ארגוני ממשלה מחזקים הגנות עם מודיעין IP ומיקום גיאוגרפי כדי לפתור אתגרי סייבר רבים במספר חזיתות
מאת:
אילן סגלמן, 18.2.20, 10:00
טכנולוגיית IP Geolocation מציעה מידע מדויק ורלוונטי אודות גורמים מקוונים, משתמשים ווקטורי התקפה כגון מיקום, Proxy/VPN ועוד.
מה כוללים יישומים ממשלתיים מוצלחים של IP geolocation?
ארגוני ממשלה סביב העולם הפכו בשנה האחרונה למוקד להתקפות סייבר. ארגונים אלה נחשבים בעיני התוקפים למטרות קלות בשל רמת הגנה נמוכה, שנובעת, בין היתר, ממגבלות המשאבים שלהם. מחקר, שהתבצע ע"י חברת אבטחת המידע
Positive Technologies מצא, שבשנה האחרונה כ-68% מקבוצות התקפות ה-
APT התמקדו בארגוני ממשלה.
זאת, בעוד מספר ההתקפות על ארגונים פיננסיים ירד. מעבר לכך, פרסומים אחרים מצביעים על כך, שהתקפות כופרה הפכו לאיום מרכזי למוסדות ציבוריים, בהם עיריות ובתי ספר, שכן הם מחזיקים במידע רגיש, שניתן באמצעותו לסחוט קורבנות.
עם סיכוני סייבר ההולכים וגדלים, יותר ויותר ארגונים ממשלתיים בכל 3 המישורים - מקומיים, ממלכתיים ולאומיים - מחפשים כעת באופן פעיל אחר פתרונות אמינים וחסכוניים יותר, שניתן לספק באמצעותם הגנה.
בשנים האחרונות פרסמה הממשלה הפדרלית בארה"ב מספר מאמרים בנושא אבטחת סייבר, כולל צו המנהל 13800 ודו"ח קביעת סיכוני הסייבר, שהגיע אחריו, מסמך ה-
TIC וה-
NIST Special Publication 800-53 rev. 4 / National Vulnerability Database (NVD). כולם אינפורמטיביים במיוחד לגבי האופן בו יוזמות הסייבר מטופלות ומנוהלות ע"י הממשלה.
באופן ספציפי,
NIST 800-53 ו-
NVD מטפלים ביסודיות בנושא אבטחת הרשת מהתחלה ועד הסוף, והשימושיות של מודיעין
IP היא ברורה ומוחלטת. בתוך מסמכים אלה מופיעות רשימות של בקרות אבטחה בעלות השפעה נמוכה, בינונית וגבוהה. מעניינת במיוחד היא רשימת "בקרות בעלות השפעה גבוהה" (
High Impact Controls) בהן מתייחסים למודיעין
IP באופן ישיר או עקיף עשרות פעמים.
כמעט לכל סוכנות או מחלקה יש עדיפויות בנושא סייבר, אבטחה או גישה מבוקרת. חלק מהסוכנויות האופייניות הן אלו העוסקות במודיעין, ביטחון, אכיפת חוק, הונאה ומשימות חקירה. סוכנויות, שזקוקות להתראות ממוקדת כמו גם למידע גיאוגרפי או דמוגרפי או כאלו המבצעות ניתוח וניהול רשת, הן מהמשתמשים הנפוצים ביותר. בארה"ב, ארגונים ממשלתיים דוגמת המינהל הלאומי לביטחון גרעיני, משרד האנרגיה האמריקני, משרד המשפטים האמריקאי, מינהל אכיפת הסמים ומדינת ניו יורק, משתמשים במידע מבוסס מיקום
IP.
טכנולוגיית
IP Geolocation מציעה מידע מדויק ורלוונטי אודות גורמים מקוונים, משתמשים ווקטורי התקפה כגון מיקום,
Proxy/VPN ועוד. ע"י מינוף נתוני מודיעין
IP, ארגונים ממשלתיים יכולים ליישם באופן יזום מודיעין אודות תעבורת רשת נכנסת ויוצאת בזמן אמת, לזהות מידע אודות סוג מיקום וחיבור, לחשוף איומים פוטנציאליים ולהוסיף מודיעין לחקירת אירועי סייבר.
יישומים ממשלתיים מוצלחים של IP geolocation כוללים:
- סייבר / אנטי-הונאה: זיהוי פרוקסי נכנס וכלי עקיפה אחרים המשמשים שחקנים רעים או זיהוי מיקום ה-IP כדי למנוע ניסיונות פריצה.
- חקירות פליליות: מיון יעיל של מיליארדי חיבורי IP וחיבורים ניידים המשמשים לצורך פעילות חריגה.
- קהילת מודיעין: ע"י קביעת קריטריונים של IP, ניתן לייעל ולשפר ניתוחים ועיבודים של סייבר אנליטיקס ו-SIGINT.
- אימות אישורים: השוואה ואימות פרטי ה-IP של המשתמשים לעומת מיקום או סוג Proxy.
- גידור גיאוגרפי למטרות הכללה / הרחקה: הגדרת הרשאות או תגובות ספציפיות על סמך מיקום חיבורים מבוססי IP או מובייל.
- התרעות ממוקדות: התרעה על משתמשים, מיקומים גיאוגרפיים ספציפיים או מנהלי מערכת של אירועים על סמך מיקום, דומיין או קריטריונים אחרים.
- ניתוח תעבורת שרת / רשת: זיהוי וניתוח דפוסי תעבורה, סוגי מיקום וחיבור עבור חיבורים מבוססי IP ומובייל.
- לוקליזציה / התאמה אישית של תוכן: מאפשר להשתמש במידע גיאוגרפי, בסוג החיבור או בקריטריונים אחרים כדי להציע מידע, תוכן או מקרי שימוש מותאמים אישית אחרים.
ככל שארגונים ממשלתיים בונים את היוזמות הדיגיטליות שלהם ומכניסים יותר ויותר נכסים לעולם הטכנולוגי שלהם, מחלקות וסוכנויות רבות יותר יכולות ליישם בקלות ובמהירות מודיעין
IP כדי לפתור אתגרי סייבר רבים במספר חזיתות.
מאת:
אילן סגלמן, פברואר 2020.
מנהל פיתוח עסקי ב-
Digital Element ישראל.