חדשות היום
New-Tech Military Magazine
- אוקטובר 14, 2014

“סייבר רענן” – שדה הקרב הקיברנטי

לא הרבה בישראל יודעים כי במקביל ללחימה האחרונה ברצועת עזה, הקרקעית, הימית והאווירית, בלמה ישראל מתקפה קשה בתחום הסייבר.
“ראינו מאמץ איראני משמעותי בתחום לוחמת הסייבר. לא ראינו היקפים כאלה בעבר, גם לא בסוג היעדים”, סיפר קצין בכיר בצה”ל לכתבים. מתברר שהאיראנים תקפו מספר תשתיות תקשורת בישראל, כולן כנראה אזרחיות. אחת ההצלחות האיראניות הייתה גלויה, כאשר חשבון הטוויטר של דובר צה”ל נפרץ ונשתלה בו הודעה כי “הכור הגרעיני בדימונה נפגע בהתקפת טילים וכי קיימת סכנה לדליפה רדיואקטיבית”.
במאמר שפרסמו החוקרים, גבי סיבוני וסמי קרוננפלד, מהמכון למחקרים אסטרטגיים INSS, תחת הכותרת “תקיפת סייבר איראנית במהלך מבצע צוק איתן”, מתארים החוקרים את מימדי המתקפה הקיברנטית:
“הכניסה הקרקעית לרצועה הביאה, על פי ראש מחלקת הגנת הסייבר בצה”ל, לזינוק משמעותי בהיקף המתקפות כנגד ישראל ולעיתים אף בתחכומן. המתקפות הגיעו לשיאן ב-25 ביולי 2014, היום השישי האחרון של הרמדאן, המצוין באיראן כ”יום ירושלים”, יום התנגדות לישראל ולציונות, כאשר גורמים איראניים בשיתוף האקרים מרחבי העולם, הוציאו אל הפועל מתקפה רחבה כנגד מספר רב של אתרים ישראלים במטרה לחסמם לתקופות זמן ארוכות. המתקפה נחסמה במאמץ משולב של גורמי צה”ל ושב”כ, אשר היו ערוכים לקראתה”.
כיום נמצא תחום הגנת הסייבר בישראל במטה ללוחמת סייבר במשרד ראש הממשלה, שמרכז את הפיקוח הידע והרגולציה בעניין. ספקי המודיעין של המטה ללוחמת סייבר הם צה”ל על יחידותיו באמ”ן ובחיל התקשוב ויחידת רא”ם, יחידת הסייבר של השב”כ. ההערכה היא כי בימים “רגילים”, מתמודדת ישראל עם כ-100,000 התקפות סייבר ביום, ובזמן משבר, כמו המבצע בעזה, מגיע מספר ההתקפות היומיות לכמעט מיליון.
אם כך, לא פלא שתעשיית ההיי טק הישראלית מתמקדת בשנים האחרונות בפיתוח מערכות הגנה בסייבר. רק לאחרונה ראינו את ההנפקה המוצלחת של סייבר ארק בבורסה של ניו יורק שנעשתה על פי שווי של כמעט מיליארד דולר.
מי שנכנסה בשנים האחרונות בסערה לתחום היא חברת אלביט שפיתחה שורה של מוצרים בתחום הגנת הסייבר, שמותאמים בעיקר לרמה הלאומית.
אחד המוצרים הבולטים של אלביט היא מערכת FIDEF. המערכת מותאמת בעיקר לתשתיות לאומיות המתבססות על רשתות OT – OPERATIONAL TECHNOLOGY. לדברי יוחאי כורם, סמנכ”ל השיווק ביחידת פעילות הסייבר של אלביט מערכות, מדובר במוצר נדיר בשוק, שכן הוא מתמקד בפרוטוקול SCADA שאינו נפוץ.
“ה-FIDEF הוא למעשה מעין רכיב בוהה שיושב בתוך המערכת ומנטר באופן קבוע את פעילותה. רכיב ה-FIDEF לומד את אופי ואופן פעולת המערכת ומגדיר לעצמו את דפוס הפעולה הקבוע שלה , כולל למשל את קוד ההרשאה של כל מפעיל. אחרי שבסיס הנתונים הזה נבנה ונשמר, המערכת למעשה עוקבת אחרי הפעולות. כל פעולה שנראית ל-FIDEF חריגה, מופיעה מיד כהתרעה למתקפה אפשרית. חייבים לציין שהרכיב הוא פסיבי בלבד, ותפקידו רק להתריע ולא לפעול נגד האיום או לחילופין להשבית את המערכת. בתשתיות קריטיות כמו למשל גנראטור או משאבת מים, להשבתת המערכת יכולה להיות משמעות הרסנית. מעבר לכך ה-FIDEF מאפשר למפעילי המערכת להתחקות לאחור על בסיס הקלטת נתונים במידה וזוהתה התקפה. המרכיב הזה חשוב מאד ללמידה ואיסוף מודיעין על התקפות פוטנציאליות בעתיד”.
אחת הבעיות בתחום הגנת הסייבר בכל הקשור לתשתיות מדינה, היא הרגולציה ושיתוף הפעולה הבין ארגוני. לעיתים קרובות כאשר התקפה כזו מצליחה, הגוף המותקף אינו מפרסם זאת, בעיקר אם מדובר בגוף מסחרי/כלכלי שנסחר למשל בבורסה. להודאה/הודעה כזו יכול להיות מחיר כלכלי כבד. כאן אמורה להיכנס הרגולציה. כיום, מבחינת החוק בישראל, גופים פרטיים אינם מחויבים בדיווח כזה. כחלק מפתרון הבעיה פיתחה אלביט את CYBER SHIELD, מערכת לשיתוף מידע בכל הקשור ללחימת סייבר ברמה של תשתיות מדינה.
“מדובר למעשה במעין רשת חברתית סגורה שבה מנוהל ידע ומידע בעניין הגנת סייבר”, אומר כורם.
“הרשת מאפשרת קודם כל ריכוז של מידע, שבלחימת סייבר הוא מרכיב קריטי בהתמודדות עכשווית מול מתקפה ועתידית בכדי למנוע אותה. כתובות IP חשודות, התחקות אחרי תעבורת מידע שרתים ופעולות רבות נוספות. כל אלה יוצרים בסיס ידע שעל פיו ניתן להיערך מערכתית.
“כיום מחוברים ישירות למערכת שנמצאת במטה הסייבר הלאומי כל הגופים הממשלתיים בישראל, חברות ביטחוניות מונחות רא”ם ומשרד הביטחון ותשתיות לאומיות. לגבי שאר הגופים, השיח איתם נעשה דרך דו”ח תקופתי שמוזן למערכת.
בעיה נוספת בהגנת סייבר היא ההבנה כי הארגון נמצא תחת התקפה. לעיתים ההתקפה מזוהה רק בדיעבד, אחרי שהנזק כבר נעשה. כך קרה למשל במתקן האירני להעשרת האורניום. תולעת ה”סטוקסנט”, שהוחדרה למתקן גרמה לצנטריפוגות להסתובב במהירות גדולה מדי ובכך גרמה לפיצוצן. רק אחרי כמה חודשים הבינו האיראנים כי מדובר בלוחמת סייבר
(כמובן שבישראל לא מצטערים על כך… נאמר רק שמומחי סייבר טענו כי תולעת כזו יכולה להיות מפותחת רק על ידי מדינה בשל תחכומה ומורכבותה). אלביט, בלי קשר לעניין האירני… פיתחה גם בתחום הזה מערכת מיוחדת לתרגול מתקפות סייבר שדומה באופן הפעלתו לסימולאטור טיסה.
הסימולאטור חושף את מגיני הסייבר לשורה של מצבים ותרחישים המדמים מתקפת סייבר אמיתית. הסימולאטור מאפשר להתנסות באופן אישי וקבוצתי באיתור ובהתמודדות מול מתקפות ואירועי סייבר, ניהולם והטיפול בהם ומסייע ללמד להתגונן מפני מתקפות עתידיות באמצעות התנסות בתנאי סימולציה בהגנה על רשתות. משולבים בו תרחישים ואיומים משתנים המאפשרים להיערך לתרחיש אמת תוך לקיחת כל המשתנים בחשבון. נוסף על כך, בסוף התרגול, בדומה לסימולאטור טיסה, המאמן מאפשר לבצע תחקיר לאחר ביצוע ולהפיק לקחים, ולבצע מעקב מתועד אחר התקדמות רמת המתאמנים במהלך רצף אימונים שלם. כך ניתן לחדד ולשפר את היכולות של המתאמן – לתפקד נכון בעת מתקפת סייבר בזמן אמת.
“אין ספק שבעזרת הסימולאטור הזה אנחנו מצליחים להעמיד את המגן בפני אתגרים אמיתיים”, אומר כורם. “אימון כזה יכול לקחת גם 18 או 24 שעות, וזאת כדי לתרגל מתקפה ארוכה שבה המגן מחליף משמרות ונאלץ להתמודד עם איומים רבים ולאורך זמן. מעבר לכך ניתן גם לתרגל בו הנהלות. למשל, דליפות מידע קריטיות על ידי החדרת סוס טרויאני. האם במקרה כזה צריך להשבית את המייל המרכזי של החברה, אם כן, מה עושים וכיצד מתמודדים עם זאת? אלה תרחישים מציאותיים שניתן לתרגל ולבנות על פיהם מקרים ותגובות “.

אמיר בר שלום

כתבות קשורות

תגובות סגורות