وتجري عمليات الأمن السيبراني الإسرائيلية في بئر السبع، أكبر مدينة في البلاد والتي تقع في صحراء النقب جنوب إسرائيل.
اسرائيل فريق الاستجابة للطوارئ السيبرانية يقدم (Il-CERT) استجابة أولية للشركات والمواطنين المتضررين من الهجمات الإلكترونية.
ال شهادة يعد جزءًا من مركز الأمن السيبراني للشركات الناشئة، بدعم من جامعة بن جوريون في النقبومختبرات الابتكار التكنولوجي الفائقة والحرم السيبراني والتكنولوجي التابع لقوات الدفاع الإسرائيلية.
حوالي سبعة مراكز العمليات الأمنية وتعمل مراكز العمليات الأمنية جنبًا إلى جنب مع فريق الاستجابة لطوارئ الحاسب الآلي، في مراقبة واكتشاف وتحليل التهديدات السيبرانية عبر قطاعات مختلفة من الاقتصاد، بما في ذلك المياه والطاقة، والخدمات العامة، وخدمات الشرطة والطوارئ. ويجري العمل حاليًا على إنشاء ستة مراكز عمليات أمنية أخرى.
في قلب هذه العملية، يوجد خط هاتفي للطوارئ على الرقم 119 متاح لأي شخص للاتصال به للإبلاغ عن أي شيء قد يكون مرتبطًا بهجوم إلكتروني. قد يكون ذلك عبارة عن بريد إلكتروني مشبوه أو عنوان URL مشبوه أو برامج ضارة.
ويستخدم الخط الساخن على نطاق واسع من قبل الجميع، بدءاً من الشباب الذين تم إرسال رابط مشبوه لهم على وسائل التواصل الاجتماعي إلى المسؤولين التنفيذيين في الشركات الذين يعتقدون أنهم تعرضوا للاختراق.
من خلال رسم خريطة للحوادث، يتمكن خبراء الأمن السيبراني في CERT من رؤية الاتجاهات الوطنية وتحديد محاولات القرصنة الأكثر خطورة لفرق الاستجابة في CERT.
المدير التنفيذي
دانا تورين هي المديرة التنفيذية لـ CERT. وهي محللة استخباراتية سابقة ومحللة بيانات في مكتب رئيس الوزراء، وهي مسؤولة عن الإشراف على عمليات CERT.
وأضافت في حديثها لصحيفة “كمبيوتر ويكلي”: “نحن بحاجة إلى فهم ما إذا كانت الحوادث ذات أهمية وطنية”.
على سبيل المثال، قد يؤثر هجوم على شركة صغيرة على العديد من الشركات الأخرى التي تعتمد على خدماتها.
في العام الماضي، تلقى مركز الاستجابة لطوارئ الحاسب الآلي 13 ألف تقرير عن الحوادث، وهو ما يمثل زيادة قدرها 43% عن العام السابق.
خلال 270 يوماً منذ أن أعلنت إسرائيل الحرب على غزة، حدد فريق الاستجابة لطوارئ الحاسب الآلي 1900 هجوم إلكتروني كبير ضد شركات إسرائيلية، وقد تغيرت طبيعة الهجمات.
والآن أصبحت هذه البرامج مصممة لإلحاق الضرر بالبنية التحتية الإسرائيلية، كما زاد عدد هجمات برامج الفدية. وتسعى الجماعات المدعومة من إيران إلى نشر البيانات المخترقة على شبكة الإنترنت المظلمة أو تسريبها إلى وسائل الإعلام.
أكبر التهديدات
ويرى جابي بورتنوي، المدير العام للمديرية الوطنية للسايبر في إسرائيل، أن إيران وحزب الله ومجموعات القرصنة المرتبطة بإيران تشكل أكبر تهديد سيبراني ضد إسرائيل، وأن هجماتها أصبحت أكثر حدة منذ الحرب. ويقول: “حتى السابع من أكتوبر/تشرين الأول، لم يهاجموا المستشفيات. ومنذ السابع من أكتوبر/تشرين الأول، تعرضت جميع المستشفيات الإسرائيلية لهجمات من جانب إيران”.
وقالت تورين إنه على الرغم من أن إيران تلعب دورًا كبيرًا في الهجمات ضد إسرائيل، فإن فريق الاستجابة للطوارئ مهتم أكثر بالرد على الاختراقات الإلكترونية من تحديد من يقف وراءها. وأضافت: “من الصعب نسب الهجمات إلى لاعبين محددين. يستخدم الجميع نفس الأدوات. [We are] “منظمة دفاعية. نحن لا نتعامل مع المهاجمين. نحن نحمي الصناعات فقط.”
تحتوي غرفة التحكم التابعة لفريق الاستجابة لطوارئ الحاسب الآلي على محطات عمل تتسع لعشرة أشخاص وعشر شاشات عرض كبيرة مثبتة على الحائط. إحدى الشاشات عبارة عن خريطة تعرض الهجمات الإلكترونية في الوقت الفعلي والتي تم جمعها باستخدام معلومات استخباراتية قدمتها شركة الأمن الإلكتروني الأمريكية الإسرائيلية Check Point.
تعرض شاشة أخرى مواقع الشركات التي تم اختراقها من قبل المتسللين. ويقوم المحللون بفحصها مرتين يوميًا وتنبيه المنظمات المتضررة.
منذ بدء الحرب، نجح تورين في زيادة عدد الأشخاص العاملين بدوام كامل في مركز الاستجابة للطوارئ من 90 إلى 120 موظفًا.
إن المؤسسات التي تشكل البنية التحتية الوطنية الحيوية في إسرائيل، مثل المياه والكهرباء والمستشفيات، ملزمة قانونًا بالإبلاغ عن الخروقات السيبرانية. ولكن بالنسبة للمؤسسات الأخرى، فإن خط الهاتف 119 طوعي.
في مقابل الإبلاغ عن الهجمات عبر الهاتف، تحصل الشركات والأفراد على خدمة استشارية سرية. على سبيل المثال، لن يبلغ فريق الاستجابة لطوارئ الحاسب الآلي الجهات التنظيمية عن الهجمات الإلكترونية، ولن يحدد علناً المنظمات التي تعرضت للاختراق.
يقدم مركز الاستجابة لطوارئ الحاسب الآلي (CERT) النصائح والتوصيات للأشخاص الذين يتصلون بخط المساعدة بشأن مشكلات الأمن السيبراني.
ومع ذلك، فإن مواردها محدودة. فهي تضم أربعة فرق من المحققين في مجال الاستجابة للحوادث، مما يشكل فريق استجابة يتألف من 16 شخصًا فقط.
وقال تورين، في ضوء الموارد المحدودة التي يمتلكها مركز الاستجابة لطوارئ الحاسبات: “نحن بحاجة إلى التفكير بعناية قبل تقديم هذه الخدمة”.
يتم نشر الفرق فقط في الحالات ذات الأهمية الوطنية حيث يمكن أن يشكل الهجوم على شركة واحدة تهديدًا لصناعة أوسع.
اختراق يؤثر على 80 شركة
وفي إحدى هذه الحالات، اكتشف محققو فريق الاستجابة لطوارئ الحاسبات أن مجموعة قرصنة مرتبطة بإيران تسللت إلى شركة صغيرة لسلسلة التوريد، واستخدمت تلك الشركة كحجر أساس لإصابة 80 منظمة أخرى.
وقال تورين لـ “كمبيوتر ويكلي” إن الهجوم الذي وقع في عام 2020 كان لديه القدرة على تعطيل واردات وصادرات النفط إلى إسرائيل.
وقالت “تلقينا ثلاث أو أربع مكالمات على الرقم 119 تفيد بتعرضهم لهجوم. وفي البداية لم نتمكن من العثور على رابط”.
وبعد ذلك، اتصلت شركة خاصة للأمن السيبراني لتبلغ عن تعرض شركة أنظمة المخزون للاختراق.
وقال تورين “اتصلنا بهم على الفور وأخبرناهم أننا نعتقد أن هناك اختراقًا في شبكتكم. كان يوم جمعة وأرسلنا فريقًا للاستجابة للحوادث”.
وتمكن المحققون من تحديد التوقيع – أو مؤشرات الاختراق – لعملية القرصنة في الوقت المناسب لتنبيه المنظمات الـ80 المعرضة للخطر.
تم التعرف على البرامج الضارة على أنها الدفع مقابل المفتاح برنامج الفدية المرتبط بإيران قطة الثعلب مجموعة القرصنة.
مسح الثغرات الأمنية
ومن بين الأدوار الأخرى التي يضطلع بها فريق الاستجابة لطوارئ الحاسب الآلي تحذير المنظمات من نقاط الضعف الأمنية في أنظمتها الحاسوبية. وقال بورتنوي إن المعهد الوطني لمكافحة الثغرات الأمنية كثف برنامجه لفحص نقاط الضعف بعد السابع من أكتوبر/تشرين الأول.
خضعت المستشفيات وغيرها من الخدمات الحيوية لستة اختبارات على الأقل لـ “سطح الهجوم” لشبكاتها لتحديد نقاط الضعف التي يمكن استغلالها من قبل المتسللين.
تقوم INCD أيضًا بمسح الويب المظلم لتحديد كلمات المرور أو المعلومات الهامة الأخرى التي قد تعرض شبكات الشركة للخطر.
وتغطي العملية 5000 منظمة ونحو 33000 عنوان IP. وقال تورين: “إنهم يقومون بمسح عميق للبنية الأساسية للعثور على الأنظمة المعرضة للثغرات الأمنية، ونتواصل معهم لتقديم الإرشادات حول كيفية إصلاحها”.
وتأتي التنبيهات الأخرى من خلال تحقيقات اكتشاف نقاط النهاية والاستجابة الموضوعة على شبكات المؤسسات لتوفير رؤية داخلية لأمنها السيبراني.
وبمجرد أن يحدد فريق الاستجابة لطوارئ الحاسب الآلي توقيع الهجوم، المعروف باسم “مؤشرات الاختراق”، يتم مشاركتها مع منظمات أخرى على واجهة برمجة التطبيقات، والتي يمكنها تحديث الدفاعات السيبرانية تلقائيًا.
ولكن هناك اعتراف بأن هناك حاجة إلى بذل المزيد من الجهود. فقد بدأت إسرائيل مشروعاً لتحسين دفاعاتها السيبرانية في عام 2021.
وتعرف هذه المنظومة باسم “القبة السيبرانية”، في إشارة إلى نظام “القبة السيبرانية” الإسرائيلي المضاد للصواريخ، وتهدف إلى استخدام الذكاء الاصطناعي والبيانات الضخمة للكشف عن الهجمات والتخفيف من حدتها أثناء حدوثها.
وفي الوقت نفسه، إسرائيل هي تعزيز التعاون مع بلدان أخرى بشأن تطوير الدفاعات السيبرانية.
