חוקרי פורטינט: פעולת התגמול האיראנית בסייבר לא תהיה מיידית – רצוי לנצל את חלון הזמן להיערכות להפחתת סיכונים

מאת: דרק מאנקי, קארל וינדזור ואמיר לחאני, פורטינט 

התקיפות של ארה"ב וישראל על מטרות איראניות מעלות חששות מיידיים לגבי נקמת סייבר. עולה השאלה – האם תגובת סייבר איראנית בדרך?

נכון למועד כתיבת שורות אלו, יש ראיות מוגבלות לפעולות סייבר איראניות מתואמות בקנה מידה רחב הקשורות ישירות למתקפות. זה לא אומר שרמת האיומים תישאר כזו לאורך זמן.

חוקרי FortiGuard Labs, גוף חקר האיומים והמודיעין של פורטינט, רואים כרגע עלייה בפעילויות סייבר אזורית הקשורות בניסיונות שינוי תודעתי, השחתות, הפרעות שידור וניסיונות חדירה אופורטוניסטיים – הכל מתרחש בצילו של הסכסוך.

בעימותים קודמים ראינו כי מתקפות מתרחבות במהירות מחוץ לשדה הקרב המסורתי, כאשר גורמים מתמקדים אפילו בארגונים עם הקשר הרופף ביותר לאויביהם ומכוונים לא רק למערכות צבאיות, אלא גם לרשתות אזרחיות, תאגידיות וחוצות גבולות ובכך, מגבירים סיכונים ברחבי העולם.

מה שידוע לנו עד כה 

במהלך השבוע החולף, התצפיות כללו:

• השחתה ופגיעה ביישומים ונכסי מדיה איראניים, כולל אפליקציית לוח השנה BadeSaba הנפוצה
• הפרעות בשידור ובתקשורת המפיצות מסרים פסיכולוגיים
• שיבושי קישוריות לאינטרנט בתוך איראן
• הגברת טענות מבוססות טלגרם אודות מתקפות סייבר המכוונות לישראל, ירדן, אפגניסטן וישויות אזוריות נוספות 
• שיח מוגבר המצביע על מיקוד פוטנציאלי בשירותים פיננסיים ותשתיות קריטיות

רוב האירועים הללו מתחלקים לשלוש קטגוריות: פעולות פסיכולוגיות, האקטיביסטיות וניצול אופורטוניסטי של רעש גיאופוליטי.

חשוב לציין כי כיום אין ראיות מאומתות לקמפיינים איראניים הרסניים של תוכנות מחיקה (Wiper) או למתקפות סייבר רחבות היקף על תשתיות הקשורות ישירות למתקפות. זה עשוי להשתנות. היסטורית, תגובות הסייבר האיראניות לאירועים גיאופוליטיים אינן תמיד מיידיות, אך הן עלולות להיות משבשות.

באירועים הקודמים, מפעילים המקושרים לאיראן הפגינו סבלנות. הגישה לעיתים קרובות מתוכננת מראש וההפעלה עשויה להתרחש ימים או שבועות לאחר האירוע הראשוני, כאשר תשומת הלב משתנה וההגנה מתרופפת. ארגונים המפרשים את היעדר התגמול המיידי כסיכון מופחת עלולים למצוא עצמם לא מוכנים אם תתרחש פעילות בהמשך.

המגמה הדחופה יותר: ניצול הרעש

דפוס אחד ראוי לתשומת לב מדוקדקת יותר באופן מיידי: תקופות של הסלמה גיאופוליטית יוצרות סביבה רועשת שגורמי איום – כולל אלה שאינם קשורים ישירות לסכסוך – מנצלים לעיתים קרובות לטובתם האישית. זה כולל השקת קמפיינים של פישינג בנושא חדשות מתפרצות, הפצת התראות מזויפות מלאות תוכנות זדוניות או עדכוני אבטחה מזויפים, כולם מוסווים בתוך הכאוס המתפתח.

כמה מהטענות שנצפו בטלגרם נראות קשורות באופן רופף לקבוצות פרו-רוסיות או האקטיביסטים אזוריים שפעלו היסטורית מחוץ לתיאום ברור של איראן. בתקשורת הזו ב-Darknet, יש הטוענים למתקפות סייבר נגד גופים ממשלתיים ירדניים, ישראליים או אפגניים, אך רבים מהם חסרים אימות טכני.

סביבות קונפליקט מספקות כיסוי לפעילות זדונית. הייחוס הופך לקשה יותר, הבחנה בין מדדים אמינים לטענות ממוחזרות דורשת מאמץ רב יותר ופעולות דגל כוזב קלות יותר לביצוע. כתוצאה מכך, הסיכון התפעולי של גורמי ההגנה גובר גם כאשר תגובה אסטרטגית מתואמת עדיין לא התרחשה.

פעולות שכדאי לשים לב אליהן

בהתבסס על קמפיינים איראניים קודמים ועל התנהגות איומים אזורית רחבה יותר, ארגונים צריכים להתכונן לטקטיקות שהוכיחו את עצמן כיעילות, כולל:

• תוכנות Wiper זדוניות המתמקדות במגזרי ממשלה או אנרגיה
• קמפיינים מבוזרים של מניעת שירות נגד מוסדות פיננסיים
• קצירת פרטים מזהים סביב נושא של עדכונים הקשורים לקונפליקט
• עדכוני אפליקציות מובייל מזויפים או מתקיני תוכנה מזויפים
• השחתות אתרים שנועדו להניע הגברת מדיה

הפגיעה באפליקציית לוח השנה BadeSaba ממחישה נקודה חשובה. ניצול נרחב של התראות קופצות מרמז על גישה לשרתי ה-backend. גישה כזו כמעט ולא מושגת ביום אחד. זה מרמז על פגיעה מוקדמת או מיקום מראש. גם אם הייחוס נותר לא ברור, הטכניקה משקפת את שיטת הפעולה המודרנית: לקבל גישה מוקדם ולהמתין לתזמון האופטימלי לביצוע.

מדוע ייתכן שלא נראה סימני אזהרה מוקדמים

הקונפליקט הזה אינו דומה לקמפיין סייבר טיפוסי המונע ממניעים פיננסיים. כאשר מעורבות פעולות פיזיות, תיאום תפעולי, אם קיים, לא סביר שיתרחש בערוצים פתוחים. במקום זאת, פעילות התכנון עשויה לעבור לתקשורת מוגבלת או חשאית ולהתרחש זמן רב לפני ההפעלה. המגינים לא צריכים להסתמך על אינדיקטורים גלויים של הגברה בפורומים ציבוריים כאישור לרמות הסיכון.

חשוב לציין כי היעדר סימנים של תכנון פומבי אינו שקול להיעדר הכנה.

מה ארגונים צריכים לעשות כעת

ניסיון קודם יכול לסייע בהכנה לכל פעולת תגמול סייבר עתידית. אם פעולה רחבה תתפתח בהמשך, בהתבסס על טקטיקות, טכניקות ונהלים (TTPs) שנצפו בעבר, סביר להניח שהיא תסתמך על טכניקות ידועות ולא על מתקפות zero day חדשות. קמפייני סייבר גיאופוליטיים רבים מצליחים בזכות עיכוב בעדכונים, שימוש חוזר בפרטים מזהים, חוסר באימות רב-שלבי, שירותים חשופים ובקרות גישה חלשות. הגורמים הללו, יחד עם העובדה שמה שנראה כעימות רחוק עבור רבים, עלולים לגרום לכך שפעילות סייבר זדונית עלולה להגיע במהירות לפתח הארגון שלכם. 

לפניכם מספר צעדים מרכזיים שיש לנקוט בהם: 

מודעות גיאופוליטית למצב: צריך להבין מי מתמקד במי, באילו כלים ומדוע. ניתן להתעדכן במה שקורה דרך מרכזי שיתוף וניתוח מידע (ISAC)  בתעשייה שלכם או על ידי הרשמה לשירות המודיעין של FortiRecon Adversary Centric Intelligence (ACI).

הכשרת אבטחת סייבר: עם הכשרה נכונה, הצוות שלכם יכול להגן טוב יותר על הארגון ולהפוך לקו ההגנה הראשון מפני איומי סייבר. צרו כוח עבודה מודע לסייבר עם הכשרה בעלות נמוכה או ללא עלות, באמצעות הכשרת NSE של Fortinet, הזמינה ללא תשלום. ניתן גם להעשיר את ההכשרה עם סימולציות פישינג אמיתיות כדי להעריך ולשפר את מוכנות הארגון שלכם.

הפעלת אימות רב-שלבי (MFA) ב-VPN, גישה מרחוק ויישומי SaaS: גם אם שם משתמש או סיסמה נפרצים, בין אם בטעות או בכוונה, האבטחה הכוללת של אותו משתמש נשמרת כי הגורמים לא יכולים לקבל גישה לשלב השני, כמו טוקנים או נתונים ביומטריים, שגם נדרש כדי לקבל גישה.

הגדרת תיקונים ועדכונים אוטומטיים: למרות שנים של הנחיות לקידום שיטות תיקון בזמן אמת, חוסר בתהליכי היגיינת סייבר מיטביים נותר אחד האיומים המרכזיים על אבטחת הרשת ושלמותה. תיקון קבוע של פגיעויות הוא צעד יסודי למניעת ניצול על ידי פושעי סייבר. חשוב לשמור על כל התוכנות, מערכות ההפעלה והיישומים מעודכנים עם תיקוני האבטחה האחרונים. התחילו בהקמת תהליך ניהול תיקונים כדי לייעל עדכונים ולהבטיח יישום מהיר. נסו להשתמש ב-AI ומערכות אחרות כדי להפוך משימות תיקון מייגעות לאוטומטיות.

בעוד כי מערכות ישנות רבות אינן ניתנות לתיקון עקב הפעלה רציפה של תהליכים קריטיים, ניתן להגן עליהן מפני פגיעויות באמצעות בקרות פיצוי, כגון חתימות IPS ממוקדות. 

שימוש באבטחת סיסמאות חזקה: השתמש בכלי ניהול סיסמאות ובאימות רב-שלבי כדי לוודא שהסיסמאות עומדות בהנחיות הדרושות. צורות אלו של חיזוק אבטחה ימנעו מסיסמאות שנפרצו להוביל לפגיעה במערכות. שירותים המנטרים פורומים מקוונים ברשת האפלה המוכרים פרטי התחברות גנובים יכולים גם לשמש כאזהרה מוקדמת כדי להבטיח שהסיסמאות מעודכנות לפני שמנצלים אותן. בנוסף, יש לוודא כי מכשירי IoT, כמו מצלמות, מתוקנים ושסיסמאות ברירת המחדל שונו.

הבנה והקטנת משטח התקיפה שלכם: הצעד הראשון להקטנת משטח התקיפה הוא להבין מה יש לכם. התחילו בביצוע ניטור מערכות כדי לגלות אילו יישומים, חומרה והתקני IoT נמצאים ברשת הפנימית שלכם ואל תשכחו להסתכל מחוץ לארגון שלכם. תמיד מועיל לקבל נקודת מבט של מישהו מבחוץ על הרשת שלכם כדי לסייע בביקורת המערכות, זיהוי של מה שנמצא שם וקביעה למי יש גישה למה. 

בניית הגנה לעומק: הניחו שתתרחש פרצה בשלב כלשהו ובנו חוסן אבטחה ויכולת איתור מהיר בכל רמה – 

• חלקו את הרשת שלכם כדי שההשפעה של פרצה תהיה מוגבלת בהיקפה, מה שיסייע בהתאוששות מהירה של הרשת, תוך שמירה על חוסן עסקי.
• גורמי איום יכולים לעיתים להישאר בלתי מזוהים ברשת במשך חודשים. פתרונות איתור ותגובה לרשת, טכניקות הטעיה ואנליטיקה יכולים להאיץ ולפשט את האיתור ותיקון האיומים. פתרונות אלו יכולים לקצר את זמן האיתור ממספר ימים לכמה דקות.
• תתעדו את כל הפעילות לפתרון SIEM מרכזי ותבנו יכולת איתור ותגובה אוטומטית.

גבו את הנתונים: יישמו אסטרטגיית גיבוי ושחזור נתונים חזקה כדי להבטיח שלמות ואבטחת הנתונים. בצעו גיבוי קבוע של נתונים קריטיים והבטיחו כי הגיבויים מאוחסנים בסביבות מאובטחות, מבודדות ומחוץ לרשת. חשוב לא פחות לבדוק את שחזור הנתונים שלכם כדי לוודא כי במקרה של מתקפת כופר או אובדן נתונים, הארגון שלכם יוכל לשחזר במהירות מידע חיוני.

פיתוח ובדיקת תוכנית תגובה לאירועים: צרו תוכנית תגובה מקיפה לאירועים וספרי פעולה קשורים המפרטים את הצעדים שיש לנקוט בהם במקרה של אירוע סייבר. עם זאת, תוכנית שנמצאת במגירה היא בעלת ערך מועט. עליכם גם לבדוק ולעדכן את התוכניות בקביעות כדי להבטיח את יעילותן. זה כולל ביצוע סימולציות כדי לאפשר לבעלי העניין המרכזיים שלכם לתרגל ולחדד את תגובותיהם לסוגים שונים של איומי סייבר.

בניית אמון ושותפויות: מנהלי מערכות מידע וצוותי IT חייבים להכיר בכך כי אבטחת סייבר היא אחריות משותפת. אחד המרכיבים הקריטיים ביותר של אבטחה חזקה הוא בניית שותפויות גלובליות ושיתוף פעיל של מודיעין איומים. זה כולל מעורבות עם ספקים אמינים והשתתפות במרכזי שיתוף וניתוח מידע הרלוונטיים למגזר שלכם. 

דווחו על אירועים במהירות: דיווח בזמן הוא חיוני. ארגונים צריכים להודיע מיד למרכז הארצי לניהול אירועי סייבר (CERT) ולרשויות החוק במקרה של תקרית סייבר.

השורה התחתונה

התצפיות של חוקרי FortiGuard Labs מראות כי כרגע אין פעולות סייבר איראני רחבות היקף מאומתות הקשורות ישירות למתקפות האחרונות. עם זאת, החוקרים הבחינו בעלייה בפעילות סייבר אזורית ועלייה מדידה בהתנהגות אופורטוניסטית. בעימותים כאלה, הגל הראשון הוא לעיתים קרובות רעש. אם יגיע גל שני, הוא עשוי להיות שקט יותר, מתואם וממוקד יותר, כך שחשוב להיות מוכנים למקרה שזה יקרה.

ארגונים שינצלו את חלון הזמן הראשוני הזה לחיזוק היגיינת סייבר, לאכיפת אימות חזק ואימות רב-שלבי ולהפחתת חשיפה, יהיו בעמדה טובה יותר ללא קשר להתפתחות האירועים.