הסוף לפרצת הענן הגדולה בהיסטוריה?

חן בורשן, מנכ״ל סקייהוק סקיוריטי, באדיבות סקייהוק סקיוריטי

2 האקרים הואשמו השבוע על ידי משרד המשפטים האמריקאי שהם עומדים מאחורי הפרצה לחברת הטכנולוגיה סנופלייק מוקדם יותר השנה. השניים- קונור מואוקה (נעצר בקנדה) וג’ון בינס (נעצר בטורקיה) מואשמים שפרצו לחשבונות של חברת סנואופלייק ולחשבונות של יותר מ-160 לקוחותיה ברחבי העולם- כולל לזה של חברת התקשורת AT&T וגנבו את המידע על כל לקוחות הסלולר שלה- והכל בגלל ססמאות חלשות. 

חברת התוכנה Snowflake אחת מיקירות תעשיית הטק בשנים האחרונות, הנפיקה לפני קרוב ל-4 שנים בסכום האגדי של 57 מיליארד דולר, ההנפקה הגדולה ביותר של חברת תוכנה. מאז זרמו הרבה ביטים ברשתות התקשורת השונות והחברה עברה כמה תהפוכות, ו  Snowflake נותרה אחת מחברות התוכנה הארגונית הגדולות והמבטיחות בעולם. היא משרתת עשרות אלפי לקוחות ברחבי העולם, להם היא מעניקה שירותי Data Warehouse  בענן, ובתור שכזו, היא מהווה מוקד עניין לתוקפים שונים. בתחילת חודש יוני 2024 נתגלו מספר חדירות לחשבונות של סנופלייק עצמה ויותר מכך אצל לקוחותיה. ככל שעובר הזמן מתברר שמדובר כנראה בקמפיין תקיפה נרחב שתירגט לקוחות רבים ומשמעותיים בעולם, כגון בנק סנטנדר, פלטפורמת מסחר הכרטיסים טיקטמאסטר, יצרנית חלפי הרכב Advanced Auto parts וכמובן, ענקית הטלקו AT&T. 

לפי ההודעה של Snowflake,  נודע לחברה לראשונה על התקרית ב-23 במאי. קמפיין ממוקד של תוקף לא ידוע מינף פרטי גישה שנרכשו בעבר או שהושגו באמצעות גניבה לגשת לחשבון דמו בבעלות עובד לשעבר של Snowflake (שלא היה מוגן על ידי אימות רב שכבתי- MFA). החברה שכרה מומחי אבטחה ומודיעין של חברת Mandiant  וחקירתם אישרה שהאירוע לא נגרם מפגיעות, תצורה שגויה או פריצה של הפלטפורמה של Snowflake, אלא מניצול לרעה של פרטי גישה גנובים. הם מדווחים שהמערכות שלSnowflake עצמו לא נפגעו, ומכאן שכל ההתקפות הקשורות בוצעו על ידי קבוצת הפריצה (שזכתה לכינוי UNC5537 – קבוצה לא מאוד מוכרת שמורכבת מהאקרים שמתגוררים בצפון אמריקה ובטורקיה) תוך פגיעה בחשבונות ישירות של הקורבנות ולא הפלטפורמה של סנופלייק עצמה. 

בדוח, מנדיאנט מדגישים את הגורמים העיקריים הבאים שאפשרו לתוקפים לחדור לכל כך הרבה ארגונים (165 לפי מספרם). אלו הם:

  1. גניבת וסחר ביוזרים ופרטי גישה: נראה כי פרטי הגישה ששימשו למתקפה נגנבו לפני התקריות, חלקם לפני שנים, על ידי מספר קבוצות תקיפה שהתמחו בכך. פרטי הגישה הללו נמכרו לאחר מכן במרקטפלייסים ייעודיים בדארקנט. 
  2. פרטי גישה שלא השתנו במשך שנים: פרטי הגישה של חשבונות שונים היו עדיין תקפים זמן רב לאחר גניבתם, במקרים מסוימים, שנים לאחר גניבתם, ולא עודכנו או בוטלו.
  3. העדר הגדרות אבטחה מספקות. חלק מלקוחות Snowflake לא הגבילו את הגישה למערכת רק מכתובות IP וכתובות דומיין ספציפיות. ובנוסף החשבונות המושפעים לא הוגדרו עם אימות רב-שלבי, כך שבפועל לתוקפים התאפשרה גישה ללא כל מגבלה רק על בסיס המידע שאותו השיגו ושלא השתנה במשך שנים כפי שתארנו בסעיפים 1 ו 2. 
  4. עובדי קבלן – חלק מהחשבונות שנפרצו (של לקוחות החברה, לא של סנופלייק עצמה) היו קשורים לקבלנים חיצוניים שסייעו לארגונים בהגדרה ותפעול של התוכנה. נראה שלפחות חלק מהעובדים הללו לא הקפידו על נהלי אבטחה קפדניים (יש להניח שבניגוד להנחיות המעסיק שלהם, חלק מהמחשבים הניידים שלהם שימשו גם לפעילויות אישיות, כולל משחקים והורדות של תוכנות לא מאושרות). היות ואותם קבלנים סיפקו שרותים למספר רב של לקוחות Snowflake , מחשב נייד אחד של קבלן שנפגע יכול היה לקבל גישה למספר רב של חשבונות סנופלייק בקרב לקוחות רבים שאותו עובד סיפק להם שרות. זו אינה אשמתה של סנופלייק כמובן, אך זה מדגיש את הפגיעות של אקוסיסטם כזה שבה לקבלנים חיצוניים יש גישה לחשבונות והם הופכים למעין נקודת חדירה לארגונים רבים (סוג של שרשרת אספקה).  

כל הגורמים הללו אפשרו לתוקף לפרוץ ארגונים רבים; הניצול שלהם לא דרש כישורי “פריצה” אדירים או ידע בפרצות תוכנה וניצול שלהן וכפי שקורה הרבה פעמים, הפריצה מתאפשרת בשל מספר גורמים שדי היה שאחד מהם לא היה מתקיים כדי למנוע את המתקפה או לכל הפחות להקשות יותר על התוקפים בלהצליח בה. 

אבל חלק מהתקיפות היו חמורות יותר מאחרות. ל-AT&T היו 242 מיליון מובייל בארה”ב בסוף השנה שעברה, והיא מסרה שהנתונים שנגנבו כוללים “כמעט כל הלקוחות שלנו”. מוקדם מדי להעריך את ההשפעה הכוללת על החברה ולקוחותיה. העובדה שחברה ענקית כל כך נפרצה בגלל שתוקף ניגש לחשבון עובד שלא היה מוגן היטב על ידי שימוש רק בפרטי גישה גנובים היא מטרידה. זה בוודאי אומר שזה יכול לקרות לארגונים אחרים, קטנים יותר.

איך למנוע מקרים כאלה?

מכיוון שלא הייתה פריצה בפועל ללקוחות החברה, נראה שהטיפ הטוב ביותר יהיה ליישם מדיניות היגיינה בסיסית של גישה לענן, כגון ביטול חשבונות שאינם בשימוש ומדיניות סיבוב סיסמאות קיימת. יש כמובן גם להקפיד שקבלנים חיצוניים מקפידים על נהלי אבטחה…. אבל אם זה היה כל כך פשוט, זה היה קורה, וההאקרים לא היו מצליחים.

גישה מציאותית יותר וניתנת לפעולה תהיה פריסת טכנולוגיות אשר לא מסתמכות רק על הזדהות של המשתמש אלא גם בוחנת התנהגות ופקטורים נוספים, טכנולוגיות כאלו יכולות להיות למשל טכונולוגיות ZertoTrust ובענן טכנולוגיות CDR (זיהוי איומים והפעלת תגובה אוטומטית). כיום כבר יודע שהמתקפות בענן כמעט ומכפילות את עצמן משנה לשנה וכ 70% מהן מתחילות ע”י ניצול פרטי גישה שדלפו בדרך זו או אחרת, ולכן לא מספיק לדואג לטפל במיסקונפיגורציות וחייבים גם לנטר התנהגות על מנת לספק מענה אוטומטי לאיומים במידה ושאר הנהלים כושלים. טכנולגייה כזו, המשתמשת בזיהוי התנהגותי ובשילוב עם סימולציית פריצה שעשויה לצפות מראש גם מה יהיה הנזק הצפוי מאיום לפני שהוא מתרחש, וע”י כך ניתן יהיה לשקול את אופן חסימת הארוע למול הנזק הצפוי. 

למשל טכנולוגיה מסוג CSPM מתריעה על כך שחשבון לא מוגן על ידי MFA, בנוסף ניתן להצליב את רמת ההרשאות של החשבון והגישה לנתונים. אבל נקודת המוצא צריכה להיות שאם תוקף ירצה לפרוץ הוא יצליח בזה (ראו מקרה אובר שבו היה MFA והתוקף עקף אותו ע”י הטעיה של המשתמש בטכניקת MFA Fatigue), ולכן טיפול בקונפיגורציה נכונה, בעוד הוא חשוב, פשוט איננו מספיק ולכן צריך בנוסף טכנולוגיית זיהוי התנהגויות חשודות וזיהוי איומים בזמן אמת כדי שניתן יהיה להגיב לאיום ולמנוע את הנזק. 

סיכום

אם דוח Snowflake מדויק, אז תשתית הענן של החברה עצמה לא נפגעה אבל התוקפים ידעו שהמשתמשים של החברה לא משתמשים בשיטות אבטחה מחמירות, מה שהפך אותם למטרות קלות ואיפשר את הניצול שלהם. אין לזה שום קשר לשירות הענן הספציפי שמספקת Snowflake (בניגוד לקמפיינים קודמים של פריצה כמו Solarwinds), וניצול כזה יכול לקרות לכל משתמש בשירותי ענן. לכן, חיוני שארגונים ילמדו את הקמפיין הזה ויתכוננו לעתיד, תוך לקיחה בחשבון של כמה היבטים חשובים של פגיעויות מודרניות מבוססות ענן, שרוב הארגונים צריכים לשים לב אליהם:

• הקלות של ביצוע מתקפות נגד מערכות מבוססות ענן– התקפות אלו, על אף שבוצעו על ידי האקרים מומחים כביכול, לא דרשו רמה גבוהה של מיומנות, אלא ידע כללי כיצד ארגונים מזניחים נהלי אבטחה ו-IT בסיסיים. במבט קדימה- הרבה יותר תוקפים ילכו בדרך הזו ויבצעו התקפות רבות נגד מערכות כאלה.

• חשיבות נוהלי היגיינת אבטחה בסיסיים– היגיינת אבטחה בענן ויישום נוהלי אבטחה לקויים הם גורם נוסף שאי הקפדה עליו מגביר את הסיכון לארגונים. נקודה זו מקבלת משנה תוקף בענן בשל נגישותם של שירותים אלו לעולם החיצון וכפי שראינו, ניתן היה לחדור אותם בקלות.

• סיכונים של צד שלישי ושרשרת אספקה– צדדים שלישיים תמיד היוו סיכונים לארגונים, אבל הענן החמיר את הסיכון הזה לרמות פנומנליות. קבלן אחד עם גישה למספר חשבונות משתמש יכול לסכן את הארגון כולו.

• חשיבות השימוש ב-CDR– לאור הסיכונים והאתגרים העצומים, יש צורך להשתמש בטכנולוגיות אבטחה מודרניות שיכולות לזהות ולהתריע מפני התקפות כאלה. מוצרי אבטחה CDR (זיהוי איומים ותגובה בענן) יכול היה לזהות את ההתקפות הללו. על ידי שימוש בניתוח התנהגותי, CDR יכול היה לזהות התנהגות חריגה. בנוסף שילוב של CDR עם סימולציות פריצה יכול היה לתת פרדיקציה מראש על רמת הסיכון של אירוע מסוים על פני אחר בשל הניתוח מראש של הנזק הצפוי.

הנתונים, המידע, הדעות והתחזיות המתפרסמות באתר זה מסופקים כשרות לגולשים. אין לראות בהם המלצה או תחליף לשיקול דעתו העצמאי של הקורא, או הצעה או שיווק השקעות או ייעוץ השקעות – בין באופן כללי ובין בהתחשב בנתונים ובצרכים המיוחדים של כל קורא – לרכישה ו/או ביצוע השקעות ו/או פעולות או עסקאות כלשהן. במידע עלולות ליפול טעויות ועשויים לחול בו שינויי שוק ושינויים אחרים. כמו כן עלולות להתגלות סטיות בין התחזיות המובאות בסקירה זו לתוצאות בפועל. לכותב עשוי להיות עניין אישי במאמר זה, לרבות החזקה ו/או ביצוע עסקה עבור עצמו ו/או עבור אחרים בניירות ערך ו/או במוצרים פיננסיים אחרים הנזכרים במסמך זה. הכותב עשוי להימצא בניגוד עניינים. בלומר אינה מתחייבת להודיע לקוראים בדרך כלשהי על שינויים כאמור, מראש או בדיעבד. בלומר לא תהיה אחראית בכל צורה שהיא לנזק או הפסד שיגרמו משימוש במאמר/ראיון זה, אם יגרמו, ואינה מתחייבת כי שימוש במידע זה עשוי ליצור רווחים בידי המשתמש.
Exit mobile version