תחזית איומיי סייבר ל-2022 והלאה: מתקפות על כל היעדים מהכיס הדיגיטלי עד אינטרנט לווייני
מאת: מערכת Telecom News, 17.11.21, 12:48

לא מדע בדיוני. התחזיות המרתקות חושפות את האסטרטגיות, שלדעת החוקרים, תשמשנה את פושעי הסייבר בעתיד הקרוב ואת ההמלצות, שתסייענה לארגונים ועסקים להתגונן מפני המתקפות. הכל על פשיעת סייבר המתמקדת בחלל, מתקפות נגד מערכות שרשרת האספקה, התרחבות שוק הפשיעה-כשירות, האיומים החדשים הנמצאים בקצה הרשת ועוד, שיש להם השלכות מפחידות, כולל השפעה על החיים והביטחון של בני האדם.
 
פורטינט, שעוסקת בפתרונות אבטחת סייבר מקיפים, משולבים ואוטומטיים, חשפה את תחזיות איומי הסייבר של מעבדות FortiGuard, גוף המחקר ומודיעין האיומים הגלובלי של החברה, ל- 2022 והלאה. פושעי הסייבר מתפתחים ומרחיבים את שיטות התקיפה שלהם כדי להתמקד בתחומים חדשים אותם יוכלו לנצל לטובתם לאורך כל שטח התקיפה, במיוחד כאשר מגמת העבודה מכל מקום נמשכת. הפושעים מחפשים למקסם הזדמנויות, החל מקצוות התומכים ב-5G, דרך ליבת הרשת, הבית ואפילו האינטרנט הלווייני בחלל. התחזיות חושפות את האסטרטגיות, שלדעת חוקרי פורטינט תשמשנה את פושעי הסייבר בעתיד הקרוב ואת ההמלצות, שתסייענה להתגונן מפני המתקפות.

הדו"ח המלא - כאן.

התגברות של טכניקות איסוף מודיעין כדי למקסם מתקפות
לעיתים קרובות דנים במתקפות במונחים של איומי left-hand ו-right-hand, כאשר מתבוננים דרך שרשרת מתקפה כמו מסגרת העבודה ATT&CK של MITRE. בצד השמאלי של שרשרת המתקפה נמצאים השלבים לפני הרצת המתקפה, שכוללים אסטרטגיות תכנון, פיתוח וחימוש בעוד שבצד ימין נמצא שלב ההוצאה לפועל של המתקפה.

חוקרי מעבדות FortiGuard צופים, שפושעי הסייבר יקדישו זמן ומאמצים רבים יותר לצורך איסוף מודיעין וגילוי של יכולות zero-day כדי לנצל טכנולוגיות חדשות ולהבטיח, שהמתקפות שלהם תהיינה מוצלחות יותר. כ"כ, צפויה עלייה בשיעור המתקפות החדשות, שניתן להוציא לפועל מצד ימין, עקב התרחבות שוק הפשיעה-כשירות (Crime-as-a-Service).  

מתקפות הכופר תהפוכנה להרסניות יותר: תוכנות הפשיעה תמשכנה להתרחב ומתקפות הכופר תמשכנה להיות במוקד הפעילות גם בעתיד. התוקפים, שמשיקים מתקפות כופר, כבר משלבים את המתקפות הללו יחד עם מתקפות מניעת שירות מבוזרות (DDoS) בתקווה להציף את צוותי ה-IT. כך, שהם לא יהיו מסוגלים לנקוט בפעולות ברגע האחרון כדי לצמצם את הנזק הנגרם ע"י המתקפה.

הוספה של תוכנת מחיקה זדונית (Wiper) המהווה פצצת זמן מתקתקת - שיכולה לא רק להרוס נתונים, אלא גם להחריב מערכות וחומרה - יוצרת דחיפות נוספת עבור החברות לשלם את הכופר במהירות. מתקפות, שמשתמשות בתוכנת מחיקה זדונית, כבר חזרו לאור הזרקורים, כאשר התגלתה מתקפה כזו במשחקים האולימפיים בטוקיו.

בהינתן רמת ההתכנסות, שנראתה בין שיטות התקיפה של פושעי הסייבר, ואיומים מתקדמים מתמידים (APTs), מדובר רק בעניין של זמן לפני שיכולות הרסניות כמו תוכנות מחיקה זדוניות תתווספנה לארגז הכלים של מתקפות הכופר. מתקפות אלו עלולות להוות דאגה עבור סביבות קצה מתפתחות, תשתיות קריטיות ושרשראות אספקה.  
 
פושעי הסייבר משתמשים בבינה מלאכותית כדי להתמקצע בדיפ-פייק: הבינה המלאכותית כבר נמצאת בשימוש לצרכי הגנה בדרכים רבות, כמו איתור התנהגות חריגה, שעלולה להצביע על מתקפה, לרוב ע"י בוטנטים. חשוב להבין, שגם פושעי הסייבר ממנפים בינה מלאכותית כדי להדוף את האלגוריתמים המשמשים כדי לאתר את הפעילות החריגה שלהם.

בעתיד הקרוב, התחום יתפתח ויהפוך לנושא לדאגה בעקבות השימוש של הדיפ-פייק בבינה מלאכותית כדי לחקות פעילויות אנושיות, בין היתר, כדי לשפר מתקפות הנדסה חברתית. כ"כ, רף יצירת הדיפ-פייק יהיה נמוך יותר באמצעות המסחור המתמשך של יישומים מתקדמים. אלה יכולים, בסופו של דבר, להוביל להתחזות בזמן אמת באמצעות יישומי ווידאו וקול, שיכולים לעבור ניתוח ביומטרי, מה שמציב אתגרים עבור דרכי אימות מאובטחות, כמו טביעת קול או זיהוי פנים.  
 
התגברות מתקפות נגד מערכות בשרשרת האספקה שלא היוו יעד עד כה: מערכות מבוססות Linux מריצות הרבה ממערכות מחשוב ה-back-end ברשתות רבות ועד לאחרונה, היא לא שימשה כמטרה מרכזית עבור קהילת פושעי הסייבר. אך לאחרונה, אותרו קבצים בינאריים זדוניים חדשים, שהתמקדו ב-WSL (תת-מערכת של Windows ל-Linux), שהיא שכבת תאימות להפעלת קבצי הרצת Linux בינאריים מקוריים של Windows 10, Windows 11 ו-Windows Server 2019.

בנוסף לכך, תוכנות זדוניות של בוטנטים כבר נכתבות עבור פלטפורמות Linux, מה שמרחיב את שטח התקיפה אל ליבת הרשת ומגביר את האיומים, שיש להתגונן מפניהם. איום זה ישפיע על התקני טכנולוגיה תפעולית (OT) ושרשראות אספקה הפועלות על פלטפורמות Linux.   

פושעי הסייבר מתמקדים בכל דבר - הארנק, הבית ואפילו החלל
האתגר העתידי העומד בפני גורמי האבטחה הוא הרבה מעבר למספר הגובר של מתקפות או השיטות המתקדמות של פושעי הסייבר. התוקפים חוקרים תחומים חדשים אותם יוכלו לנצל, שמתפרשים על פני שטח תקיפה רחב אף יותר. מדובר באתגר קשה במיוחד היות ובו בזמן, ארגונים ברחבי העולם ממשיכים להרחיב את הרשתות שלהם באמצעות קצוות רשת חדשים המונעים ע"י עבודה מכל מקום (WFA), למידה מרוחקת ושירותי ענן חדשים.

באופן דומה, בבית, הלמידה המחוברת ותחום הגיימינג הפכו בתקופה האחרונה לפעולות שבשגרה. העלייה בקישורים מהירים, בכל מקום וכל הזמן, מציגה הזדמנויות תקיפה עצומות עבור פושעי הסייבר. הגורמים העוינים יעבירו משאבים משמעותיים כדי להתמקד ולנצל את הקצוות החדשים, שצצים, והסביבות הנוצרות בכל מקום לאורך הרשת המתרחבת, ולא יסתפקו רק בליבת הרשת.     
  
פשיעת הסייבר מתמקדת בחלל: חוקרי החברה צופים לראות איומי POC (הוכחת היתכנות) חדשים המתמקדים ברשתות לוויין במהלך השנה הקרובה, זאת, עקב הגידול בגישת אינטרנט מבוססת-לוויין. המטרות העיקריות תהיינה ארגונים המסתמכים על חיבוריות מבוססת-לוויין כדי לתמוך בפעילויות בשיהוי נמוך, כמו משחקים מקוונים או אספקת שירותים קריטיים למיקומים רחוקים, כמו גם משרדים מרוחקים בשטח, צינורות, ספינות וחברות תעופה.

משמעות הדבר היא הרחבת שטח התקיפה הפוטנציאלי ככל שארגונים יוסיפו רשתות לוויין כדי לחבר מערכות, שהיו לפני כן מחוץ לרשת - כמו התקני OT מרוחקים - לרשתות המחוברות שלהם. ככל שהדבר ימשיך לקרות, עולה הסבירות למתקפות שונות, כמו מתקפות כופר.

שמרו על הכיסים הדיגיטליים: גניבת מידע של העברות בנקאיות הפכה לקשה יותר עבור פושעי הסייבר היות ומוסדות פיננסיים מצפינים את הטרנסאקציות שלהם ודורשים אימות רב-שלבים (MFA). ארנקים דיגיטליים, מצד שני, עלולים להיות לעיתים פחות מאובטחים.

בעוד שארנקים של אנשים אינדיבידואליים לא משתלמים כל כך, דבר זה יכול להשתנות היות ועסקים מתחילים להשתמש באופן גובר בארנקים דיגיטליים כמטבע עבור עסקאות מקוונות. סביר להניח כי דבר זה יביא עמו שימוש בתוכנות זדוניות רבות יותר, שמתוכננות להתמקד בפרטים אישיים המאוחסנים על הארנקים הדיגיטליים ולרוקן אותם.  

הספורט האלקטרוני משמש כיעד: הספורט האלקטרוני מורכב מתחרויות גיימינג מאורגנות ומרובות-שחקנים, שמערבות פעמים רבות שחקנים וצוותים מקצועיים. מדובר בתעשייה משגשגת, שנמצאת בדרכה לעבור את הסכום של מיליארד דולרים בהכנסות השנה.

הספורט האלקטרוני מהווה יעד מזמין עבור פושעי הסייבר, בין אם באמצעות שימוש במתקפות מניעת שירות, מתקפות כופר, גניבה פיננסית וגניבת עסקאות או מתקפות הנדסה חברתית, היות וגיימינג דורש חיבוריות קבועה ולעיתים קרובות מתבצע באמצעות רשתות ביתיות לא מאובטחות או בסיטואציות של כמויות גדולות של רשתות WiFi פתוחות. עקב טבעו האינטראקטיבי של תחום הגיימינג, הוא מהווה יעד למתקפות של הנדסה חברתית. בהינתן שיעור הצמיחה והעניין הגובר, הספורט האלקטרוני והמשחקים המקוונים צפויים להיות מטרות גדולות עבור מתקפות הסייבר בשנה הקרובה.

האיומים החדשים נמצאים בקצה הרשת
קצוות רשת רבים יותר כוללים מספר גדל של התקני IoT ו-OT, כמו גם התקנים חכמים המופעלים באמצעות 5G ובינה מלאכותית, שמאפשרים יצירה של טרנסאקציות ויישומים בזמן אמת. איומים חדשים מבוססי-קצוות ימשיכו להופיע ככל שפושעי הסייבר ימשיכו להתמקד ברשת המורחבת כולה כנקודת כניסה לצורך ביצוע מתקפה.

התוקפים יפעלו כדי למקסם כל פער אבטחה אפשרי הנוצר ע"י הקצוות החכמים והחידושים בכוח המחשוב כדי ליצור איומים הרסניים יותר בקנה מידה חסר תקדים. ככל שהתקני הקצה הופכים לעוצמתיים יותר ובעלי יכולות מובנות יותר, מתקפות חדשות תתוכננה עבורם. המשך ההתכנסות בין רשתות ה-IT וה-OT צפוי להביא לעלייה במתקפות המתמקדות ב-OT, במיוחד בקצוות.

פושעי הסייבר משגשגים ממתקפות Living Off the Land בקצוות: ניתן לראות את ההתפתחות של איומים חדשים מבוססי-קצוות. מתקפה מסוג Living off the land (שימוש בכלים קיימים) מאפשרת לתוכנה זדונית למנף ערכות כלים ויכולות קיימות בסביבות שנפגעו. כך, שמתקפות וחילוץ נתונים ייראו כפעילות נורמלית של המערכת ואף אחד לא יבחין בה. מתקפות ה-Hafnium על שרתי Microsoft Exchange השתמשו בטכניקה זו כדי לפעול בהתמדה בשרתי הדומיין. מתקפות Living off the land יעילות בגלל שהן משתמשות בכלים חוקיים כדי להוציא לפועל את הפעילויות הזדוניות שלהן.

השילוב של מתקפות אלו יחד עם סוסים טרויאנים בעלי גישה לקצה (EATs) יכול להביא למתקפות חדשות, שתתמקדנה בקצה ולא רק בפני השטח, ככל שהתקני הקצה הופכים לעוצמתיים יותר, בעלי יכולות מובנות רבות יותר וכמובן, בעלי פריבילגיות רבות יותר. תוכנה זדונית בקצה הרשת יכולה לנטר את הפעילויות ואת הנתונים ואז לגנוב, לחטוף או אפילו לדרוש כופר עבור מערכות, יישומים או מידע קריטי, תוך הימנעות מאיתור.  
    
הרשת האפלה מגדילה את המתקפות על תשתיות קריטיות: פושעי הסייבר למדו, שהם יכולים להרוויח כסף ע"י מכירת התוכנות הזדוניות שלהם כשירות באינטרנט. במקום להתחרות עם פושעים המציעים כלים דומים, הם מרחיבים את הפורטפוליו שלהם כדי לכלול מתקפות מבוססות OT, לצד המשך ההתכנסות בין ה-OT וה-IT בקצה.

החזקה במערכות ותשתיות קריטיות תמורת כופר תהיה רווחית, אך הדבר יכול להיות גם בעל השלכות מפחידות, כולל השפעה על החיים ועל הביטחון של בני האדם.

היות והרשתות מתקשרות ביניהן באופן גובר, כל נקודת גישה יכולה לשמש כמטרה כדי לקבל גישה לרשת ה-IT. באופן מסורתי, מתקפות על מערכות OT היו השטח של גורמים עוינים המתמחים יותר בתחום, אך יכולות כאלו נכללות יותר ויותר בערכות תקיפה הזמינות לרכישה ברשת האפלה, מה שהופך אותן לזמינות עבור קבוצת תוקפים רחבה יותר.   

פלטפורמת מארג אבטחה, שנוסדה על ארכיטקטורת רשת של אבטחת סייבר
היקף הרשת הפך למקוטע יותר וצוותי אבטחת הסייבר פועלים פעמים רבות באופן מבודד. בו בזמן, ארגונים רבים עוברים למודלים של ריבוי-עננים או מודלים היברידיים. כל הגורמים הללו יוצרים את ההזדמנות המושלמת עבור פושעי הסייבר ליישם גישה הוליסטית ומתוחכמת.

ארכיטקטורת רשת של אבטחת סייבר משלבת בקרות אבטחה לתוך ולאורך רשתות ונכסים מבוזרים ביותר. בשילוב עם גישת מארג אבטחה (Security Fabric), ארגונים יכולים להרוויח מפלטפורמת אבטחה המאבטחת את כל הנכסים באתר המקומי של הלקוח, במרכז הנתונים, בענן או בקצה.

גורמי האבטחה יצטרכו לתכנן את אסטרטגיות האבטחה העתידיות שלהם כבר היום באמצעות מינוף כוחן של הבינה המלאכותית ולמידת המכונה כדי להאיץ מניעה, איתור ותגובה לאיומים. טכנולוגיות מתקדמות כמו איתור ותגובה לנקודות קצה (EDR) יכולות לסייע לזהות איומים זדוניים בהתבסס על התנהגות.

כ"כ, גישת רשת במודל zero-trust (ZTNA) תהיה קריטית לאבטחת גישה ליישומים כדי להרחיב את ההגנות עבור העובדים הניידים, בעוד שה-Secure SD-WAN חשוב כדי להגן על קצות ה-WAN המתפתחים.

בנוסף לכך, הסגמנטציה תמשיך להיות אסטרטגיה חיונית כדי להגביל את התנועה הרוחבית של התוקפים בתוך הרשת ולהגביל את הפרצות לחלק קטן של הרשת. מודיעין איומים משולב, שניתן לפעול לפיו, יכול לסייע לשפר את יכולת הארגון להתגונן בזמן אמת, בד בבד עם עליית קצב הפעילות של התוקפים.

בשלב המיידי, כל המגזרים וכל סוגי הארגונים יכולים לשתף פעולה ונתונים כדי לאפשר תגובות יעילות יותר ולחזות בצורה טובה יותר את השיטות העתידיות של התוקפים ולסכל אותן. איחוד כוחות באמצעות שיתופי פעולה צריך להיות בראש סדר העדיפויות כדי לשבש את מאמצי שרשרת האספקה של פושעי הסייבר לפני שהם יצליחו להוציא לפועל את התוכניות הזדוניות שלהם.     

דרק מאנקי, סמנכ"ל מודיעין אבטחת מידע ושיתופי פעולה גלובליים בתחום האיומים במעבדות FortiGuard, פורטינט: "פושעי הסייבר מתפתחים והופכים דומים יותר לקבוצות APT מסורתיות. הם מצוידים במתקפות zero-day, הרסניים ומסוגלים להרחיב את הטכניקות שלהם ככל הנדרש כדי להשיג את מטרותיהם.

אנו נראה מתקפות היוצאות אל מחוץ לרשת המורחבת, אפילו לחלל, כאשר התוקפים מנצלים את היקף הרשת המקוטע, את הצוותים והכלים המבודדים ואת שטח התקיפה המורחב. כדי להיאבק באיומים מתפתחים אלה, ארגונים צריכים לאמץ פלטפורמת מארג אבטחה הבנויה על ארכיטקטורת רשת של אבטחת סייבר".