סוכנויות ביון מארה"ב, קנדה, ניו זילנד ואוסטרליה: כך תגנו על עצמכם מהאקרים
בעקבות פריצה לספקיות התקשורת הגדולות בארה"ב, שיתוף פעולה בינלאומי הוליד המלצות קונקרטיות כיצד להקשיח את האבטחה של מערכות המחשוב
סוכנויות ביון וסייבר קוראות למנהלי ומנהלות רשתות להקשיח את האבטחה. "פעילים הקשורים לסין פרצו לרשתות של ספקיות תקשורת גדולות ובינלאומיות במסגרת קמפיין ריגול סייבר רחב ומשמעותי", נכתב בהודעה המשותפת של CISA (סוכנות הגנת סייבר ותשתיות בארה"ב), ה-NSA, וה-FBI, יחד עם סוכנויות סייבר אוסטרלית (ASD’s ACSC) קנדית (CCCS) וניו זילנדית (NCSC-NZ).
ההודעה מגיעה בעקבות תקיפת סייבר חמורה על חברות טלקום גדולות בארצות הברית, כולל AT&T, Verizon, T-Mobile, ו-Lumen Technologies. התקיפה, שכונתה "Salt Typhoon", מיוחסת לקבוצת תקיפה סינית הנתמכת על ידי המדינה ומטרתה הייתה בעיקר איסוף מודיעין, ולא פגיעה ישירה בפעילות עסקית.
הפריצה עדיין לא טופלה במלואה
ההאקרים הצליחו לחדור למערכות רגישות ולאסוף נתונים כמו מטה-דאטה של שיחות, יומני שיחות, ואף האזנה לחלק מהשיחות החיות. הם פרצו למערכות המשמשות לאכיפת החוק בארצות הברית לצורך ניטור תקשורת, וזאת על ידי ניצול של חולשות במערכות לא מעודכנות וגישה דרך רשתות ספקים חיצוניים, ולא דרך התקנים המחוברים לאינטרנט. התקיפה עוררה חשש רב בשל חשיפת מידע רגיש של לקוחות, כולל גורמים ממשלתיים.
ג'ף גרין, מה-CISA אמר בשיחה עם NBC כי היקף הפריצה הסינית כל כך גדול שזה בלתי אפשרי לחזות או לפרסם לוח זמנים כלשהו לניקוי המלא של הרשתות. למעשה זה מה שהפך אותה, על פי דיווחים, לאחת החמורות בהיסטוריה של ארצות הברית – בעיקר מכיוון שהיא טרם טופלה, ולכן עדיין יש נוכחות סינית על גבי המערכות הללו. נציג FBI ששוחח עם התקשורת הוסיף כי עד כה הם זיהו שההאקרים הצליחו בין השאר, להשיג מידע שמראה לאילו מספרים התקשרו לקוחות, להאזין לשיחות, ולגשת למערכות פנימיות של ספקיות התקשורת. גרין אף המליץ לאזרחים פרטיים לעבור לאפליקציות תקשורת מוצפנות כאשר הדבר מתאפשר.
בעקבות הפריצה הסוכנויות פירסמו אתמול (ד') מדריך טכני מפורט, שמסביר כיצד אפשר להקשיח את האבטחה ולחזק את רכיבי הרשת על מנת להתגונן מפני מתקפות כאלה. נכון לתאריך הפרסום, נכתב במדריך, פריצות או פגיעות שזוהו כקשורות לפעילים הללו נמצאו כתואמות לחולשות שקיימות בתשתיות של החברות שנפגעו. לפי הסוכנויות, לא נצפתה פעילות חדשה או ייחודית – והמטרה במדריך היא להפחית את הסיכוי לפריצה.
צעדים להגנה על הרשת
המדריך, שניתן לקרוא במלואו כאן, ממליץ על שורה של צעדים שיעזרו להתגונן מפני פריצה. הנה כמה מההמלצות הנבחרות, אבל מומלץ להיכנס לקישור (או לשלוח אותו למנמ"ר הקרוב) כדי לרדת לרזולוציות העמוקות והטכניות שבו.
- לבדוק ולחקור בקפידה כל שינוי או עדכון בקונפיגורציה של רכיבי רשת כמו סוויצ'ים, ראוטרים ופייר וול. כמו כן, ליישם מנגנוני התרעה מקיפים כדי לזהות שינויים לא מאושרים ברשת, כולל עדכוני ניתוב חריגים, פרוטוקולים חלשים או שינויים בקונפיגורציה ובמשתמשים.
- לנהל קונפיגורציות ממקום מרכזי ולא דרך ההתקנים, לנטר את פעילות ותעבורת הרשת, להגביל את הגישה של ניהול התעבורה לאינטרנט, לנטר פעילות של חשבונות משתמשים, לנהל רישום במקום מרכזי שיאפשר לבצע הצלבות ולהצפין אותו באמצעות מגנונים כמו IPsec ו-TLS ולהשתמש בכלי SIEM.
- להבין אילו נכסים צריכים לפנות החוצה (forward facing) ולהסיר את אלה שלא. לנטר בקפדנות את כל המכשירים המקבלים חיבורים חיצוניים מחוץ לרשת הארגונית, ולחקור קונפיגורציות כמו פורטים פתוחים או שימוש בלתי צפוי ב-GRE וב-IPsec.
- להשתמש ברשת Out-of-Band, המופרדת פיזית מהרשת התפעולית, וכן לוודא כי ניהול התקני תשתית הרשת מתאפשר אך ורק דרכה. יש לוודא גם כי היא אינה מאפשרת חיבורים רוחביים בין התקנים, כדי למנוע תנועה רוחבית במקרה של פגיעה באחד מההתקנים.
- להשבית שירותים ופרוטוקולים מיותרים, כאלה שאינם בשימוש, וכאלה שהם פגיעים או לא מוצפנים, כגון Telnet, File Transfer Protocol (FTP), Trivial FTP (TFTP), SSH v1, שרתי Hypertext Transfer Protocol (HTTP) ו-SNMP v1/v2c. יש לוודא שהשירותים שכן חשופים לאינטרנט מוגנים כהלכה באמצעות ACLs ומעודכנים לתיקוני האבטחה האחרונים.
הסוכנויות מציינות כי ההאקרים לעיתים קרובות מתמקדים בתכונות ספציפיות של ציוד Cisco, ומייעצות לפנות למדריכי החברה כדי לעדכן ולהקשיח את האבטחה. בנוסף הן ממליצות לדווח על אירועים לסוכנויות הסייבר המקומיות. בעוד שישראל לא מוזכרת במדריך – הגורם הרלוונטי כאן הוא מערך הסייבר.