Izraelskie operacje z zakresu cyberbezpieczeństwa są prowadzone w Beer Szewie, największym mieście kraju, położonym na pustyni Negew w południowym Izraelu.
Izrael Zespół reagowania na cyberawarie (Il-CERT) zapewnia pierwszą linię reagowania dla firm i obywateli dotkniętych cyberatakami.
Ten CERTYFIKAT jest częścią centrum cyberbezpieczeństwa firm typu start-up, wspieranego przez Uniwersytet Ben Guriona w Negewielaboratoria innowacji high-tech oraz kampus cybernetyczny i technologiczny Sił Obronnych Izraela.
Około siedmiu Centra Operacji Bezpieczeństwa (SOC) działają obok CERT, monitorując, wykrywając i analizując cyberzagrożenia w różnych sektorach gospodarki, w tym w sektorze wodnym i energetycznym, usługach publicznych oraz policji i służbach ratunkowych. realizowane są prace nad kolejnymi sześcioma SOC.
Sercem operacji jest awaryjna infolinia telefoniczna 119, dostępna dla wszystkich, kto może zadzwonić i zgłosić cokolwiek, co może być powiązane z cyberatakiem. Może to być podejrzany e-mail, podejrzany adres URL lub złośliwe oprogramowanie.
Z infolinii korzystają powszechnie wszyscy, od młodych ludzi, którzy otrzymali podejrzany link w mediach społecznościowych, po dyrektorów firm, którzy uważają, iż padli ofiarą hakerów.
Dzięki mapowaniu incydentów eksperci ds. cyberbezpieczeństwa CERT są w stanie dostrzec trendy ogólnokrajowe i zidentyfikować najpoważniejsze próby włamań dla zespołów reagowania CERT.
Dyrektor wykonawczy
Dana Toren jest dyrektorem wykonawczym CERT. Była analityczką wywiadu i analitykiem danych w biurze premiera, odpowiada za nadzorowanie operacji CERT.
„Musimy ustalić, czy incydenty mają znaczenie ogólnokrajowe” – powiedziała w wywiadzie dla Computer Weekly.
Przykładowo atak na małą firmę może mieć wpływ na wiele innych przedsiębiorstw korzystających z jej usług.
W zeszłym roku CERT otrzymał 13 000 zgłoszeń dotyczących incydentów, co stanowi wzrost o 43% w porównaniu z rokiem poprzednim.
W ciągu 270 dni, odkąd Izrael wypowiedział wojnę Gazie, CERT zidentyfikował 1900 poważnych ataków cybernetycznych na izraelskie firmy, a charakter tych ataków uległ zmianie.
Teraz są zaprojektowane tak, aby wyrządzać szkody izraelskiej infrastrukturze, a liczba ataków ransomware wzrosła. Grupy wspierane przez Iran starają się publikować zhakowane dane w dark webie lub przeciekać je do mediów.
Największe zagrożenia
Gaby Portnoy, dyrektor generalny Israel National Cyber Directorate (INCD), identyfikuje Iran, Hezbollah i powiązane z Iranem grupy hakerskie jako największe cyberzagrożenie dla Izraela, a ich ataki stały się poważniejsze od czasu wojny. „Do 7 października nie atakowali szpitali” — powiedział. „Od 7 października wszystkie izraelskie szpitale zostały zaatakowane przez Iran”.
Toren powiedziała, iż chociaż Iran odgrywa dużą rolę w atakach na Izrael, zespół reagowania kryzysowego bardziej interesuje się reagowaniem na cyberwtargnięcia niż identyfikacją osób za nimi stojących. „Trudno przypisać ataki konkretnym graczom” – powiedziała. „Wszyscy używają tych samych narzędzi. [We are] organizacja defensywna. Nie mamy do czynienia z atakującymi. Chronimy tylko przemysły”.
Sala kontrolna CERT zawiera stanowiska pracy dla kilkunastu osób i 10 dużych wyświetlaczy ściennych. Jeden z wyświetlaczy to mapa pokazująca ataki cybernetyczne w czasie rzeczywistym, zebrane przy użyciu informacji wywiadowczych dostarczonych przez amerykańsko-izraelską firmę zajmującą się cyberbezpieczeństwem Check Point.
Inny ekran wyświetla strony internetowe firm, które zostały zdewastowane przez hakerów. Analitycy sprawdzają je dwa razy dziennie i powiadamiają organizacje, których to dotyczy.
Od początku wojny Toren zwiększył liczbę osób pracujących na pełen etat w CERT z 90 do 120 pracowników.
Organizacje, które tworzą krytyczną infrastrukturę narodową Izraela, taką jak woda, elektryczność i szpitale, są prawnie zobowiązane do zgłaszania naruszeń cybernetycznych. Ale dla innych infolinia 119 jest dobrowolna.
W zamian za telefoniczne raportowanie, firmy i osoby prywatne otrzymują poufną poradę. Na przykład CERT nie będzie zgłaszać cyberataków regulatorom ani publicznie identyfikować organizacji, które zostały zhakowane.
CERT udziela porad i rekomendacji osobom dzwoniącym na infolinię w sprawach związanych z cyberbezpieczeństwem.
Jego zasoby są jednak ograniczone. Ma cztery zespoły śledczych ds. reagowania na incydenty, które tworzą zespół reagowania składający się z zaledwie 16 osób.
„Musimy się dobrze zastanowić, zanim udostępnimy tę usługę” – powiedział Toren, mając na uwadze ograniczone zasoby CERT.
Zespoły są wysyłane wyłącznie w przypadkach o znaczeniu ogólnokrajowym oraz gdy atak na jedną firmę mógłby stanowić zagrożenie dla całej branży.
Hakerzy dotknęli 80 firm
W jednym z takich przypadków śledczy z CERT odkryli, iż powiązana z Iranem grupa hakerów zinfiltrowała małą firmę zajmującą się łańcuchem dostaw i wykorzystała ją jako przyczółek do zainfekowania kolejnych 80 organizacji.
Jak powiedział Toren w wywiadzie dla Computer Weekly, atak, który miał miejsce w 2020 r., mógł potencjalnie zakłócić import i eksport ropy naftowej do Izraela.
„Mieliśmy trzy lub cztery połączenia na 119, w których ludzie zgłaszali, iż zostali zaatakowani” – powiedziała. „Na początku nie mogliśmy znaleźć związku”.
Następnie prywatna firma zajmująca się reagowaniem na cyberzagrożeniami zadzwoniła, aby poinformować, iż firma zarządzająca systemem inwentaryzacyjnym padła ofiarą ataku hakerskiego.
„Natychmiast się z nimi skontaktowaliśmy i powiedzieliśmy, iż naszym zdaniem doszło do włamania do waszej sieci” – powiedział Toren. „Był piątek i wysłaliśmy zespół reagowania na incydenty”.
Śledczym udało się zidentyfikować oznaki – lub wskaźniki zagrożenia – operacji hakerskiej na tyle wcześnie, aby ostrzec 80 zagrożonych organizacji.
Złośliwe oprogramowanie zostało zidentyfikowane jako Zapłać za klucz oprogramowanie ransomware powiązane z Iranem Kociak lis grupa hakerska.
Skanowanie podatności
Inną rolą CERT jest ostrzeganie organizacji o lukach w zabezpieczeniach ich systemów komputerowych. INCD zintensyfikował swój program skanowania luk po 7 października, powiedział Portnoy.
Szpitale i inne służby o znaczeniu krytycznym przeszły co najmniej sześć kontroli „powierzchni ataku” w swoich sieciach w celu zidentyfikowania słabych punktów, które mogłyby zostać wykorzystane przez hakerów.
INCD skanuje również dark web w celu identyfikacji haseł i innych ważnych informacji, które mogłyby narazić sieci firmowe na niebezpieczeństwo.
Operacja obejmuje 5000 organizacji i około 33000 adresów IP. „Dokładnie skanują infrastrukturę, aby znaleźć systemy podatne na luki, a my kontaktujemy się z nimi, aby udzielić wskazówek, jak je naprawić” — powiedział Toren.
Inne alerty pochodzą z sond End Point Detection and Response umieszczonych w sieciach organizacji w celu zapewnienia wewnętrznego obrazu ich cyberbezpieczeństwa.
Gdy CERT zidentyfikuje sygnaturę ataku, znaną jako „wskaźniki zagrożenia”, jest ona udostępniana innym organizacjom za pośrednictwem interfejsu programowania aplikacji, który może automatycznie aktualizować cyberobronę.
Ale jest świadomość, iż trzeba zrobić więcej. Izrael rozpoczął projekt mający na celu ulepszenie swoich cyberobrony w 2021 r.
System znany jest pod nazwą Cyber Dome, nawiązującą do izraelskiego systemu obrony przeciwrakietowej Cyber Dome. Jego celem jest wykrywanie i łagodzenie skutków ataków w miarę ich występowania przy użyciu sztucznej inteligencji i dużych zbiorów danych.
W tym samym czasie Izrael jest zacieśnianie współpracy z innymi krajami w zakresie rozwijania cyberobrony.
