משחקי ריגול - הדור הבא

רוברט האנסן , איש ה-FBI שריגל עבור הרוסים, מבלה כיום 24 שעות ביממה בתא מבודד בכלא השמור ביותר. אסור לו לקבל מכתבים, לראות מבקרים, או לשוחח בטלפון. לסוהרים מותר לפנות אליו רק בגוף שלישי ("האסיר") ולא בשמו הפרטי. על מה ולמה הוא נענש בצורה כה חמורה?

ובכן, במשך 15 שנה, אי שם בשנות ה-80' של המאה הקודמת, הוא נהג להוציא מסמכים בעלי סיווג גבוה, עטופים בשקית פלסטיק, ממטה ה-FBI, ולהשאיר אותם בפארק הסמוך לביתו כדי שיאספו מאוחר יותר על-ידי הסוכנים הרוסים. תוכנם של חלק מהמסמכים גרם להוצאתם להורג של שלושה סוכנים רוסים, שריגלו עבור האמריקאים. סך כל המסמכים שהוצאו על-ידו במשך כל אותן השנים מוערכים במאות בודדות של דפים.

מטוס ה-F-35 הוא דור חמישי של מטוסי תקיפה המפותח עלי-ידי לוקהיד-מרטין שנועד לענות על האתגרים המבצעיים של חילות האוויר והים של ארה"ב וחילות נאט"ו ולהחליף את מטוסי ה-F-16 וה-F-18.

יותר מזה, הוא נועד לספק עליונות אווירית ולעלות על כל מתחריו לשלושה עשורים קדימה. סך כל עלות פיתוח המטוס מוערכת בכ-385 מיליארד דולר. המטוס הוגדר ככלי הנשק היקר ביותר בהיסטוריה. זה לא מנע מצבא ארה"ב להזמין 2,500 יחידות ממנו בשווי 300 מיליארד דולר. גם מדינות נאט"ו הזמינו יחידות רבות מהמטוס. באפריל 2009 פרצו סינים למחשבי חברת BAE, הקבלן הבריטי הגדול ביותר המשתתף בפיתוח המטוס, ובמשך 18 חודשים הורידו מספר טרה בייט של מידע הנוגע לעיצוב המטוס, ביצועיו והמערכות האלקטרוניות שלו.

המידע הורד בעזרת איתור פרצות במחשבי החברה. המרגלים הסינים שגנבו את המידע על ה-F-35 לא היו צריכים לגייס סוכן עם מוטיבציה לבגוד במדינתו והם גם לא הסתכנו בלכידתם ומעצרם. באופן תיאורטי הם גם יכלו להעלות למחשבי BAE קוד שישמש אותם בעתיד בזמן לחימה. כל שנדרש להם הוא גישה מרחוק למחשבי החברה.

שני הסיפורים הללו נועדו להמחיש את השינוי שעבר עולם הריגול מתקופת המלחמה הקרה לתקופתנו, תקופת לוחמת הסייבר. גם ריגול תעשייתי הפך לנגיש ופשוט בהרבה בהשוואה לעבר והוא מתרחש מידי יום ברחבי העולם בהיקפים עצומים. רשתות של ארגונים עם מערכי מו"פ אדירים, שהושקעו בהם סכומי עתק, נפרצות מידי יום וקניין רוחני יקר ערך נגנב ו"מטייל" ברחבי הרשת. הדוגמאות רבות ומגיעות לעיתים לתקשורת, חרף ניסיונות רבים של הארגונים הנפרצים להשתיק את הפריצות.

עולם הסייבר עמוס בהתרחשויות בחודשים האחרונים, בהם ממש לאחרונה "סטקסנט" ו"פליים", ואנו עדים לעלייה מתמדת ברמות התחכום של המתקפות. השאלה האם מקורן במדינות, או גורמי פשיעה, איננה משנה את העובדה שמודל השכבות הקלאסי, שנועד להגן על רשתות, הופך לפחות רלוונטי בעידן הנוכחי.

ההוכחה לכך טמונה בעובדה ששוב ושוב אנו עדים לאירועים בהם ארגונים, שהשקיעו בהגנות הטובות ביותר, מגיעים לכותרות לאחר שאתרי הווב שלהם נפרצו, הושחתו, או שנמנע מהם להיות זמינים.

את אחת ההוכחות המובהקות לאפקטיביות היורדת של פתרונות האבטחה הקלאסיים קיבלנו בימים האחרונים, לאחר שחברת אבטחת המידע הרוסית קספרסקי פרסמה הודעה ולפיה היא זיהתה תוכנה זדונית, בעלת תחכום רב ובגודל חריג של 20 מגה-בייט.

התוכנה, לה ניתן השם המחייב פליים, רצה ברשת במהלך השנתיים האחרונות, אך זוהתה רק עכשיו וגם זאת במקרה תוך כדי בדיקה של ווירוס אחר. במילים אחרות, היא לא זוהתה על-ידי שום גורם או יצרן משוק האבטחה.

דוגמא זו ממחישה את הצורך בשינוי בתפיסה של יצרני פתרונות אבטחת המידע ושל מתכנני הפתרונות לארגונים. אצל רוב היצרנים השינוי החל ואנו עדים כיום ליותר פתרונות שאינם מבוססי חתימות, היודעים לזהות אנומליות ברשת, ניסיונות של BOT's שחדרו לרשת ליצור קשר עם רשתות השליטה שלהם (Command And Control Networks) וטכניקות נוספות הבאות לתת מענה לאיומים החדשים.

פתרונות הדור החדש שנועדו לספק מענה לאיומים אלו, מתבססים ברובם על טכניקות זיהוי מתקדמות ודינאמיות, לדוגמא, הכנסת זיהוי אפליקציות ומשתמשים לרכיבי ה- firewall Application Awareness) ). היצרנים החלו אף הם לשנות את הדרך בה רכיבי IPS או Web GW עובדים ולבסס את עבודתם על קישור לרשתות חכמות המספקות מידע בזמן אמת על איומים כגון GIN של Symantec ולעיתים אף ליצור מערכת חדשה לגמרי של הערכת איומים כגון FireEye או RSA Netwitness.

נראה שהכלל הידוע על פיו רמת אבטחת המידע של הארגון חזקה כחוזק החוליה החלשה בשרשרת האבטחה, ימשיך להיות נכון כנראה לעד. מה שנותר לנו הוא לאתר את אותן חוליות חלשות ולאבטח אותן ככל שניתן.

הכותב הוא מנהל חטיבת אבטחת מידע בבינת תקשורת מחשבים. מרצה בנושא אבטחה וסייבר בבינת אקספו ב-12 ביוני