״חוקרי מודיעין הסייבר של סנטינל וואן חשפו קמפיין סיני נוסף״.
מפעם לפעם יפרסמו כותרות כאלו בעיתונים, שבהן מסופר על קמפיין סייבר חדש שנחשף על ידי חוקרי מודיעין מיומנים. אבל מה זה בעצם מודיעין סייבר? איך הוא נוצר, ולמה הוא משמש, והאם הוא ישים בעולם של היום?
מודיעין סייבר הוא שם עדכני למקצוע עתיק יומין (מרגלים האוספים מודיעין מתועדים כבר בסיפורי התנ״ך)- איסוף מידע על האוייב לטובת מבצעי תקיפה או הגנה. מודיעין סייבר הוא למעשה מימוש של מתודולוגיות מחקר מסורתיות רק במימד הסייבר, והוא מתמקד באיסוף, ניתוח ועיבד של מידע הנוגע לאיומי סייבר, קבוצות תקיפה, ההתנהגות שלהן והכלים שלהן.
המטרה באיסוף מידע זה אינה אקדמית, כי אם טקטית. מטרתו להבין, לזהות ולצפות איומים, לייצר התראה מקדימה לתקיפה או לפענח (בדיעבד) תקיפות שבוצעו, והכל מתוך כוונה לצמצם את הנזק שתוקפים מסוגלים להנחיל לארגון או מדינה.
מתודולוגיה
המודיעין הצבאי ה״קלאסי״ עוסק במיפוי כוח הלחימה של האויב שמורכב מאמצעי הלחימה (טנקים, מטוסים, סוגי נשקים(, אופן האימונים והתו״ל של היחידות הלוחמות, והפרסונות שמשפיעות על קבלת החלטות בשגרה ובחירום (גנרלים, ראשי חטיבות וכו׳). מודיעין הסייבר ״מחקה״ את המתודולוגיה הזו רק שבמקום לחקור כלי נשק הוא חוקר כלי סייבר התקפיים ואת אופן השימוש בהם, שמכונה- Tactics, techniques and procedures TTPs-, או בעברית- טכניקות, טקטיקות ונהלים.
להשלמת התמונה של חקר הנוזקות והשימוש בהן, חוקרים גם את הגופים שתוקפים (ידועים בשם ״קבוצות תקיפה״) גם המדינתיים וגם בעולמות פשיעת הסייבר. הגוף שמיסד את המתודולוגיה הזו הוא תאגיד MITRE האמריקני שייסד את MITRE ATT&CK – Framework שממפה את כל התוקפים, טכניקות התקיפה וכלים. MITRE מאפשר התייחסות למזהה חד-ערכי אחד (נניח- APT-29) במקום לשלל שמות שניתנו לקבוצה מסויימת על ידי חוקרים, חברות אבטחה וכו׳.
בנוסף, MITRE ATTA&CK מרכז את כל הטכניקות והכלים שנמצאים בשימוש של תוקפים, וכך ניתן לבצע שיוך על בסיס קונטקסטואלי. לדוגמא- אם ארגון מזהה כלים מסוימים שמשויכים לתוקף מסוים, ניתן להניח שאותו תוקף עומד מאחורי התקיפה.
אופן העבודה של חוקרי סייבר
מחקר סייבר יכול להתבצע באופן תשתיתי ויזום- כלומר, לאסוף באופן שגרתי ושיטתי מידע על קבוצות וכלים, או להתחיל כתגובה לאירוע (לדוגמא- גוף מסוים נפרץ ומנסים להבין מי התוקפים).
מחקר שיטתי ממפה את התוקפים והכלים לפי MITRE ATTA&CK ומנסה למצוא ולייחס להם
מזהים( Indicators), הנקראים גם IoC- Indication of Compromise, זוהי היחידה הקטנה ביותר שעוסקים בה במודיעין הסייבר, מעין ״טביעת אצבע״ דיגיטלית שמאפשרת לחוקרים להתחיל להתחקות אחרי התוקפים. ככל שיימצאו ויפורסמו יותר IoCs יקל על חוקרי אבטחה אחרים לשייך פעילות מסויים לאותה קבוצת תקיפה שכבר זוהתה.
כאשר מתרחש אירוע סייבר חוקרי מודיעין מנסים ללכת אחורה בזמן ו״לספר״ את הסיפור מתחילתו.
העשרה- כתובת IP/ שרת תקיפה. מנסים ״לספר״ את הסיפור מרגע ההיפגעות וזאת על מנת להבין מי תקף, מה חיפש, איזה נזק גרם לארגון והאם יש אחרים שנפגעו גם הם. חוקרי המודיעין של סנטינל חוקרים נסיונות תקיפה של לקוחותינו, ומעשירים את המידע הזה במידע נוסף קיים יהיה בידי הארגון הנתקף אך מצוי אצל בגורמים חיצונים שיכולים להשלים את התמונה- גופים דומים איתם ניתן להחליף מידע, כגון חברות נוספות, CERTים לאומים או סקטוריאלים, קהילת חוקרי סייבר וגופים ממשלתיים (כגון רשות הסייבר). לכל גוף כזה יש בדרך כלל פיסת מידע אחת על התוקף או הכלים- אבל ביחד ניתן להשלים את ״חלקי הפאזל״. שיתוף פעולה בין חוקרי מודיעין וחוקרי חולשות ונוזקות מקובל מאוד ובעל כללים נוקשים של שקיפות ואמינות.
אמיתי בן שושן ארליך, חוקר מודיעין סייבר ב SentinelOne, מספר:״באופן אישי מה שאני אוהב בתחום הוא שהוא מאוד דינאמי, ובסוף עוסק באדם שיושב בצד השני. אנחנו חוקרים טכנולוגיה, אבל לא רק טכנולוגיה – אלא בעיקר את האופן שבו אנשים משתמשים בה. זה תחום שהוא תמיד ״חי״ ויש בו הרבה התרחשויות, החל מאירועים מקומיים וקטנים ועד לאירועים עולמיים שתופסים כותרות גם בעיתונות לקהל הרחב. לעתים רבות העיסוק החוזר בגוף תקיפה כזה או אחר כמושא מחקר גם מחבר אותך אליו, מה שהופך את המחקר לאישי במובן מסוים״.
אמיתי היה מעורב במחקר וחשיפה של תקריות סייבר רבות בשנים האחרונות. מהיום תוכלו לקרוא את המחקרים שלו גם פה בבלוג, בעברית.