New-Tech Military Magazine | Q1 2022

זה יכול להיות עיסוק נרחב ביעד לתקיפה, או בחולשה שאותרה במערכת כלשהי ופורסמה אי שם, וכעת נפתח חלון הזדמנויות קצר לניצולה. מפתחי הכלים למיניהם יכולים להתייעץ זה עם זה כיצד לנצל את החולשה, ממש כשם שמפתחים נוהגים כיום להתייעץ במערכת ניהול ). אגב, זה לא Git גרסאות מבוססת קוד פתוח ( חייב להיות ברשת האפלה: פעילות כזאת זולגת גם לפורומים שונים, לקבוצות טלגרם ועוד. לכן, קריטי עבורנו להיות גם שם ולהבחין בזמן בכל אותם פרסומים פומביים אך שוליים ביחס לאיתור החולשות. אנחנו חייבים להניח שמי ש"על זה" כעסק יומיומי, שם לב כבר מזמן. מחט בערימת דאטה כאן בדיוק נכנס מודיעין האיומים שלנו ב , שלוקח את פיסות האינפורמציה, Cybersixgill מחבר אותן לכדי תמונה שלמה ושם אותן בקונטקסט הנכון. עבור הלקוחות שלנו את 24/7 אנחנו אוספים כל המידע הרלוונטי מכל המקורות, ובעצם מחפשים מחט בערימת שחת: מתוך שלל אינסופי של מלל, שמשלב ז'רגון אופייני, אנחנו מסוים או כינוי IP יודעים לזהות סאב דומיין, מוכר כלשהו, להצליב את הכול יחד ולהצביע על משהו שמריח לנו לא טוב. , אלא Y אמר X במילים אחרות, זה לא יהיה רק גם זיהוי של מי דיבר, איפה ומה ההיסטוריה, המוניטין והמודוס אופרנדי שלו. ההקשר הזה , שחקן Threat actor יכול להיות ההבדל שבין איום מוכר בעל משמעות מודיעינית גבוהה למשל, לבין מצטרף חדש Fraud בתחום ה- שרוצה להרשים את החברים בפורום. זה יכול גם להיות ההבדל שבין אזכור אגבי של ציטוט מפי גורם בכיר כלשהו, לבין כוונה אקוטית לטרגט אותו כדי לפעול נגדו או כדי להשתמש בו במסגרת פעולה נגד גורם המקושר אליו. ציון פגיעויות ומודיעין מוטה פעולה מפת האיומים שלנו מאפשרת לנו לזהות את מה שמחוץ לשגרה. אבל גם זה לא מספיק: כי מודיעין טוב, כזה שמתריע מבעוד מועד - אם אפשר, עוד בשלב התכנון המקדמי - זה טוב ויפה. אבל מה עושים עם המודיעין הזה? איך הופכים אותו לאפקטיבי? ואיך יודעים שמדובר בסכנה ברורה ומיידית? מעבר להיותו בתוך קונטקסט, מודיעין איכותי -מוכוון פעולה. זאת Actionable צריך להיות הסיבה שפיתחנו עבור הפלטפורמה של סייברסיקסגיל מודול ייחודי, שיודע לדרג את

מידת החומרה של האיום. אנחנו קוראים לזה DVE - Dynamic Vulnerability Exploit ציון - שמכמת ומשקלל את בשלות הפגיעות יחד עם כוונת השחקנים לנצלה. כך מדרגת CVE - Common הפלטפורמה שלנו כל . Vulnerabilities and Exposures למה זה כל כך חשוב? כי בכל רגע נתון מוכרות אלף חולשות, אבל רק אחוזים 150 לנו יותר מ- בודדים מנוצלים בסוף לתקיפות. ברור שאי אפשר להשבית מערכת שלוש פעמים ביום (אפקט ה"זאב זאב", מכירים?), וגם לא כלכלי להשקיע הון בסגירת פרצות לא אקוטיות. מה שכן, מאחר שהרוב המכריע של אירועי ) מתרחש ביום Exploit ניצול הפגיעויות ( שבו הן מתפרסמות, קריטי לתת למגנים פור משמעותי על פני התוקפים. זו המשימה הבוערת שלנו ברגע האמת, כשהמרתון הופך לספרינט. אז נסכם את ארבעת האתגרים המרכזיים שלנו, שכל אחד מהם מתפצל לתתי עולמות ומשימות: להכיר את תמונת המקורות, . איתור - 1 לדעת היכן יכול להסתתר המודיעין הרלוונטי ללקוחות שלנו, ולפתח נגישות אפקטיבית אליהם. התמונה הזאת היא כמובן דינמית: מקורות נסגרים ונולדים כל הזמן, וצריך כאן להיות עם היד על הדופק. לבנות מחדש שוב ושוב את מפת המודיעין בהתאם להיווצרות של מרכזי עניין חדשים. לאסוף באופן שוטף ועקבי את . חילוץ - 2 המודיעין עצמו. זה אולי נשמע כמו מהלך טריוויאלי, אבל כשחושבים על אוקיינוס האינפורמציה, ברור שנדרשים כלי מעקב וזיהוי מתקדמים ואוטונומיים (אם תרצו, מנוע החיפוש של הדארקנט). לעבד את המודיעין ולהבין אותו . ניתוח - 3 בצורה הנכונה ובקונטקסט הנכון. זה מחייב היכרות עמוקה עם שחקני איום מרכזיים, וגם דריכותמתמדת ושדרוג עקבי של המערכות כך שיידעו להקפיץ באופן אוטונומי "ידיעת זהב", או יותר מדויק: ליצור אחת כזאת מחיבור של Machine נקודות. לשם כך יש עבודה רבה של - בתיוג, בהעשרה, בזיהוי טרנדים, learning בחילוץ ישויות ובזיהוי אוטומטי של קשרים בין ישויות. שיתוף פעולה בין יכולת ניתוח אנושית חזקה של אנליסטים לבין אוטומציה ואלגוריתמיקה, מביא ליכולות זיהוי מודיעין רלוונטי ומותאם לקוח. להקפיץ בצד הלקוח . שיקוף אפקטיבי - 4 התרעה שלא מסתפקת בתקרית, אלא דואגת שיידע מה בדיוק קרה, איזו אינדיקציה זו

יכולה להיות, ומה כדאי לעשות. הוא יקבל גם דו"חות שוטפים, אבל אנחנו לא אוספים מודיעין לשם מודיעין- כל מודיעין נאסף לצורך שימוש מבצעי. זיהוי מוקדם, הגנה וסיכול - בשביל זה כל האופרציה הזאת קיימת. , השם שניתן Log 4 Shell ובחזרה לדארקנט ול- לאירועי איתור וניצול החולשה החמורה CVE -2021- (קוד פגיעות: Log 4 j בספרייה .) 44228 מרגע שצוות אבטחת הענן של קבוצת עליבאבא הסינית גילה את הפרצה ודיווח עליה לקרן התוכנה אפאצ'י, שהספרייה משויכת אליה, לא רק הממשלות והחברות עברו לנוהל חירום. הרשת האפלה שקקה מרוב אזכורים ומאמצים לנצל את הפגיעות, רגע לפני שהחלון נסגר. החוכמה הייתה לזהות את השיח הזה בשלב מוקדם ככל שניתן, עוד לפני שהוא הופך לכותרות ראשיות בכל אתרי החדשות. צריך להבין: עליבאבא ידעה על החולשה בנובמבר, היא נחשפה פומבית 24 כבר ב- בדצמבר, ולקח עוד יום עד שמערך 9 רק ב- הסייבר הלאומי בישראל פרסם במוצאי שבת את ההתרעה הדחופה. במונחי עולם הסייבר ואבטחת המידע, כשכל שעה יכולה להיות קריטית - אם זה לצורך השתלטות עוינת על דאטה, מתקפת כופר או שימוש זדוני בכרטיסי אשראי - זמן כזה הוא נצח. מודיעין איכותי שמזהה ומתריע על האיום בזמן יכול להיות ההבדל שבין קטסטרופה ארגונית לחזרה מהירה לשגרה.

.R&D Director גיל קוברי -

«

יח"צ. צילום:

47 l New-Tech Military Magazine