אם ניסיתם לגלוש סביב 7 באפריל 2023, חול המועד הפסח, לאתרים ישראליים חשובים – אתרי בתי חולים ואוניברסיטאות, נמלי ים וחברות תעופה, גופי חדשות ועוד – לא בטוח שהצלחתם, לפחות לא מיד. הגישה לאתרים נחסמה לסירוגין במאמץ מרוכז של קבוצות האקרים מסודן עד בנגלדש. על חלק מהמקרים נטלה אחריות קבוצת תקיפה רוסית המוכרת היטב במערכי הסייבר. לעיתים הפעילות באתר שובשה, כשאת המידע והשירותים בדף הבית מחליף מסר עוין כלשהו. אולם ברוב המקרים, הגישה נמנעה כליל. כלי הנשק היה ה-DDoS הידוע לשמצה. בגדול, זה אומר שכמות אדירה של קריאות נשלחה בבת אחת לשרתים, מה שהביא לקריסתם.
מתקפת DDoS – מניעת שירות מבוזרת – היא אחד הכלים הנפוצים, היעילים והפשוטים כיום לשימוש בלוחמת סייבר. "תמורת מאה דולר אפשר לקנות מתקפה שתשלח בקשות כניסה בהיקף חריג לשרת וכך להשבית את דואר ישראל או עירייה גדולה", אומר רועי קופלר, מנהל תחום הענן בפרטנר עסקים שעוסק רבות בנושא. "אפשר גם לשכור בזול צוות שיעשה את זה עבורך במעין מיקור חוץ. מרגע שהשרת מקבל הרבה יותר בקשות מה-Capacity שהוא מסוגל להכיל, הוא נופל".
החתירה לכאוס כללי בישראל היא בדיוק מה שמנחה את קבוצות התקיפה השונות מדי שנה, כל השנה, וביתר שאת מאז 7 באוקטובר.
מה קורה כשהשרת נופל? אם מדובר בחברה שנשענת על סחר אלקטרוני (איקומרס), כל דקה שהאתר שלה לא באוויר היא הפסד כספי – גם באופן ישיר וגם כנזק מצטבר, בשל הפנייה לאתר מתחרה והפגיעה במוניטין. ועכשיו תחשבו על הבורסה, בנקים גדולים או אתרי ממשל בזמן חירום.
אבל למה לבחור מטרה אם אפשר גם-וגם? אז כדי לסבך עוד יותר את התמונה ופשוט לשבש את החיים, גורמים המזוהים עם ארגוני טרור או ממשלות עוינות תוקפים אותנו באופן רנדומלי, מכל הבא ליד. "האקרים יכולים להקים בקלות ובמהירות סביבת שרתים וליצור מאות אלפי שאילתות במטרה להשבית כמה שיותר גופים", אומר קופלר. ואם בעבר הלא רחוק זה הצריך הרבה מאוד טאץ' אנושי, הרי שהיום, בעזרת כלי AI, המכונה יכולה לקחת את זה הלאה בצורה רחבה ויעילה פי כמה.
החתירה לכאוס כללי בישראל היא בדיוק מה שמנחה את קבוצות התקיפה השונות מדי שנה, כל השנה, וביתר שאת מאז 7 באוקטובר: על פי הנתונים ההנדסיים של פרטנר אותם הציג אמיר עוז, מנהל אגף תפעול טכנולוגיות בפרטנר, בין הרבעון השלישי של 2023 (יולי-ספטמבר) לבין הרבעון הרביעי (אוקטובר-דצמבר) חל גידול של 350% בהיקף תקיפות ה-DDoS. בעיקר ניכר הגידול בפרקטיקות תקיפה של הצפת SYN, Fragmentation ו-DNS Amplification – אבל את זה נשאיר לפעם אחרת.
ריקוד המכונה
הדרך הטובה ביותר להתמודדות עם צורות התקיפה הנפוצות של ה-DDoS היא לזהות באופן מיידי את התעבורה החריגה, אשר יכולה להגיע אלינו מהארץ או מחו"ל, ואז להסיט אותה למקומות אחרים או לחסום את המקור. לשם כך ישנן מערכות מתקדמות, בעצמן מבוססות AI ולמידת מכונה, שלומדות את הדפוס ומזהות את האנומליה בטראפיק. במקרה כזה הן פועלות בזמן אמת באופן אוטונומי ומעדכנות את הלקוח בדיעבד. הלקוח יכול לקבל את ההתרעה ודווקא לאשר את היקף התעבורה החריג, אם קיים הסבר סביר לקפיצה – למשל sale, פתיחת אפשרות להגשת בקשה למענק, או נושא טרנדי כזה או אחר בחדשות. רצוי כמובן לעשות כן מבעוד מועד, ולזכור גם להגדיל מראש את ה-Capacity של השרתים כך שיעמדו בעומס הלגיטימי.
"אנחנו ממפים ומתעדפים את כלל המערכות הארגוניות, תחנות הקצה, סביבות העבודה והנכסים הדיגיטליים, ומגנים עליהם כשירות מנוהל בהתאם למדרגות הסיכון"
קופלר מדגיש את החשיבות של הגנה רב שכבתית. השירות הייחודי שפרטנר מציעה ללקוחות העסקיים כולל כלי הגנה שממוקמים בחו"ל ומזהים התקפות טרם הגעתן לארץ, כלומר: רחוק ככל הניתן משרתי הליבה של העסק. נוסף על כך, מוצעת שכבת הגנה שנייה בחוות השרתים הראשית של פרטנר עצמה – שם נחסמות מתקפות שהצליחו לחדור את השכבה הראשונה.
כדי להשלים את התמונה ולספק הגנה מלאה – לא רק מפני מתקפת מניעת שירות, אלא גם מפריצות למערכות לשם שינויי תוכנה, שתילת מסרים או גניבת מידע – נדרשות הגנות נוספות דוגמת חומת אש (Firewall) אפליקטיבית. כאן מציעה פרטנר שירותי WAF – הגנה על אפליקציות ואתרים, כמוצר משלים לשירות ה-DDoS. "אנחנו ממפים ומתעדפים את כלל המערכות הארגוניות, תחנות הקצה, סביבות העבודה והנכסים הדיגיטליים, ומגנים עליהם כשירות מנוהל בהתאם למדרגות הסיכון". קופלר מציין כי חברות שסולקות כרטיסי אשראי נוהגות למקם את הפעולה הספציפית הזאת, שהיא קריטית עבורן במיוחד, בשרת ייעודי נפרד ועתיר הגנות.
היתרון בעבודה עם ספקית תשתית ושירותי IT מובילה, בצד היכולות והמומחיות שלה עצמה, טמון גם בשיתופי הפעולה שיש לה כאינטגרטור עם היצרנים המובילים בעולם בתחום אבטחת המידע. "הקשר הישיר של פרטנר אליהם והיכולת לקבל מענה בכתובת אחת הוא קריטי לעסקים קטנים ובינוניים, שאין להם דרך אחרת לפתרון והם לא יכולים להרשות לעצמם לחכות ארבעה ימים עד שיתגברו על ההשבתה. דרכנו הם ממילא בתשתיות של קבוצת תקשורת גדולה. ובהקשר הזה, זה ודאי בטוח יותר – ומאפשר פתרונות מהירים הרבה יותר – ביחס לחברה חיצונית שבעצמה מתארחת בשרת אחר. סגירת המעגל המהירה הזאת היא לפעמים עניין של להיות או לחדול".
הרבה ביטים ובוטים זרמו ברשת מאז שילדים הצליחו לראשונה, דרך ריבוי פניות מסונכרנות, לחסום אתרים מובילים במסגרת ניסוי בבית הספר. מאז, מתקפות DDoS הפכו מתוחכמות יותר, נגישות יותר והרסניות הרבה יותר. אבל גם אמצעי המגן מפניהן שופרו לאין שיעור, במשחק של חתול-ועכבר שמן הסתם יישאר אתנו בעתיד. מה שאסור בשום אופן לעשות זה לחשוב שלעסק שלנו זה לא יקרה. כי בסוף, ודאי כישראלים, ודאי בזמנים כאלה – כולנו מטורגטים, וגם אם לא במישרין, אזי במתקפה כללית שנועדה לזרוע כאוס רחב ככל הניתן.