גם השנה בטאלין (אך למעשה ברחבי אירופה), כרגיל, יתקיים תרגיל הסייבר הגדול בעולם: מגן נעול.
השימוש במידע מהמדריכים הקודמים וביצוע מינימום של OSINT בואו נראה מה יכול להיות ממוקד.
מה אנחנו יודעים?
- אנו יודעים שבשנה שעברה התרגיל נערך בין התאריכים 24-28 באפריל;
- ידוע לנו כי הסדנה שכותרתה "אתגר מגן נעול פלילי" תיערך בין התאריכים 15-17 מאי, שם ידונו תוצאות התרגיל ויוצגו פתרונות אפשריים להיבטים משפטית.
- אנו יודעים שבשנה שעברה התאריכים היו פחות או יותר דומים.
ראשית, למרות שעדיין אין חדשות רשמיות, אני מצפה שהתרגיל יתקיים באותם מועדים, ככל הנראה בין 23 ל 27 באפריל או לכל היותר בשבוע שלאחר מכן.
כדי להבין במה הוא יתמקד אני מתייחס לנושאים אשר יטופלו ב"אתגר הזיהוי הפלילי ", אלה שכבר היו קיימים גם אם כללים מאוד ובעיקר האתגרים שעולם הסייבר נאלץ להתמודד בשנה האחרונה.
בואו נראה אם משהו שימושי עולה מהניתוח. בין ה -15 ל -17 במאי במהלך "האתגר הפלילי בנעול המגן" יובאו ההיבטים הבאים:
ניתוח תנועה זדונית
ניתוח מערכת קבצים Ntfs
ניתוח קבצים
שונים ניתוח מערכת ההפעלה
ניתוח התנהגות המשתמש
זיהוי תוכנה זדונית.
בעוד שבמהלך השנה נאלצנו להתמודד עם הבעיות העיקריות הבאות:
- NotPetya ו- WannaCry;
- ספקטרום והתכה.
בין האיומים המתעוררים אנו מוצאים:
- גרסאות אפשריות של WannaCry, Specter ו- Meltdown;
- התקפות "Cryptomining Ghostly";
- פריצת ענן;
- טקטיקות הנדסה חברתית;
- טקטיקות התקפות מניעת שירות חדשות;
- פגיעות בארגז חול;
- תהליך דופלגנגינג.
בין הטכנולוגיות החדשות שיש לנו במקום:
- מחשב קוונטי וקריפטוגרפיה קוונטית;
- זהות דיגיטלית ב- blockchain;
- IoT.
לא מצאתי שום דבר באינטרנט של תרחיש התרגיל, אבל סביר להניח כי המערכת להגן היא מערכת בגודל של אומה המשתמשת בטכנולוגיות ידועות, המבוססות על ענן ואולי עם זהויות דיגיטליות ו cryptomata על blockchain. זה לא יהיה מפתיע אם אפילו התקנים גנריים (IoT) נמצאו ברשת, אשר נועדו לשמצה כדי להיות בטוח.
כעת, בשים לב למערכת לעיל, אוכל להניח הנחות כיצד התרגיל יכול להתקיים ועל סוגים מסוימים של התקפות שאליהם ניתן יהיה לקרוא לקבוצות הכחולות.
ראשית כל, כשרואים שבפגישה של "אתגר הזיהוי הפלילי" במאי יש את הערך "ניתוח התנהגות משתמשים", זה גורם לי לחשוב כי ההתקפה תתחיל ממשתמשים פנימיים, אולי נגועים באמצעות קבצים מצורפים לדואר אלקטרוני המכילים קוד זדוני. לכן צוותים כחולים יצטרכו להתמקד בניתוח התנהגות משתמשים ומכשירים (IoT).
התוכנה הזדונית יכולה כנראה לנצל את טכניקת ההזרקה הנקראת תהליך דופלגנגינגשעלה בסוף 2017, הדבר גם יצדיק את האינדיקציה לביצוע ניתוחים על מערכת הקבצים NTFS.
המטרה הסופית של התוקף יכולה להיות להשתלט על משאבי החישוב שחולקו כדי להרוויח כסף באמצעות פעילויות כרייה רפאים.
כמובן שכל זה אינו אלא ספקולציות המבוססות על מעט מאוד מידע זמין. דבר אחד בטוח, בקרוב יתקיים הדרכה ואז שוב, צוותים כחולים וצוותים אדומים יתמודדו עם תחום הסייבר.
בהצלחה ומכיוון שמדובר במשחק, נצחו את הטוב ביותר!
מידע נוסף:
- https://ccdcoe.org/locked-shields-forensics-challenge-workshop-2018.html
- https://ccdcoe.org/new-research-red-teaming-technical-capabilities-and-c...
- https://www.cybersecurity-insiders.com/most-dangerous-cyber-security-thr...
- https://www.cdnetworks.com/en/news/2018s-most-dangerous-cyber-threats/6812
- https://www.tripwire.com/state-of-security/featured/5-notable-ddos-attac...
- https://niccs.us-cert.gov/training/search/champlain-college-online/opera...
- https://thehackernews.com/2017/12/malware-process-doppelganging.html
(צילום: ארכיב ההגנה)
