חומר רקע

PDF 26,826 תווים המסמך המקורי ↗
1 דצמבר2023 V1.0 "מלחמת "חרבות ברזל במימד הסייב:ר תובנות ודרכי התמודדות מערך הסייבר הלאומי 2 תוכן עניינים ת וכן עניינים תקציר מנהלים…………………………………………… .................................. ...……..………………… 2 אופי פעילות התוקפים………………………………… .......................................... ……..…….……… 3 ארגונים ישראליים בחזית הסייבר…………………… .......................................... …..…….……… 5 סוגי נכסים מותקפים……………… .......................................... ……… ........................................... 5 כלי תקיפה ושיטות בשימוש תוקפים............................................ ……… ................................ 6 ...................פשיעת סייבר……… ... .............................. ……… ............................ ……… ................... 7 סיכול כספי טרור – המערכה הכלכלית.................................................................................. 8 .................................................תובנות............................................................................................. 9 ........................................................................................................דרכי התמודדות והמלצות.. 11 נספח...........................................................................................................................'א............... 15 CLEAR CLEAR 3 תקציר מנהלים מראשית"מלחמת "חרבות ברזל, מזוהה על ידי מערך הסייבר הלאומי פעילות שהתעצמה באופן ,הדרגתי של תוקפים מסוגים שונים כנגד ארגונים.במרחב הסייבר הישראלי התוקפים פועלים במנעד רחב של שיטות וטכניקות, החל ממתקפות פשוטות, לא מתוחכמות, כגון השחת ת אתרים או מתקפות מניעת שירות, ועד לתקיפות ממוקדות כנגד ארגונים המהווים שרשרת .אספקה לארגונים רבים במשק במטרה לייצר אפקט רחב במסמך זה סוקר מערך הסייבר הלאומי את פעילות הסייבר שזוהתה עד כה למול מרחב הסייבר .בישראל ומצביע על מספר תובנות מן החודשיים הראשונים ללחימה תקציר מנהלים CLEAR 4 אופי פעילות התוקפים 1. במהלך ה מלחמה נראה שדרוג משמעותי.בפעילות התקיפה ל.אורך זמן ובאופן הדרגתי בשלב ,זה של המלחמה מרבית ה מתקפות מכוונות למטר ו ת נזק(CNA) , בניגוד למיקוד שזוהה לפני הלחימה ובתחילתה אשר התאפיין יותר ב מתקפות למטר ו ת ריגול וגניבת מידע (CNE) . 2. בתקופה זו נצפה שימוש בטכניקות ,טקטיקות ונהלים(TTP's) אשר נעשה בהם שימוש שכיח באירועים אחרים בעולם, כגון ב מלחמת אוקראינה- .רוסיה כך לדוגמה ניתן לראות קווי דמ יון בין המלחמות בשני נושאים מרכזיים ש עליהם נרחיב בהמשך– • שימוש בלוחמה פסיכולוגית (תודעה) כאמצעי להדהוד מתקפות ,סייבר ו שימוש ברשתות .החברתיות להעצמת ההשפעה • שימוש בכופרות ו ב פוגענים מסוגWiper . 3. עיקרי פעילות התוקפים ב מרחב הסייבר הישראלי בעת ה מלחמה: • מתווה תקיפה בולט נראה ב פעילות ריסוס רחבה ( (Spraying - ,במתווה זה נעשה ניסיון לנצל מוכרות פגיעויות לרעה בהחלת אנוש וטעויות תצורה הגדרות (Misconfiguration) . , כגון שימוש בסיסמאות חלשות והעדר אכיפה לנעילת חשבון לאחר קביעת סף ל ניסיונות הזדהות כושלים. • שימוש נרחב בתקיפות מ ניעת שירות מבוזרות(DDoS) - ברמה האפליקטיבית ( Layer7) וברמה התקשורתית כן ו בהשחתת אתרים(Defacement) . • ניסיונות רבים לחדירה לנכסים שונים במרחב - לשם השגת אחיזה ומימוש דלף מידע ו/א ו מחיקת מידע(Wiper) . • פעילות מול מערכותLinux - נוסף לפעילות הנפוצה מול מערכות מבוססותWindows , במהלך ה מלחמה זוהתה פעילות מול מערכות Linux 1 , לרבות הפעלתWiper כחלק מתקיפה למטרת נזק2 3. ,בין היתר תועד שימוש בטכניקות שונות להעלאת הרשאות 1 Linux Wiper using off the land binaries https://www.gov.il/he/departments/publications/reports/alert_1668 2 Linux Wiper using off the land binaries https://www.gov.il/he/departments/publications/reports/alert_1668 3 Disk Wipe 02 03 CLEAR 5 ושימור אחיזה באמצעות מנגנוני תזמון הפעלה מובנים כגוןScheduled Tasks אוCron jobs 4 5. • מצלמות אבטחה ורשת ( CCTV ) - במטרה לפגוע ביכולת השימוש בציוד זה לשם שמירה על המרחב הפיזי וכן נסיונות ה אויב ל איסוף מודיעין מהאזורים הנצפים על- ידי ציוד זה . כמו כן, הותקפו התקניIoT .שונים • מבצעי השפעה (Influence Operations) - מצד קבוצות התקיפה בעיקר ברשתות חברתיות . כמו כן, נעשה שימוש ב ערוצים שונים ופרופילים מתחזים , פרסום מידע כוזב (Fake News) או דיס- אינפורמציה(Disinformation) , פרסום מידע אמין ללא הקשר טכנולוגי רלוונטי ,במטרה להוליך שולל, לפגוע או ל נסות ל בצע מניפולציה (Malinformation) תודעתית על הציבור הישראלי. • תקיפות דיוג ( Phishing ) - באמצעות הנדסה חברתית, הן בהודעות דוא"ל והן בהודעות SMS על מנת להגביר אמינות. לעיתים אף ,נוסף אלמנט משלוח מידע אישי של הנמען .כדי שיפעיל את הקישור או הצרופה אומנם מדובר ב שיטת תקיפה בולטת בש י גרה, אך בתקופת ה מלחמה .נצפתה עליה משמעותית בקמפיינים מסוג זה • תקיפת יישומיMobile (אפליקציות לטלפון החכם) - ,או תשתיות של יישומים אלו באמצעות פרסום אפליקציות מתחזות, ניצול פערי אבטחה בתשתית היישום .ועוד6 • תקיפות ארגונים השייכים למגזר ה- MSP - אשר מהווים שרשרת אספקה מהותית לארגונים רבים במשק . בקטגוריה זו ניתן למצוא חברות אירוח ואחסון אתרים וכן חברות .אינטגרציה ואספקת שירותי תקשוב 4. עד כה , במהלך הלחימה זוהו כ- 15 קבוצות תקיפה עיקריות הפועלות במרחב הסייבר הישראלי . קבוצות אלו מזוהות כמשויכות לאיראן, חמאס וחיזבאלל ה ומרביתן משתפות ביניהן מידע מודיעי ני, שיטות וכלים ,לטובת מימוש מגוון סוגי תקיפות נגד הנכסים בישראל מולם ה ן פועל ו.ת https://attack.mitre.org/techniques/T1561/ 4 T1053 - Scheduled Task/Job https://attack.mitre.org/techniques/T1053/ 5 TA0004 - Privilege Escalation https://attack.mitre.org/tactics/TA0004/ 6 Mobile Techniques https://attack.mitre.org/techniques/mobile/ CLEAR 04 6 5. ישנם ניסיונות ל ,עידוד קהלי יעד שונים כדוגמת אקטיביסטים אנטי-ישראליים , לקחת חלק בפעילות ההתקפית נגד ישראל, באמצעות הנגשת יעדים לתקיפה או כלים פשוטים לביצוע .מתקפות מניעת שירות ארגונים ישראליים בחזית הסייבר 1. :פעילות התוקפים זוהתה כנגד ארגונים בעלי המאפיינים הבאים א. ארגונים המהווים( נקודת ריכוזHub) לפעילות ארגונים נוספים, כ חלק מ שרשרת האספקה של ארגונים שונים.במשק הישראלי ב. ארגו נים במגזר הבריאות. ג. .ארגונים במגזר המים ד. .ארגונים במגזר האקדמיה ה. ארגונים במגזרי ה אנרגיה ו אספקת דלק. ו. ארגונים במגזר התחבורה. ז. ארגונים העוסקים ב.שילוח ימי ועמילות מכס 2. ארגונים אלו לעיתים מספקים שירותים כדוגמת אפליקציות משותפות חוצות מגזר. התכונה המשותפת הקיימת בעת פגיעה בארגונים אלו, היא האפשרות להשלכה נרחבת על ארגונים .נוספים במגזר או כאלו הנעזרים בשירותי הארגון המותקף סוגי נכסים מותקפים 1. :פעילות התוקפים זוהתה מול מספר רב של נכסים נפוצים בשימוש המשק א. .מערכות אבטחה פיזית המשרתות ארגונים שונים במשק, דוגמת מצלמות אבטחה ב. ממשקי ניהול חשופים, דוגמת ממשק בקר המנוהל מרחוק. ג. ציוד תקשורת החושף ממשקי ניהול לרשת האינטרנט, כגוןJuniper, Cisco . ד. מערכות ניטור ושליטה מרחוק החשופות ישירות לאינטרנט7. ה. ממשקי גישה מרחוק , כגוןCitrix, Fortinet . 7 CISA Releases JCDC Remote Monitoring and Management (RMM) Cyber Defense Plan https://www.cisa.gov/news-events/alerts/2023/08/16/cisa-releases-jcdc-remote-monitoring-and- management-rmm-cyber-defense-plan CLEAR 05 7 ו. שרתיWebmail , כגוןExchange OWA, Roundcube ו\ או ממשקיEWS . ז. מערכות ניהול תוכן(CMS), כגון Joomla, Drupal, WordPress . ח. התקניIoT . ט. ממשקיAPI חשופים לאינטרנט, דוגמת ממשקיSOAP / REST . כלי תקיפה ושיטות בשימוש תוקפים 1. שימוש בשיטות תקיפה מבוססות כלים המותקנים ביעד התקיפה כחלק ממערכת ההפעלה או היישומיםLOLBAS (Living Off The Land Binaries, Scripts and Libraries) . 8 2. הנגשת כלי תקיפה לשימוש גורמים ללא ידע טכני . לדוגמה, הנגשת אתר הכוללScript לתקיפת ( מניעת שירותDDoS ) .כאשר על התוקף רק להזין את כתובת יעד התקיפה 3. ניצול שירותים לשיתוף קבצים לטובת הפעלת כלי תקיפה או שימוש ביוזר לגיטימי לצורך גישה ,ראשונית לרשת הארגון תוך מעקף אמצעי ה אבטחה וכן כערוץ להדלפת .מידע שירותים כגון Microsoft OneDrive, Google Drive, Dropbox, Discord Servers . 4. שימוש בכלי קוד- פתוח(Open Source) שהוסבו על- ידי התוקפים, דוגמתDCOMpotato 9 , כאשר חלק מכלים אלו עושים שימוש לרעה ב- WinAPI . 10 5. שימוש בתשתיותProxy ו- VPN חינמיות ו מסחריות , או לחילופין עמדות קצה שהותקפו על מנת לשמש כ- Proxy ייעודי, לטובת עקיפת הגבלות כגון שימוש ב- GeoLocation למניעת גישה .מחו"ל 6. ניצול לרעה של פונקציונליות לגיטימי ו ת של מערך הדוא"ל הארגוני, לאחר השתלטות על תיבת ,דואר של אחד ממשתמשי הארגון. לדוגמה הגדרת חוקיOutlook/OWA/Office365 לשליחת .העתק דוא"ל לתוקף ומחיקת ההודעה שנשלחה 7. ש ימוש ב- Reverse Shell לשם יצירת קשר עם שרת הניהול(C&C) .והדלפת מידע11 8 :רשימה לדוגמה של כלי זמינה בLiving Off The Land Binaries, Scripts and Libraries https://lolbas-project.github.io / 9 כלי תקיפה בשימוש בישראל https://www.gov.il/he/departments/publications/reports/alert_1671 10 T1106 - Native API https://attack.mitre.org/techniques/T1106/ 11 Reverse Shell T1059 - Command and Scripting Interpreter https://attack.mitre.org/techniques/T1059/ש CLEAR 06 8 8. שימוש בשירותי אירוח ואחסון אתרים(Hosting Services\VPS) ., כתשתית לביצוע תקיפות 9. רשימה פגיעויות בשימוש קבוצות תקיפה שונות .'מצורפת בנספח א עד כה התמקדנו במתקפות הסייבר אשר זוהו במרחב הישראלי בעת ה מלחמה הנובעות ממניעיי פגיעה ברציפות התפקודית של המשק. במלחמה קיים היבט נוסף בהקשרי תקיפות המספקות רווח כלכלי או בדמות רווח כלכלי; פשיעת סייבר בצל המלחמה, חלה גם מגמת עלייה בשכיחות מקרי הכופרה בארץ . הבחירה בכופרה ככלי התקפי אינה מפתיעה , ואף טבעית בעת זו ה , בה לוחמת התודעה היא נדבך משמעותי ב מערכה . אפקט ההרתעה והכאוס שמתחולל לאחר מתקפת כופרה משיג את יעדיו .מדובר בנוזקות פשוטות לתפעול , נגישות למשתמש הממוצע ,ולא מצריכות ידע טכנולוגי רב למימושן . מניתוח תוכן הדיווחים אשר התקבלו ב מערך הסייבר הלאו מי וטופלו על ידינו עולות מספר תובנות: 1. מגמת עלייה בשימוש בכופרות מסו ג Wiper - פוגענים אשר מאופיינים במחיקת כלל המידע ברשת. לעיתים פעולה זו מלווה בהזלגת המידע החוצה (לשם קיום משא ומתן על המידע, השפלת הקורבן, התרברבות מצד התוקף) או פשוט במחיקה לשם גרימת נזק לגוף ולרציפותו התפקודית. 2. נוזקות מסוג כופרה, המופעלות ע"י קבוצות פשיעה במודל עסקי של RaaS (כופרה- )כשירות - מודל זה, ה מציע תצורת מינוי, מאפשר לכל משתמש ל רכוש מוצר בעלות חודשית ולעשות בו שימוש למטרותיו ושיתוף ברווחים ה מושגים מתשלום דמי הכופר ע"י הקורבנות. השימוש בכופרות- כשירות נוח במיוחד, מאחר והמוצר הנרכש מגיע עם ,תמיכה טכנית מלאה, לא מצריך יכולת הבנה טכנית גבוהה, זורע נזק במינימום מאמץ מבטיח הכנסה ואנונימיות למשתמש . הכופרה אינה ייחודית פר- קורבן ומקשה על שיוך למנוי מסוים ברוב המקרים. 3. שימוש ראשוני בפוגען Wiper המטרגט שרתים מבוססיLinux - מגמה זו מתלכדת עם הדיווחים העולמיים אודות קבוצות כופרה ופשיעה, במקביל לקבוצות תקיפה מדינתי ו ת אשר מבצעות ריכו ז מאמץ טכנולוגי לשם פיתוח נוזקות וכלים כנגד מערכות מבוססות Unix על גווניהם. ההתרחבות של שחקנים עוינים במרחב הסייבר אל עבר מע רכות CLEAR 07 9 ה פעלה נוספות מלבדWindows מחייבת את ה צד מגן להבין את הסיכונים ולספק מענה אל אויב פעולות התחזקות כנגד ו ( 12 BIBI, LOLBIN ). האויב מודע לכך ש המרכיב האנושי במתקפת סייבר הוא החוליה החלשה. אחוז לא מבוטל מאירועי הסייבר אשר טופלו ע"י ה מערך, מקורם בגורם אנושי אשר פתח דוא"ל .דיוג, לחץ על לינק לא מוכר או הוריד קובץ לא מוכר למערכותיו אומנם אין מדובר ב מגמה ייחודית בשעת מלחמה- אך לא מן הנמנע כי מדובר בווקטור מועדף ע"י האויב בזמנים אלו. 4. עלייה חדה בשימוש בחולשות1-Day כוקטור חדירה לרשתות - נראה כי קבוצות התקיפה עוקבות באופן תדיר אחר פרסום חולשות, ומאתרות השמשות לחולשות אלו .בפרקי זמן קצרים מאוד ,השימוש בחולשות אלו אינו ייחודי לקבוצה אחת וניתן לראות שימוש רוחבי בחולשות אלו ע"י קבוצות תקיפה מדינתיות ו קבוצות פשיעה. סיכול כספי טרור – המערכה הכלכלית 1. מזה שנים רבות מדינת ישראל מנהלת במקביל ללחימה הפיזית ובסייבר, מערכה כלכלית עיקשת כנגד ארגוני הטרור וגורמי המימון של ארגונים אלו .ברחבי העולם 2. חמאס, בדומה לארגוני טרור נוספים בעולם, פנה לשימוש במטבעות דיגיטליים על מנת להקשות על סיכול ,גורמי המימון שלו ובראשם א איר ן. המעבר מ מטבע שאינו מגובה בסחורה (FIAT) , לקריפטו, סייע לחמאס בקבלת כסף רב באופן שוטף מאיראן ב מהלך ה שנתיים שקדמו למלחמת .""חרבות ברזל 3. תחילה, חמאס עשה שימוש בקריפטו לקבל ת תרומות בסכומי כסף קטנים מתומכים ברחבי ,העולם אך במהרה עבר לקמפייני מימון המונים נרחב ים ,גם באמצעות הרשתות החברתיות הכנסות אלו הגיעו לכדי סך של מיליוני דולרים . 4. על פי המטה הלאומי ללוחמה כלכלית בטרור (מט"ל) , קריפטו נהפך לחלק חיוני מהפעילות המבצעית של חמאס . הכספים המועברים משמשים בין היתר לרכישת אמצעי לחימה ולמימון יתר פעולות הטרור . 12 Linux Wiper using off the land binaries https://www.gov.il/he/departments/publications/reports/alert_1668 CLEAR 08 10 5. במסגרת המלחמה הכלכלית בארגוני הטרור ,שותפים שונים ב מערכת הביטחון ב ישראל זיה ו ותפס ו ארנקים דיגיטליים שהכילו עשרות מיליוני דולרים במגוון רחב של טוקנים (מטבעות קריפטוגרפים) אשר המובילים ביניהם :הם ביטקויין(BTC) ,איתריום (ETH) וטרון (TRX) . 6. מערך הסייבר הלאומי הצטרף כ שותף למערכה הכלכלית מתחילת המלחמה .במסגרת פעילות ,זו פיתח המערך כלים טכנולו גיים ושיטות ,אשר אפשרו איתור של עשרות רבות קמפיינים למימון טרור, בשווי מיליוני דולרים. 7 . הכלים והשיטות שפותחו נבנו במטרה לתת מענה לאתגרי המערכת הביטחונית, כפי ששוקפו למערך על- ידי השותפים מקהיליית הביטחון. לטובת סיוע באיסוף, איתור, ועיבוד של מידע אוסינטי ( OSINT ) אודות קמפיינים למימון טרור. הכלים הטכנולוגיים פרוסים על מספר רחב ככל הניתן של פלטפורמות בהם פועלים מגייסי התרומות של ארגון הטרור, בדגש על פלטפורמות .מימון המונים, רשתות חברתיות ועוד תובנות 1. ,בעקבות זיהוי מתווי התקיפה השונים והמגמות המתפתחות במהלך הלחימה ניתן להצביע על מספר תובנות: א. ככל שהלחימה מתארכת, תעוזה ויצירתיות התוקפים גוברת - ניתן לראות זאת במעבר מתקיפותCNE לתקיפותCNA וכן ב.תקיפות "איכות", כגון תקיפת בית חולים ב. טרגוט ארגונים המשרתים א רגונים רבים - ככל שהארגון משרת יותר ארגונים מחוצה לו, בין אם פנים- מגזרית ובין כספק נותן שירותים, הוא הופך למטרה אטרקטיבית יותר .בעיני תוקף פוטנציאלי ג. ריבוי תקיפות שיבוש - ( לאור ריבוי תקיפות כופרה או מחיקה הרסניתWiper ), נדרש .לתת דגש על יכולת ההתאוששות ד. קיומ ם של מספר גיבויים- רצוי בטכנולוגיות שונות, אשר לפחות אחד מהם מוחזק .בכל עת באופן שאינו מקוון קריטי להתאוששות ה. יכולת שחזור - יש לוודא כי ביכולת הארגון לשחזר בהצלחה את כל נכסי הסייבר והמידע, מרמת החומרה ומעלה בסביבה חלופית, על בסיס חומרה חדשה ו/או סביבת ענן ציבורית , בפרט עבור מקרים בהם התוקף ישבש את תקינות ,החומרה דוגמת שיבוש/מחיקה של ה- UEFI/BIOS . CLEAR 09 11 ו. שימוש ב- GeoLocation למניעת גישת תוקפים מחו"ל - אינו נחשב כאמצעי הגנה הרמטי כנגד תוקף בעל גישה תקשורתית למדינת היעד. תוקפים רבים עוקפים מנגנונים אלו באמצעות שימוש בשירותים חינמיים, מסחריים או תקיפת שרתי ביניים במדינת היעד. עם זאת, מומלץ ליישם שימוש במנגנון זה ברשת הארגון לטובת .צמצום חשיפת הרשת ולמניעת מתקפות מסוגים שונים ככל הניתן ז. מתקפות מניעת שירות מבוזרות ( DDoS ) - מחייבות היערכות מוקדמת של הארגון באמצעות הסכמים עם ספק האינטרנט ו/או שירות ייעודי לסינון התעבורה. בין היתר, מתן מענה לרמות שונות של נפחי ותדירות המתקפה בדגש על שכבת ה- Networking ו שכבת ה- Application . ח. חשיפת מצלמות אבטחה לרשת - מצלמות הן אמצעי אבטחה ,חשוב בשירות הארגון יש להימנע מחשיפתן הישירה לרשת האינטרנט, הגדרת סיסמ ה ( חזקה ו באם ניתן אימותMFA ) והגבלת גישה אליהן למשתמשים הרלוונטיים בלבד. בזמן התקנתן יש לוודא כי אינן צופות לאזורים.רגישים או למתקנים ביטחוניים מדינתיים ט. כח אדם בשעת חירום - יש להיערך מ ראש להיעדרותם של גורמי מפתח מקצועיים .בשעת חירום, מומלץ להיערך לחלופות באמצעות חוזה שירותים/ שכירת כ"א חלופי י. העלאת כוננות בחירום - מומלץ לבחון העלאת כוננות יזומה במקרה של חירום מדינתי , לרבות נקיטת פעולות פרואקטיביות דוגמת ניתוק ממשקים מזורז מה אינטרנט , מניע ת גישה לשירותים ושרתים שאינם חיוניים או הקשחת מדיניות .הגלישה באינטרנט יא. מודעות עובדים - מומלץ לחדד את מודעות העובדים ,למתווי תקיפה שכיחים במיוחד ,מתקפות דיוג ודרכי התמודדות מקובלות, לרבות חשיבות הדיווח במקרה של חשד לאירוע סייבר. יב. אבטחה פיזית של חדרי שרתים - המלחמה העלתה את חשיבות האבטחה הפיזית והסביבתית של חדרי השרתים ומתחמי העבודה, במטרה לשמר רציפות תפקודית במקרה חדירה למתקן או של פגיעה פיזית כתוצאה מירי רקטות. CLEAR 10 12 דרכי התמודדות והמלצות הקטנת משטח תקיפה | 1. מומלץ לפעול ל הקטנת משטח התקיפה החיצוני של הארגון(EASM) , באמצעות מיפוי רציף ומעקב אחר שינויים בו, תוך כדי נקיטת פעולות להקטנת משטח התקיפה. לדוגמה, ניתן לבטל נגישות לפורטים רגישים (ממשקי ניהול) או כאלו שאינם נחוצים לפעילות העסקית והקטנה ככל האפשר של מספר ומגוון השירותים .הארגוניים הנגישים מרשת האינטרנט | עדכוני אבטחת מידע 2. יצרנים רבים מאפשרים להירשם לרשימות תפוצה ולקבל התרעות על עדכוני אבטחת מידע ישירות לדוא"ל. מומלץ לנצל אפשרות זאת ו לוודא כיצד פועלים היצרנים של הציוד המופעל על- .ידי ארגונכם, ולעקוב בהתמדה אחר פרסומים אלו 3 . מומלץ לבחון התקנת העדכונים, בפרט אלו בסיווג קריטי וגבוה, תוך פרק זמן סביר ממועד .פרסומם מאחר והתוקפים מצליחים להשמיש פגיעויות תוך שעות ספורות ממועד פרסומן. ישנה .חשיבות גבוהה להתקנה מהירה ככל הניתן, לנכסים החשופים ישירות לאינטרנט גישה לממשקי ניהול מהאינט| רנט 4. .מומלץ להימנע משימוש בתווך האינטרנט לשם מתן גישה לממשקי הניהול ניתן להשתמש בשירות כגוןVPN עם הצפנה והזדהות חזקה מתאימה וכן שימוש בתשתיתAPN סלולרי או MPLS , ועל גביה לממשVPN . 5. ( הגדרת כל משתמש בגישה מרחוק, בפרט בהרשאות מנהלן, בהזדהות חזקהMFA .) 6. הטמעת מנגנוןGeo-Velocity לאיתור חריגות בתהליך ההזדהות וניהולSession . 7. בחינת האפשרות להגבלת גישה מרחוק באמצעות החלתDeny List על בסיסThreat Intelligence ,המתעדכן באופן רציף:ובהתייחס לנתונים הבאים 1. כתובותIP של שירותיProxy חינמיים ו מסחריים , דוגמת: I2P, Freenet, TOR, ZeroNet, KPROXY, CroxyProxy . 2. כתובותIP של שירותיVPN חינמיים ו מסחריים. 3. כתובותIP המשוי כות ל מערכי .תקיפה מוכרים 4. כתובותIP המשויכ ות למדינות עוינות. הקשחת עמדות קצה ושרתים | 8. מומלץ לוודא כי לא נעשה שימוש במערכות הפעלה ואפליקציות ללא תמיכת יצרן(End of Life) . CLEAR 11 13 9. .מומלץ לוודא כי בשגרה לא נעשה שימוש בחשבונות משתמשים בעלי הרשאות גבוהות 10 . מומלץ ל בחון ול הפעיל את מנגנוני ה:אבטחה הבאים בעמדות קצה ושרתים Secure Boot, Windows credential guard, Windows defender device guard, Controlled folder access, Windows sandbox, AppLocker, Windows Firewall 11 . בסביבה מרובת דיירים(Multi-Tenant) מומלץ לבחון אפשרות להפעיל בו זמנית מספר מנגנונים לבידול בין סביבות לקוחות שונים, :לרבותIAM Instance ייעודי לכל לקוח, הצפנת מידע של כל לקוח באמצעות מפתח הצפנה ייעודי, שימוש בבודלים ברמת ה- Kernel דוגמתSELinux ו/או Chroot , הקצאתVXLAN\Geneve .ייעודי לכל תעבורת לקוח 12 . מומלץ לוודא כי בעמדות הקצה והשרתים מותקןEDR/XDR בגרסה עדכנית, וכי הוא מתוחזק ומטויב באופן קבוע. הטמעת מוצרים מסוג זה הוכחו כיעילים במניעה ובלימת מתקפות סייבר. | הגנה על האתר הארגוני 13 . מומלץ לוודא כי אתר האינטרנט מוגן באמצעותWAAP 13 , הכולל מימושAllow List ברמת שדות וקלט, ו .ביכולתו לאתר האם התעבורה מקורה באדם או מכונה, ולחסום את האחרונה 14 . מומלץ לוודא כי אתר האינטרנט מפותח ומתוחזק בהתאם לדרישות מקובלות לפיתוח מאובטח, כדוגמת OWASP ASVS 14 . | הגנה על אפליקציות מובייל ארגוניות 15 . מומלץ לוודא כי אפליקצייתMobile ארגונית מפותח ת ומתוחזקת בהתאם לדרישות מקובלות לפיתוח מאובטח, כדוגמת OWASP MASVS 15. הגנה| "על ה"מותג 16 . בחינת שימוש בשירותBrand Protection לשם איתור חריגות דוגמת הקמת אתר אינטרנט או הפעלת אפליקצייתMobile .מתחזה 17 . בחינת ניטור אפליקציות מתחז ות. 13 WAAP - Web Application and API Protection (WAAP) 14 OWASP Application Security Verification Standard https://owasp.org/www-project-application-security-verification-standard/ 15 OWASP Mobile Application Security https://mas.owasp.org/ CLEAR 11 12 14 CLEAR הגנת דוא" | ל 18 . מומלץ לבחון באופן עתי את הגדרות התצורה של מערך הדוא"ל ביחס ל- Baseline ,מאושר דוגמתOutlook Rules, Transport Rules . 19 . חסימת גישה של ממשקיWeb mail ,מהאינטרנט. במידה וקיימת דרישה עסקית לאפשר זאת מומלץ לממשMFA והגנה באמצעותWAF . 20 . :מומלץ לוודא כי מערך הדוא"ל מאפשר קבלת דוא"ל רק לאחר השלמת הבדיקות הבאות 1. הדוא"ל אינוSpam ,לא נשלח מכתובתIP/Domain בעל ת מוניטין נמוך. 2. הדוא"ל אינו מכיל קישורים לכתובותIP IP\Domain .בעלי מוניטין נמוך 3. הדוא"ל מכיל צרופה בהתאם לסוג שהוגדר ב- Allow List .קיימת ,זהות בין סיומת הקובץ ה- Header המציין את סוגו וה- Payload . 4. הדוא"ל אינו מכיל נוזקה – באמצעות שימוש בחתימות עדכניות ובדיקתSandbox .לאיתור התנהגות חשודה 5. הדוא"ל אינו מכיל קוד מובנה בשדה המלל. במקרה שקיים קיים קוד מסוג זה, על מערך אבטחת הדוא"ל להסיר ו או לבצעEncoding בטרם יועבר למשתמש, כך שלא ניתן יהיה להריצו. 6. מערך הדוא"ל מסמן באופן ברור למשתמש כי מק.ורו של הדוא"ל מחוץ לארגון | הגנה על גלישה מהארגון 21 . חסימת גישה לכתובותIP/Domain בעל ות מוניטין נמוך(URL Filtering) . 22 . מומלץ ליישם אפשרות של .פתיחת תעבורה מוצפנת לשם איתור וסיכול איומים 23 . מ ניעת גישה ישירה של המשתמש לאינטרנט באמצעות שימוש בחוצץ דוגמתRBI או טכנולוגיה דומה . 24 . מומלץ לוודא כי מתאפשרת:הורדת קבצים רק לאחר השלמת הבדיקות הבאות 1. הקובץ הינו מ סוג שהוגדר ב- Allow List , וקיימת זהות בין סיומת הקובץ, ה- Header המציין את סוגו וה- Payload . 2. הקובץ אינו מכיל נוזקה– באמצעות שימוש בחתימות עדכניות, וכן בדיקתSandbox .לאיתור התנהגות חשודה 13 15 אבטחת שרשרת ה אספקה | 25 . מומלץ לוודא כי ספקים בשרשרת האספקה עומדים בדרישות מתודת שרשרת האספקה של מערך הסייבר הלאומי. 16 | אבטחה פיזית 26 . היערכות למניעת פגיעה פיזית אפשרית במתקנים ולהתאוששות ממנה בשיתוף גורמי האבטחה .הפיזית בארגון 27 . מומלץ לוודא כי חדרי השרתים של הארגון עומדים בדרישות תקןTIA-942 אוUptime Institute , Tier 3 .ומעלה 28 . מומלץ לוודא כי חדר השרתים הארגוני והאתר החלופי(DR) ממוקמים באיזורים גיאוגרפיים שונים ואינם סמוכים זה לזה. במקרה של העדר אתר חלופי, מומלץ לבחון הקמה של אתר מסוג זה, או שימוש ב סביבת ענן ציבורית כתחליף. פרויקטים לאומיים על-ידי מערך הסייבר הלאומי 1. פרויקטMIRROR - Managing IR Remediation (for) Organizational Resilience - קהילה .מקצועית לטובת שיתוף מידע טכני באופן מהיר והדדי17 2. תכנית VDP – Vulnerability Disclosure Program – תכנית לגילוי ואסגרת חולשות המאגדת .קהילת חוקרים מקצועיים המסיעים לחוסן המשק הישראלי והעולמי 3. תשתיות פישינג – איתור ודיווח על אודות תשתיות פישינג והונאה.במרחב הסייבר 4. מרכז לדיווח - ב כל מקרה של חשד לאירוע סייבר ניתן לפנות למרכז המבצעי הזמין24/7 במספר 119 ., לדיווח וסיוע במקרה הצורך דיווח באמצעות טופס ממוחשב- טופס דיווח לארגון טופס דיווח לאזרח 16 1.4 גרסה - שאלון ספקים לחיזוק שרשרת האספקה https://www.gov.il/he/departments/news/querysupply 17 פרויקט - MIRROR קול קורא להשתתפות בקבוצת שיתוף מידע מקצועית https://www.gov.il/he/departments/publications/Call_for_bids/mirror_call CLEAR 16 נספח א ' | רשימת פגיעויות הנפוצות בשימוש קבוצות תקיפה חלק ראשון - חולשות המנוצלות ע"י כ- 15 קבוצות :לתקיפות בישראל18 CVE CVSS Vendor Product CVE-2023-4966 7.5 Citrix NetScaler ADC and NetScaler Gateway CVE-2023-47246 9.8 SysAid SysAid Server CVE-2023-46748 8.8 F5 BIG-IP Configuration Utility CVE-2023-46747 9.8 F5 BIG-IP Configuration Utility CVE-2023-43770 6.1 Roundcube Roundcube webmail CVE-2023-38831 7.8 RARLAB WinRAR CVE-2023-36851 5.3 Juniper Junos OS CVE-2023-36847 5.3 Juniper Junos OS CVE-2023-36846 5.3 Juniper Junos OS CVE-2023-36845 9.8 Juniper Junos OS CVE-2023-36844 5.3 Juniper Junos OS CVE-2023-34362 9.8 Progress MOVEit Transfer CVE-2023-29336 7.8 Microsoft Win32k CVE-2023-27997 9.8 Fortinet FortiOS CVE-2023-22518 9.8 Atlassian Confluence Data Center and Server CVE-2023-22515 9.8 Atlassian Confluence Data Center and Server CVE-2023-20198 10.0 Cisco IOS XE Web UI CVE-2022-47966 9.8 Zoho ManageEngine CVE-2022-41082 8.8 Microsoft Exchange Server CVE-2022-26134 9.8 Atlassian Confluence Server/Data Center CVE-2022-1388 9.8 F5 BIG-IP CVE-2021-45046 9.0 Apache Log4j2 CVE-2021-44223 9.8 WordPress Wordpress Core CVE-2021-34473 9.8 Microsoft Exchange Server CVE-2021-22986 9.8 F5 BIG-IP and BIG-IQ Centralized Management CVE-2021-21307 9.8 Lucee Server Lucee Server CVE-2020-5902 9.8 F5 BIG-IP CVE-2020-14882 9.8 Oracle WebLogic Server CVE-2020-0796 10.0 Microsoft SMBv3 CVE-2019-19781 9.8 Citrix Application Delivery Controller (ADC), Gateway, and SD-WAN WANOP Appliance CVE-2019-1653 5.3 Cisco Small Business RV320 and RV325 Routers 18 פגיעויות המנוצלות לתקיפות בישראל https://www.gov.il/he/departments/publications/reports/alert_1667 CLEAR 14 15 17 CVE-2019-11510 10.0 Ivanti Pulse Connect Secure CVE-2018-13379 9.8 Fortinet FortiOS CVE-2017-0199 7.8 Microsoft Office and WordPad CVE-2017-0143 8.1 Microsoft Windows חלק שני| חולשות בשימוש פעילות גורמי פשיעת סייבר במרחב הסייבר הישראלי: 19 Product Vendor CVE CVSS IOX XE Cisco CVE-2023-20273 CVE-2023-20198 7.2 10.0 ASA, FTD Cisco CVE-2023-20269 9.1 Expressway Series, VCS Cisco CVE-2023-20209 7.2 Catalyst SD-WAN Manager Cisco CVE-2023-20252 9.8 NetScaler ADC NetScaler Gateway Citrix CVE-2023-3519 CVE-2023-4966 CVE-2023-4967 9.8 7.5 7.5 SharePoint Microsoft CVE-2023-29357 9.8 Webmail Roundcube CVE-2023-5631 CVE-2020-35730 CVE-2020-12641 CVE-2021-44026 5.4 6.1 9.8 9.8 Tomcat Apache CVE-2023-41080 6.1 ActiveMQ Apache CVE-2023-46604 9.8 SSL-VPN Fortinet CVE-2023-27997 9.8 vCenter VMware CVE-2023-34048 9.8 WS_FTP Progress CVE-2023-40044 CVE-2023-42657 8.8 9.6 Deep Discovery Inspector Apex One Worry-Free Business Security Trend Micro CVE-2023-3823 CVE-2023-3824 CVE-2023-41179 7.5 9.8 7.2 FortiProxy FortiOS FortiWeb Fortinet CVE-2023-29183 CVE-2023-34984 5.4 8.8 ESG Barracuda CVE-2023-2868 9.8 Avalanche, Sentry Ivanti CVE-2023-32560 CVE-2023-38035 9.8 9.8 מקורות 1. https://www.cisa.gov/known-exploited-vulnerabilities-catalog 2. https://www.gov.il/he/departments/publications/reports/vulncatalog1401 19 פעילות כופרה במרחב הסייבר הישראלי https://www.gov.il/he/departments/publications/reports/alert_1662 CLEAR 18 שיתוף מידע עם ה- CERT הלאומי אינו מחליף חובת דיווח לגוף מנחה כלשהו , .ככל שחלה על הגוף חובה כזו המידע נמסר כפי שהוא( as is ,)השימוש בו הוא באחריות המשתמש ומומלץ להיעזר באיש מקצוע בעל .הכשרה מתאימה לצורך הטמעתו 03 CLEAR 16