הכנות למתקפת OpIsrael

Rami

4 weeks ago

קמפיין OpIsrael הינו פעילות התקפית אנטי-ישראלית מתואמת במרחב הסייבר, המתבצעת מדי שנה ב-7 באפריל במטרה להסב נזק למשק הישראלי.

מדי שנה בתחילת אפריל ובפרט בשנה זו וחודש זה, גוברת הדריכות וההיערכות לתקיפות סייבר של גורמי חוץ עויינים כנגד מרחב האינטרנט הישראלי.

גם השנה, קמפיין OPIsrael# ובפרט OPJeruslaem# משמשים לקידום תקיפות סייבר למטרות תודעה (CNI) כנגד יעדים שונים בישראל.

בשל כך תורגש בתקופה הקרובה עלייה בתקיפות למטרות תודעה והשפעה (CNI) במרחב האינטרנט הישראלי, כגון השחתות אתרים, תקיפות DDoS והפצת “מידע כוזב” (News Fake).

ישנה עליה בהתעניינות התוקפים בגישה לממשקי ניהול אתרים (CMS), גישה לנתוני הזדהות בדף הארגון, או הישענות על חולשות בדפי (Web (Injection SQL, חולשות בספריות חיצוניות חינמיות ועוד.

תוכן העניינים

מי עומד מאחורי הפעילות?

הפעילות מזוהה עם ארגון Anonymous ובאופן עקבי משתתפים בה קבוצות תקיפה מאורגנות, אנרכיסטים ואקטיביסטים אחרים. מניסיון העבר, מדובר במתקפות גדולות וחריגות בעוצמתן והפעילות העוינת העיקרית מתרחשת סביב ה-7 באפריל, כאשר המתקפות מתחילות מספר ימים לפני תאריך זה ונמשכות גם כמה ימים אחריו.

מי עלול להיפגע?

מעריכים כי ארגונים מרכזיים ומשפיעים יהיו יעד להתקפות ההאקרים גם בהתקפה הקרובה, כפי שארע לא פעם בשנים קודמות.

מה עלול להיפגע?

ההתקפות יכולות להיות מגוונות- על אתר האינטרנט, המייל והרשת הארגוניים , שיחות זום וכו’.
בעבר, רוב מערכות הארגונים בישראל שיישמו מתודולוגיות אבטחת מידע יזומות והקשחות, עמדו בפני ההתקפות ולא נגרם כל נזק לטרמינלים, לאתרי האינטרנט או למערכות המחשוב. כל זאת ובשיתוף מטה הסייבר הלאומי נערכים הארגונים בישראל לאבטחת השרתים, מערכות המחשוב כמו גם אתרי האינטרנט ועוקבים בדריכות אחר ההתפתחויות.

חשוב לציין כי ברוב הארגונים מערכות אבטחת המידע כיום פועלות כל הזמן ומזהות באופן אוטומטי איומים כנגד מערכות המחשוב ואתרי האינטרנט. במידה ובהתקפה הקרובה יזוהה איום – יופעלו בארגון מערכי הגנה שונים על מנת למנוע נזקים.

על רקע זה, ובעקבות נסיונות התקפה בארגונים יתכן ויחסמו זמנית:

גלישה לאתרים מכתובות IP מחו”ל
גלישה באתרי אינטרנט מחו”ל
קבלת מיילים מחו”ל.

בהתאם להתפתחות המתקפה וחומרתה יש לנקוט בפעולות חסימה נוספות. לאחר שחלפה המתקפה – ייפתחו כל החסימות.

איך ניתן להתגונן?

במקביל להעלאת הערנות יש לוודא כי כלל המערכות מוכנות להמלצות הבאות (ההמלצות מאת רשות הסייבר):

ברמת הסיסטם ואבטחת המידע

ב-Firewall- חסימת כתובות IPבעלות פוטניצאל סיכוני
חסימת שירותים כגון TOR או Anonymizer המאפשרים גלישה אנונימית
ברמת ה-VPN- בדיקה אם כלל משתמשי הארגון (כולל ספקים) משתמשים בשירותי VPN. אם לא- מומלץ לשקול לחסום (יש לכך השלכה תפעולית לארגון)
על מנת להימנע מחשיפת ממשקי הניהול של השרתים, יש לבצע הגדרה של גישה מתוך הרשת הארגונית בלבד, ואם נדרשת גישה מהאינטרנט יש להגדיר גישה באמצעות VPN.
יש לחייב מנהלי רשת להשתמש ב-MFA
עדכונים שוטפים- יש לוודא עדכונים של כל השרתים, מערכי האחסון, הפיירוול, וכלל המערכות בדגש על מערכות הפעלה, ממשקי ניהול, יישומים, וספריות קוד פתוח.
חסימה עולמית- יש לשקול ביצוע חסימת תעבורה ממדינות בעלות אופי סיכוני ע”י שימוש ב-Geo Location
ניטור לוגים- הפעלת ניטור לוגים וזיהוי פעילות חריגה.
הקשחת חוקי פיירוול- הגבלת גישה לפרוטוקולים לגיטימיים בלבד.
מומלץ לבחון העברת תעבורה דרך ספקי תקשורת או חברות ייעודיות דוגמת Primeter81
הגבלת הרצת קוד Powershell בשרתים
הגבלת שימוש בהרשאות Local Admin

ברמת האתר

הגנה על אתר האינטרנט- שימוש בפיירוול מסוג WAF עם הטמעת יכולת Bot Mitigation
עדכון גרסאות אתרים- אתרים כמו Wordpress צריכים להיות מעודכנים באופן אוטומטי. כנ”ל לגבי תוספים.
מומלץ לשקול גישה באמצעות MFA להתחברות לשירות הניהול של האתר
חסימה עולמית- יש לשקול ביצוע חסימת תעבורה ממדינות בעלות אופי סיכוני ע”י שימוש ב-Geo Location
ביצוע גיבויים סדירים לאתר- בנוסף לגיבוי בענן יש לוודא כי יש גיבוי Offline
שדות הטפסים באתרים- נטרול האפשרות של הקלדת תווים שעלולים לשמש כתקיפה, לדוגמה נטרול של תווים כגון: {}()<>:”
בדיקת אתרים- יש לבדוק את הקוד באתרים אם הוא מאובטח ואין בו פגיעויות.
הגבלת גישה לניהול האתר לכתובות IP המוכרות לכם בלבד- מצמצם משמעותית את הסיכון
הכנת דף אינטרנט חלופי אליו ניתן להפנות מבקרים בעת הצורך.
העברת האתר לענן- ברוב המקרים נותן שקט נפשי ומאפשר גמישות (אנחנו משתמשים ב-UPRESS)

בנוסף, יש להדריך את העובדים להעלות גם כן את רמת הערנות- מפורט להלן. בתקופה זו יש לשים לב במיוחד לכל דבר דואר אלקטרוני ואתרי אינטרנט חשודים ולפנות ל-IT באופן מיידי במידת הצורך .

הנחיות אבטחת מידע כלליות לעובדים

מערכת המייל הינה אחת מיעדי / אמצעי התקיפה המרכזיים.
אין לפתוח מייל ממקור לא ידוע.
אין לפתוח מסמכים מצורפים שנראים חשודים / שלא ציפיתם להם / מגורמים לא מוכרים.
אין לפתוח לינקים לאתרים המגיעים בגוף המייל.
אין לספק פרטים אישיים לגורמים לא מוכרים/חשודים. בכל מקרה בו אתם מתבקשים להזין את כתובת המייל והסיסמא שלכם צריכה להידלק לכם נורה אדומה ולדווח ל-IT.
אין לעשות שימוש בכתובת הדואר הארגוני לרישום/התחברות לאתרי אינטרנט/שירותים שאינם לצרכי העבודה. במידה ונרשמתם באמצעות כתובת הדואר הארגוני לאתר/שירות מסוים לצרכי העבודה, חל איסור להשתמש באותה הסיסמה של מערכות המחשב בארגון.
במקרים בהם אתם לא בטוחים במהימנות המייל נא להפנות ל-IT.

גלישה באינטרנט באתרים לא בטוחים

יש להימנע מגלישה באתרי אינטרנט לא בטוחים ובאתרים המבקשים אישור מיוחד להפעלת קבצי Active X
יש להימנע מכניסה לקישור המוביל לאתר לא מוכר.
לא לאשר שמירת סיסמאות פרטיות באתרים שונים.
להקפיד על שימוש בסיסמאות מורכבות והחלפה תקופתית של סיסמאות בחשבונות ארגוניים ופרטיים.

וכמובן, יש לדווח על חשד או התנהגות חריגה של טרמינל, מחשב או אתר ל-IT.

המלצות אבטחה מקיפות מאת רשות הסייבר

לעיון ברשימת המלצות האבטחה המקיפות מאת רשות הסייבר לחצו כאן

כולנו תקוה כי נעבור אתגר זה בשלום וללא נזקים.

תודה על שיתוף הפעולה!