מסלול אחר מסלול, הם ראו כיצד התוקפים התקדמו, אילו הרשאות השיגו ועל אילו נכסים רגישים בארגון הצליחו לשים את ידם. טבלה מיוחדת ציינה תג מחיר פוטנציאלי לכל אזור שנחשף. ההבנה שכל זה התחיל מסיסמת Wi-Fi ב- GitHub האישי של אחד העובדים, יחד עם בידול לא מוצלח של הרשת, ועד השתלטות מלאה על הארגון, הייתה קשה לתפיסה. מהמצב הזה יכלו התוקפים לעולל לארגון ככל העולה על רוחם - מגניבת IP והעברת כספים, דרך נזק למשתמשים ופגיעה קשה במוניטין ועד יכולת השבתה מוחלטת עם דרישה לכופר. אבל כל זאת לא קרה הפעם. למרבה המזל, התוקפים היו מ"צוות אדום" שנועד לעזור לחברה לאתר חולשות אבטחה ולתקן אותן. והיה הרבה מה לתקן.
"אין טוב ממראה עיניים ואין חזקה מהתחושה שהאסון כמעט קרה - הזעזוע הזה הוא ההנעה הטובה ביותר לפעולה שיכולה להציל את הארגון מהדבר האמיתי", אומר גבי לבנברג, אחד המייסדים ומובילי הצוותים בחברת הסייבר CYE. שיטת הצוותים האדומים - תקיפה של מה שמכונה "האקרים כובע לבן" (White hat) - היא אחד השירותים המובילים שמעניקה החברה לארגונים מכל סדר גודל, מסטארט-אפים בראשית דרכם ועד תאגידי ענק בינלאומיים מרשימת הפורצ'ן 500 עם למעלה ממאה אלף עובדים.
הצוות התוקף מיישם בפועל את האיומים לסוגיהם - החל מבני נוער שראו סרטוני הדרכה והחליטו להשוויץ מול החבר'ה, עבור בגורם זדוני שפועל למען בצע כסף ועד כוח מעצמתי בעל יכולות גבוהות ברמת כוח אדם, זמן וארגון. כיוון שסייבר הנו תחום דינמי במיוחד, עם מרוץ אינסופי של חתול-ועכבר בין תוקפים למגנים, CYE חייבת להישאר תמיד עם היד על הדופק בכל הנוגע לטכניקות ולטכנולוגיות התקיפה הנפוצות ברמות השונות. זה מצריך גם איסוף מתמיד מרחבי הרשת הגלויה והאפלה, אם של מידע על פגיעויות חדשות שהתגלו ואם של פרטי משתמשים שדלפו ויוכלו אולי לשמש לתקיפה עתידית (מיילים אישיים, גישה ל-VPN וכדומה). צוותי המחקר והפיתוח, יחד עם צוותי התקיפה, מאפיינים ומפתחים יכולות אוטומציה אשר עוזרות לקצר את זמני התקיפה ולהפיק מידע איכותי ללקוח.
מאיפה מתחילים? "תוקף צריך ללמוד תחילה את הארגון מקצה לקצה", אומר נפתלי אלעזר, מומחה סייבר וחבר באחד הצוותים האדומים של CYE. "הלמידה כוללת בראש ובראשונה את כל מה שאפשר למצוא על החברה מבחוץ - אתרים, אפליקציות, APIs והמבנה הארגוני. לא תמיד צריך לחדור לאזורים המסווגים - פעם אחר פעם אנחנו נתקלים במידע סופר רגיש שחשוף אונליין לכל דורש. בצד לימוד הארגון, התוקף חייב לתרגל כלים, להתמודד עם מערכות ההגנה, לחדור דרך החולשות ולהישאר לא מזוהה כשהוא שוהה בתוך המערכות לאורך זמן. לשם כך אנחנו מייצרים מעבדות סימולציה למערכות ההגנה שאנחנו מכירים".
שאלה של קונטקסט ומשקל: כך פועלים ההאקרים ה'טובים'
הבעיות שמאתרים צוותי התקיפה הן רבות ומגוונות: חוסר מודעות של עובדים להודעות פישינג, מדיניות אבטחת מידע לוקה בחסר, בעיות שמפתח יצר ברמת הקוד, חולשת ה-Wi-Fi בארגון ועוד. ככל שהעבודה עם הלקוח נמשכת - והמודל הרווח הוא ליווי Ongoing - מתגלים עוד ועוד ממצאים, כשלים ותורפות. המטרה הגדולה כמובן היא לא רק "לנצח" - כלומר לכבוש יעדים רגישים בארגון - אלא ללמד אותו כיצד להשתפר להבא, לסייע בידו לחסום את הפרצות. "אנחנו יודעים שאין הגנה הרמטית", אומר לבנברג, "משאבי הארגון מוגבלים והתוקפים לא חדלים להמציא את עצמם מחדש. משום כך אנחנו נותנים משקלים לאיומים השונים - רמת הדחיפות, מחיר הפגיעה ומהירות התיקון הנדרש. בסוף זה עניין של סדר עדיפויות".
"צריך להבין שיש מאות פגיעויות וממצאים", מנסח את הדילמה רז חג'ג', ראש צוות ב-CYE. "גרף התקיפה שאנחנו מייצרים נותן את הקונטקסט ומאפשר לראות איזה וקטור יביא את התוקף למקומות החשובים ביותר לארגון. לאחר מכן נכנס שיקול הקוסט אפקטיב - במה יהיה הכי זול או הכי מהיר לטפל, ושעדיין ייתן מענה למסלולי התקיפה הקריטיים. מתוך הבנה שמשאבי הארגון מוגבלים, נרצה לבנות תכנית התאוששות שממצה אותם ומקטינה את הסיכון על הארגון ועל הנכסים הרגישים שלו באופן האופטימלי. אנחנו יודעים לתעדף את הדברים שהכי יקטינו את הסיכון בהשקעה הכי משתלמת.
Hyver, מוצר הדגל של החברה הנו בעצם הכלי העיקרי שמאפשר את עיבוד הממצאים, בו משתקף גרף התקיפה, ממשיך בתעדוף, קביעת תג המחיר, גזירת תכנת המיטיגציה, וכדומה. הפלטפורמה בוחנת את ההשלכות הפיננסיות והעסקיות האפשריות של תרחישי מתקפות סייבר אפשריים, ובכך מאפשרת למקבלי ההחלטות להבין את השפעת האיומים ולתעדף מאמצי תיקון. בנוסף, הוא מאפשר למנהלי אבטחה לתקשר את ערך המאמצים , תקציבים ועוד.
התוקפים בחברה עוברים הכשרות מקיפות, ולכל אחד מהם יש גם נישה שבה הוא מצטיין. שני פלד, מהצעירות שבחבורה (הגיעה ל-CYE ימים ספורים לאחר השחרור מצה"ל, שם עסקה בסייבר מהצד ההגנתי), מתמחה בענן. "הטרנספורמציה On -Prem ל-cloud הופכת לא פעם לתורפה אחת גדולה", היא מעידה. "ברור שמוצדק לעבור, כל עוד עושים שימוש נכון בטכנולוגיה. הבעיה היא שההתקדמות הטכנולוגית יוצרת נאיביות, אפילו שאננות, של ארגונים שמשוכנעים שהם Secured by default. האמת היא שענן הוא מקום אטרקטיבי לתוקף, והממשקים אליו הם בוודאי כאלה".
"הבעיה היא שההתקדמות הטכנולוגית יוצרת נאיביות, אפילו שאננות, של ארגונים שמשוכנעים שהם Secured by default. האמת היא שענן הוא מקום אטרקטיבי לתוקף, והממשקים אליו הם בוודאי כאלה".
כשם שתקיפה מוצלחת מסייעת ללקוח להשתפר, כך הפידבק של ה"Blue team" שמפעיל הלקוח, אם הצליח להתחקות אחר האדומים, תורם לאחרונים. אלעזר: "אנחנו מקבלים מהם Visibility לאופן שבו הם רואים אותנו, מה ואיך הם מחפשים, כיצד הצליחו לזהות את הכלים שלנו. אנחנו כל הזמן לומדים, חושבים על זוויות אחרות, מעדכנים את המתודולוגיה". פלד: "יש בזה הרבה הפריה הדדית. תמיד נמצא משטח תקיפה שהלקוח כלל לא מודע אליו - איזו פיסת קוד, מערכת לגאסי או סביבת פיתוח נשכחת עם חולשה קריטית. אבל גם לנו הפינג-פונג הזה חשוב. טכניקות תקיפה שהפעלתי על ארגון לפני שנה כבר לא יעבדו היום".
כוח האדם הוכפל בשנה האחרונה וממשיך לגדול
חברת CYE, אשר החלה את דרכה לפני כעשור ונוסדה על ידי המנכ"ל רובי ארונשוילי, ממקימי הצוותים האדומים בצה"ל, היא חריגה בנוף העסקי-תעשייתי: בשנה חולפת, בתקופה של פיטורים וקיצוצים, היא יותר מהכפילה את מצבת כוח האדם שלה. זו מונה כיום כ-200 עובדות ועובדים. משרדיה שוכנים בהרצליה, ולצד הצוותים התוקפים אפשר למצוא שם את הצוותים האחראיים על פיתוח פלטפורמת Hyver - מוצר הדגל של החברה, אנליסטים, ארכיטקטים של מערכות מידע, מנהלים טכניים ועוד.
אז איפה נרשמים, ומה צריך להביא מהבית? "רמה טכנית גבוהה, יכולת לימוד עצמי ו-תשוקה ", אומר חג'ג'. "אנחנו מלמדים המון בזמן ההכשרה, יש המון OJT ((On the job training, אבל זה רק פותח דלת. מי שלא יידע לשאול את השאלות הנכונות, ומי שלא אוהב את זה מספיק, יתקשה להתקדם". פלד מוסיפה: "יש בצוות אווירה צעירה ויצירתית, ה-HR משקיע לא מעט בלזהות אנשים שמתאימים לזה. התחום שלנו מצריך איזה ערך מוסף של 'פלפל', של חשיבה מחוץ לקופסה, וזה קריטי לא פחות מהיכולות הטכניות. זה בטח לא המקום של איש-איש לנפשו ולמחשבו, עבודת הצוות כאן היא חלק גדול מהעניין".
אלעזר, שהגיע ל-CYE עם ניסיון קודם בתחום, התרשם עמוקות מהידע, היכולות ועבודת הצוות: "יש כאן המון מנטורינג, הכשרות, פיתוח משותף, שיתוף ידע ורעיונות, הרבה רקעים שונים שמתפתחים לכדי תמונה מלאה, ותמיד כיף להיות בסביבה של מקצוענים". לבנברג מתגאה במרקם אנושי המגוון: "ברור שמחפשים סניורים עם ניסיון, אבל יש לנו גם הרבה חבר'ה שהגיעו עם רקע בסיסי בלבד. אנשים שהיו טבחים בצבא מתערבבים עם החברה' של תכנית סייבר עלית- אנשים שהגיעו מאווירונאוטיקה עובדים עם חרדים שהשלימו לימודי ליבה ותואר במחשבים. יש לנו הכול מהכול, מרכז ופריפריה, וזה יוצר דינמיקה משובחת, מקצועית וגם חברתית".
בחזרה לחברה ש"הותקפה", שנה אחרי היא כבר נמצאת במקום אחר לגמרי. כך גם ארגוני ענק מעולמות הבריאות, הפיננסים, ייצור המזון, השירותים הדיגיטליים, התעשיות ועוד. "הראינו להם את הדבר האמיתי - כמעט עד נקודת האל חזור, מינוס הנזק כמובן - לא סימולציה", מבהיר לבנברג. "לפעמים גורמים זדוניים הולכים 'על הראש' של המנכ"ל או תפקידן ספציפי, מחפשים דרכים להביך אותו. מרגע שהעבודה נכנסה הביתה, גם המסכים של הילדים והמכשירים החכמים למיניהם יכולים להוות נקודת אחיזה לתוקפים. אנחנו נותנים מענה לכל מה שנדרש, ומשתדלים להיות יצירתיים לפחות כמו אלה שאנחנו מקווים לבלום".