תוכנות ניהול IT, הפכה בעל כורחה לדלת הכניסה למתקפת שרשרת אספקה עצומה דרך מוצר הדגל שלה: Orion – תוכנה לניהול, ניטור ואופטימיזציה של תשתיות, רשתות ואפליקציות בסביבות ארגוניות מורכבות.

למעלה מ-18,000 ארגונים – כולל ענקיות טכנולוגיה כמו מיקרוסופט וסיסקו, סוכנויות ממשל אמריקאיות כמו משרד לביטחון פנים ומשרד האוצר, וחברות ישראליות כמו צ'ק פוינט, סייברארק וראדוור – נפגעו מהפריצה רחבת ההיקף הזו.

פריצת SolarWinds: חדירה מתוך הבית

דמיינו פורץ שלא צריך לשבור חלון או לפרוץ מנעול – הוא פשוט מקבל מפתח ליד. כך בדיוק התנהלה פריצת SolarWinds. קבוצת האקרים, המיוחסת ל-APT29 הרוסית (המכונה Cozy Bear), חדרה לתהליך הפיתוח של SolarWinds והטמיעה קוד זדוני בשם SUNBURST בתוך עדכוני התוכנה של Orion. עדכונים אלה, שנחתמו עם אישורים תקפים ובאמצעות כלי החתימה של SolarWinds עצמה, נראו לגיטימיים לחלוטין.

אלפי לקוחות תמימים הורידו את העדכונים ובכך פתחו להאקרים דלת אחורית לרשתות הארגוניות.
ההשלכות היו קשות: חברות סבלו מפריצות נתונים משמעותיות, תקשורת ממשלתית מסווגת נחשפה ותשתית אבטחה קריטית נפגעה. קורבנות בכירים, כולל סוכנויות אמריקאיות גדולות ותאגידים גלובליים, עמדו בפני סיכון של גניבת קניין רוחני, שיבושים בפעילות ונזק תדמיתי לטווח ארוך.

החלק המדאיג ביותר? התוקפים אספו מודיעין בקפידה לפני שעשו מהלך. הקוד הזדוני SUNBURST  עוצב כך שיישאר רדום במשך שבועות ואף חודשים לפני שיפעל, לאחר שהפעילו אותה, היא תקשרה עם שרתים חיצוניים תוך השתלבות חלקה עם תעבורת הרשת הרגילה – כמו פולש בבית שלכם שיודע בדיוק איך להימנע מכל רצפה חורקת ומצלמת אבטחה.

כיצד התגלתה ונפתרה המתקפה

הפריצה התגלתה לבסוף בדצמבר 2020, כאשר חברת הסייבר FireEye – לקוחה של SolarWinds –  הבחינה בפעילות חשודה ברשת שלה. החקירה שלהם הובילה לגילוי הנוכחות המוסתרת של SUNBURST  בעדכוני תוכנת Orion. FireEye, יחד עם מיקרוסופט וסוכנות הסייבר והאבטחה של ארה"ב (CISA), מיהרו להשיק ניתוח מעמיק וחשפו את ממדי הנזק. SolarWinds והשותפות לאבטחה שיחררו תיקונים דחופים והורו לכל הלקוחות לנתק מיד את מערכות Orion המודבקות. היה זה מאמץ בינלאומי מתואם לשיקום מערכי הסייבר.

פריצת SolarWinds לא הייתה עוד מתקפה – אלא קריאת השכמה עוצמתית. היא הראתה עד כמה עמוק אפשר לנצל את האמון בשרשראות אספקת תוכנה, למה אבטחת סייבר חייבת להתפתח מעבר להגנות סטטיות ולהבנה שפתרונות מסורתיים כבר אינם מספיקים. זיהוי אנומליות מבוסס בינה מלאכותית, ניתוח התנהגותי, וניטור פרואקטיבי אינם עוד אופציונליים – הם חיוניים למניעת הפריצה הנרחבת הבאה.

למה מערכות אבטחה מסורתיות נכשלו?

אבטחת הסייבר המסורתית דומה למעין שוער שבודק תעודות זהות בבניין. אם מישהו מציג אישור תקף, הוא מוכנס ללא בדיקות נוספות. אבל מה אם האישור הזה אינו באמת שלהם?

  • אמון עיוור בשרשרת האספקה: עדכונים מחברה מוכרת התקבלו אוטומטית ללא בדיקה נוספת. מכיוון שלעדכוני Orion שנפגעו היו אישורים רשמיים, הם עברו בדיקות אבטחה מבלי להפעיל אזעקות.
  • חולשות בזיהוי מבוסס חתימות: אנטי-וירוסים חיפשו תבניות מוכרות, מכיוון ש-SUNBURST הייתה חדשה לגמרי, לא היה דפוס שהתוכנה הייתה צריכה לזהות, כך שהיא חמקה מבלי משים.
  • מערכות זיהוי חדירות נוקשות: מערכות אלו נועדו לתפוס התקפות התואמות דפוסים ידועים. אבל SUNBURST לא פעלה לפי ספר הפעולות האופייני. היא נשארה מוסתרת, נעה בשקט בין רשתות וחיכתה להפעלה.
  • חוסר ניטור פנימי: הארגונים התמקדו בהגנה מפני איומים חיצוניים בלבד. זה כמו לנעול את דלת הכניסה שלך אך לשכוח לבדוק אם מישהו כבר מסתתר בפנים. ללא מעקב אחר פעילות פנימית, קל היה לפספס את סימני האזהרה לפריצה.

 

כיצד זיהוי אנומליות היה משנה את התמונה

בואו נחזור לאנלוגיית השוער. מה אם, במקום רק לבדוק תעודות זהות, הוא גם היה שם לב להתנהגות החשודה של האנשים? מישהו שמסתובב באזור מוגבל או מנסה להיכנס לחדרים שהוא לא אמור להיות בהם היה מעורר חשד. זהו הרעיון המרכזי מאחורי זיהוי אנומליות.

זיהוי אנומליות משתמש בבינה מלאכותית כדי לחפש התנהגות חריגה. במקום להתמקד רק בסוגי התקפות ידועים, מערכות אלה לומדות מה נורמלי ומדגישות כל דבר שלא מתאים.

  • גילוי מוקדם: בינה מלאכותית יכלה לשים לב לתקשורת מוזרה בין תוכנת Orion הנגועה לשרתים חיצוניים, גם אם הודעות אלה לא נראו מסוכנות במבט ראשון.
  • זיהוי התנהגות חריגה: על ידי מעקב אחר התנהגות משתמשים ומערכות, הבינה המלאכותית עשויה הייתה לסמן פעולות מוזרות, כמו העברות נתונים גדולות או משתמשים המקבלים גישה רבה יותר ממה שצריך.
  • למידה מתמדת והסתגלות: בניגוד למערכות אבטחה מסורתיות המסתמכות על חוקים קבועים, זיהוי אנומליות משתפר עם הזמן. הוא מעדכן באופן קבוע את הבנתו לגבי מה נורמלי כדי להתאים לשינויים.
  • קיצור זמן גילוי הפריצה: בהתקפת SolarWinds, האקרים נשארו בתוך רשתות במשך חודשים מבלי להתגלות. זיהוי אנומליות יכול היה לקלוט סימנים קטנים של צרות הרבה יותר מוקדם.

 

הצד הטכני של זיהוי אנומליות

עכשיו, בואו נפרק איך זיהוי אנומליות עובד. חשבו על זה כמו אימון בינה מלאכותית לזיהוי דפוסים בתעבורת רשת, פעילות משתמשים, והתנהגות מערכת.

  • Isolation Forests: אלגוריתם שמפרק מידע לגורמים ומחפש חריגות.   טכניקת למידת מכונה זו מזהה נקודות נתונים חריגות על ידי פירוק אקראי של נתונים לחלקים קטנים יותר. זה כמו לגזום ענפים מעץ כדי למצוא עלה בעל מראה מוזר. באבטחת סייבר, זה עוזר לזהות תעבורת רשת מוזרה שאינה תואמת את הדפוס הרגיל.
  • Convolutional Autoencoders: רשתות נוירונים שמגלות מתי הנתונים אינם מתאימים למודל הרגיל. רשתות נוירונים אלו מנסות לשחזר נתונים שהן ראו בעבר. אם הן מתקשות לעשות זאת, זה בדרך כלל אומר שמשהו לא בסדר. לדוגמה, אם ה-AI לא מצליח לשחזר כראוי את מה שאמורה להיות חבילת נתונים רגילה, זה עשוי לאותת על שיבוש.
  • Adversarial Training: שיטה זו מלמדת AI לזהות נתונים נורמליים וזדוניים כאחד. זה כמו לאמן שומר לא רק לבדוק תעודות זהות אלא גם לזהות טריקים נפוצים שמתחזים משתמשים בהם.

 

עתיד הסייבר: שילוב בין ישן לחדש

דמיינו מערכת אבטחה שלא רק עוקבת אחר חוקים נוקשים אלא גם לומדת עם הזמן, משתפרת בזיהוי איומים חדשים עוד לפני שהם הופכים לבעיה. לשם הולך עולם אבטחת הסייבר.

זיהוי אנומליות אינו בא להחליף כלים קלאסיים כמו חומות אש ותוכנות אנטי-וירוס – הוא פועל לצידם. הוא מוסיף שכבת הגנה נוספת שיכולה לזהות דברים ששיטות מסורתיות עלולות לפספס.

עם זיהוי אנומליות מבוסס AI, ארגונים יכולים:

  • לזהות איומים חדשים לפני שהופכים לקריטיים.
  • לצמצם התרעות שווא על ידי הבנה טובה יותר של התנהגות נורמלית.
  • להגיב מהר ומדויק יותר הודות להתראות מהירות ומדויקות יותר.

 

ככל שעולם אבטחת הסייבר מתפתח, נושאים חדשים עולים כמו ניהול סיכוני שרשרת האספקה (SCRM) הפכו להיות נפוצים יותר. התקפת SolarWinds הדגישה את הצורך הקריטי בפרקטיקות SCRM  חזקות לאבטחת שרשראות אספקת תוכנה ולמניעת פריצות דומות. שילוב זיהוי אנומליות עם אסטרטגיות SCRM יכול לחזק עוד יותר את ההגנות על ידי זיהוי פעילויות חשודות בתוך שרשראות אספקה, תוך הבטחה שאפילו מקורות מהימנים נבדקים באופן רציף.

כלי אבטחת סייבר מודרניים מבוססי בינה מלאכותית צצו כדי להתמודד עם אתגרים אלה. פלטפורמות כמו Darktrace, המשתמשת בבינה מלאכותית לומדת עצמית כדי לזהות ולהגיב לאנומליות בזמן אמת, Microsoft Defender for Endpoint, המנצלת בינה מלאכותית לזיהוי איומים מתמידים מתקדמים, ו-CrowdStrike Falcon, פלטפורמת אבטחה מבוססת בינה מלאכותית מבוססת ענן, מובילות את המאבק בזיהוי איומים פרואקטיבי. בנוסף, Google Chronicle מספקת ניתוח אבטחה משופר בבינה מלאכותית, המאפשר לארגונים לנתח במהירות כמויות עצומות של נתוני אבטחה כדי לזהות אנומליות. כלים אלה, בשילוב עם אסטרטגיות SCRM, עוזרים לארגונים להישאר צעד אחד לפני איומי סייבר מתפתחים, ומבטיחים תשתית דיגיטלית חסינה יותר.

מחשבות לסיום: להיות תמיד ערניים

פריצת SolarWinds לימדה את עולם הסייבר שיעור יקר ערך. היא חשפה את הפגיעות העמוקה שקיימת אפילו במערכות הנחשבות לבטוחות ומהימנות ביותר. המתקפה הזו הדגישה שהאמון העיוור בתוכנות, אפילו אלו שמגיעות ממקורות מוכרים, עלול להוביל לתוצאות הרסניות.

האתגר האמיתי בעידן הדיגיטלי הנוכחי אינו רק לבנות חומות גבוהות יותר, אלא לפתח מערכות שיכולות לזהות התנהגויות חשודות בזמן אמת. זיהוי אנומליות מבוסס בינה מלאכותית מייצג את הדור הבא של אבטחת סייבר – כזה שלא רק מגיב לאיומים מוכרים, אלא מזהה דפוסים חריגים לפני שהם מתפתחים לפריצות מלאות.

ככל שהעולם הופך למחובר יותר, והאיומים נעשים מתוחכמים יותר, אנו חייבים לאמץ גישה דינמית ואדפטיבית לאבטחה. במקום להסתמך על פתרונות סטטיים, עלינו להשקיע בטכנולוגיות שמתפתחות ולומדות ללא הרף, בדיוק כפי שעושים היריבים שלנו.

לכן, בפעם הבאה שהמחשב שלכם יבקש לעדכן תוכנה, כדאי לשאול את עצמכם: האם יש לנו את המערכות המתאימות לוודא שרק מה שאנחנו מצפים לו באמת נכנס לרשת שלנו? והאם אנחנו מוכנים להתמודד עם האיומים של מחר, ולא רק של היום?

ואם תרצו להתעמק באופן שבו זיהוי אנומליות עובד, שקלו להצטרף להכשרת הבינה המלאכותית הבאה שלנו. תוכנית זו נועדה לעזור לכם לשלוט במיומנויות הנדרשות להבנה, יישום וחידוש בתחומים כמו אבטחה מבוססת בינה מלאכותית, ולהבטיח שתהיו מוכנים להתמודד אפילו עם האיומים המתוחכמים ביותר.

מידע נוסף שעשוי לעניין אותך..
CISO: קצין אבטחת מידע הראשי

אתגר של CISO: שמירה על הרשת בקרב אנשי IT פנימיים

בנוף הדיגיטלי המקושר של ימינו, ארגונים מסתמכים במידה רבה על תשתית הרשת שלהם כדי לנהל פעולות עסקיות ביעילות. עם זאת, תלות מוגברת זו בטכנולוגיה מביאה גם סיכונים משמעותיים כאשר איומי

המשך קריאה »
אילו תפקידים קיימים בתחום הסייבר

סייבר: אילו תפקידים קיימים בתחום הסייבר ומהן האופציות שלכם?

בסיום העשור הראשון של המאה ה-21, עולם הטכנולוגיה והתקשורת עבר שינויים עצומים ומהירים. האינטרנט הפך לחלק בלתי נפרד מחיינו, והתקשורת הדיגיטלית הפכה לשגרתית ומהירה. עם התפתחות הטכנולוגיה, התפשטו גם איומי

המשך קריאה »
מהי התקפת DDoS ואיך מונעים אותה

מהי התקפת DDoS ואיך מונעים אותה?

בעולם הטכנולוגי של היום איומי אבטחת הסייבר ממשיכים להתפתח ומציבים אתגרים משמעותיים לעסקים, ארגונים ויחידים כאחד. איום כזה שזכה לשמצה בשנים האחרונות הוא מתקפת מניעת שירות מבוזרת (DDoS). ככל שהנוף

המשך קריאה »

השאירו פרטים ונחזור אליכם בהקדם:

*מיקום מועדף להכשרה
*האם הרחבת מדעי המחשב או מקצוע משיק בתיכון?
*האם יש לך נכונות לעבור סיווג בטחוני?
מומלץ לצרף קורות חיים:
בהשארת הפרטים, הנכם מסכימים למדיניות הפרטיות שלנו.