דו"ח תחזית איומי הסייבר של פורטינט ל-2019 שאסור לארגונים ו-sCISO להחמיץ
מאת: מערכת Telecom News, 19.11.18, 22:15

התחזיות בדו"ח חושפות שיטות וטכניקות, שישמשו את פושעי הסייבר בעתיד הקרוב, יחד עם שינויי אסטרטגיה חשובים, שיסייעו בהגנה מפני התקפות מתקרבות אלו. בין היתר, חברות וארגונים יידרשו לכלים אוטומטיים כדי להתמודד עם מתקפות הסייבר. אוטומציה, "למידת מכונה" ו"בינה מלאכותית" הן הזירות של איומי הסייבר ב-2019. למידת מכונה ובדיקות אוטומטיות מבוססות בינה מלאכותית תחשופנה נקודות תורפה חדשות ברשתות ובתוכנות.

פורטינט העוסקת בפתרונות אבטחת סייבר מקיפים, משולבים ואוטומטיים, חשפה היום את ממצאי דו"ח מפת האיומים של מעבדות FortiGuard, גוף המחקר הגלובלי של החברה, ל-2019 ומעבר. התחזיות שבדו"ח חושפות שיטות וטכניקות, שחוקרי פורטינט מעריכים, שישמשו את פושעי הסייבר בעתיד הקרוב, יחד עם שינויי אסטרטגיה חשובים, שיסייעו בהגנה מפני התקפות מתקרבות אלו. להלן ממצאי המחקר העיקריים:

מתקפות סייבר תהפוכנה ליותר חכמות ומתוחכמות
עבור ארגוני פשע רבים, טכניקות התקפה נמדדות לא רק ברמת האפקטיביות שלהן, אלא במשאבים הנדרשים כדי לפתח, לעדכן וליישם אותן. הרבה מההתקפות יכולות להשתבש ע"י התייחסות למודל הכלכלי המיושם ע"י פושעי הסייבר. שינויים אסטרטגיים אצל אנשים, תהליכים וטכנולוגיות יכולים להכריח חלק מהפושעים לחשוב מחדש על הערך הכלכלי של התמקדות בארגונים מסוימים.

אחת הדרכים, שבהן ארגונים מתמודדים עם מתקפות, היא ע"י אימוץ טכנולוגיות ואסטרטגיות חדשות כגון למידת מכונה (Machine Learning) ואוטומציה כדי לבצע פעולות הגנה מייגעות וגוזלות זמן שבד"כ דורשות רמה גבוהה של פיקוח והתערבות אנושית.

אסטרטגיות הגנה חדשות אלו צפויות להשפיע על אסטרטגיות של פושעי הסייבר ולגרום להם לשנות שיטות התקפה ולהאיץ את מאמצי הפיתוח שלהם. במאמץ להסתגל לשימוש המוגבר בלמידת מכונות ואוטומציה, החברה צופה, שקהילת פושעי הסייבר צפויה לאמץ את האסטרטגיות הבאות, שתעשיית אבטחת הסייבר כולה תצטרך לעקוב אחריהן מקרוב:

בדיקות אוטומטיות מבוססות בינה מלאכותית ( Artificial Intelligence Fuzzing- AIF) ופרצות תוכנה: Fuzzing באופן מסורתי הייתה טכניקה מתוחכמת, שנעשה בה שימוש בסביבות מעבדה ע"י חוקרי איומים מקצועיים כדי לגלות פרצות בממשקים ויישומים של חומרה ותוכנה. זאת, ע"י הזנת נתונים לא חוקיים, בלתי צפויים או חצי אקראיים לממשק או לתוכנה ולאחר מכן, ניטור תרחישים כגון קריסות, באגים, שגיאות קוד ודליפות זיכרון פוטנציאליות.

באופן היסטורי, טכניקה זו הוגבלה למספר מצומצם של חוקרים מיומנים העובדים בסביבות מעבדה. עם זאת, ככל שיכולות וכלים של למידת מכונה ייושמו על תהליכים אלה, ההערכה היא, ששיטות אלו לא רק תהפוכנה ליותר יעילות וניתנות להתאמה, אלא תהיינה זמינות לטווח רחב יותר של אנשים פחות מיומנים.

בהתאם, כמו שפושעי סייבר החלו למנף למידת מכונה לפיתוח כלי Fuzzing אוטומטיים, כך הם יוכלו להאיץ את תהליך גילוי פרצות יום אפס (Zero Day), שיוביל לעלייה של התקפות מסוג זה על פלטפורמות ותוכנות שונות.

• פרצת יום אפס לכרייה באמצעות AIF: ברגע ש-AIF במקום, הוא יכול להצביע בקוד בתוך סביבה מבוקרת לניצול פרצת יום אפס לכרייה. הדבר יאיץ באופן משמעותי את שיעור השימוש לרעה בפרצות יום אפס. בתוך כך, ברגע שכרייה כשירות באמצעות פרצות יום אפס תתאפשר, היא תיצור התקפות מותאמות למטרות ספציפיות. הדבר ישנה את האופן בו ארגונים יצטרכו לטפל באבטחה, מאחר שלא ניתן יהיה לצפות היכן פרצות יום אפס אלו תופענה ולא כיצד להתגונן מפניהן כראוי. אתגרים אלה יהיו קשים להתמודדות עוד יותר במידה ונעשה שימוש בכלי אבטחה מדור קודם, שאינם מתקשרים זה עם זה, שעדיין קיימים בחלק מהארגונים.

• "המחיר" של פרצות יום אפס: היסטורית, מחיר פרצות יום אפס, שנוצלו לרעה, היה גבוה למדי, בעיקר בגלל הזמן, המאמץ והמיומנות הנדרשים כדי לחשוף אותן. אך כמו שטכנולוגיית בינה מלאכותית מיושמות מסביב לשעון, הפרצות הללו תהפוכנה מנדירות לשכיחות. תופעה זו נראתה כבר במתקפות זדוניות מסורתיות יותר כמו מתקפות כופר ובוטנטים, מה שהביא את פתרונות אבטחת המידע המסורתיים לקצה. התאוצה במספר ומגוון הפרצות והניצול האפשרי שלהן, לרבות היכולות ליצור במהירות פרצות יום אפס ולספק אותן כשירות, תשפיע גם על סוגי ועלויות השירותים הזמינים ברשת האפלה.

נחילים כשירות (Swarm as a Service): התקדמות משמעותית בהתקפות מתוחכמות המופעלות ע"י טכנולוגיית מודיעין המבוססת נחילים בעלי יכולת למידה עצמית, מזמנת מציאות של שימוש בבוטנטים מבוססי נחילים הידועים בשם hivenets (כוורות). דור חדש זה של איומים ישמש ליצירת נחילים גדולים של בוטים אינטליגנטיים, שיכולים לפעול בשיתוף פעולה ובאופן אוטונומי.

רשתות נחילים אלו לא רק יגבירו את הרף במונחים של הטכנולוגיות הדרושות להגנה על ארגונים, אלא בדומה לפרצות יום אפס לכרייה, הן תשפענה גם על המודל העסקי של פושעי הסייבר. בסופו של דבר, ההשפעה העיקרית של התפתחות טכנולוגיות ושיטות התקיפה תהיה על המודלים העסקיים של קהילת פושעי הסייבר.

נכון להיום, הסביבה העסקית של פושעי הסייבר מונעת ע"י אנשים. האקרים מקצועיים נשכרים כדי לבנות כלים מותאמים אישית תמורת תשלום ואפילו ההתקדמות החדשה כגון Ransomware-as-a-Service דורשת עדיין עבודה מצד האקרים ומשאבים רבים הנדרשים להם לשם כך. עם זאת, כאשר תתאפשר אוטונומיות ושימוש בנחילים כשירות בעלי יכולת למידה עצמית, היקף האינטראקציות בין הלקוחות להאקרים יופחת משמעותית.

• נחילים לפי מנות: היכולת לחלק נחיל למשימות שונות כדי להשיג את התוצאה הרצויה דומה מאוד לאופן שבו העולם נע לעבר וירטואליזציה. ברשת וירטואלית, משאבים יכולים לסובב למעלה או למטה מכונות וירטואליות המבוססות לחלוטין על הצורך לטפל בבעיות מסוימות, כגון רוחב פס. באופן דומה, משאבים ברשת נחיל יכולים להיות מוקצים או מוקצים מחדש כדי להתמודד עם אתגרים ספציפיים הקיימים בשרשרת ההתקפה.

נחיל, שתוכנת מראש ע"י פושעים עם מגוון של כלי ניתוח ויכולות ניצול לרעה, בשילוב עם יכולות למידה עצמית ויכולת לתקשר ביניהם, הופכת את החיים של פושעי הסייבר לפשוטים יותר על ידי כך, שהם יכולים להזמין את המתקפה שהם רוצים כמו מנות מתוך תפריט של מסעדה.
 
האתגר של למידת מכונה: למידת מכונה הוא אחד הכלים המבטיחים ביותר בארגז הכלים של האבטחה ההגנתית. התקני אבטחה ומערכות יכולים להיות מאומנים לביצוע משימות ספציפיות באופן עצמאי, כגון התנהגויות בסיסיות, שימוש בניתוח התנהגותי כדי לזהות איומים מתוחכמים או מעקב ועדכון מכשירים.

למרבה הצער, תהליך זה יכול להיות מנוצל לרעה גם ע"י פושעי סייבר. פושעים אלה יכולים לסמן כמטרה את תהליכי למידת המכונה ולדאוג, שההתקנים או המערכות לא יעדכנו עדכוני תוכנה הרלוונטיים אליהם, יתעלמו מיישומים משיקים ותרחישים שונים ויפעלו כך, שלא ניתן יהיה לזהות זאת. לאפשרויות אלו תהיה השפעה אבולוציונית חשובה על העתיד של למידת מכונה וטכנולוגיית בינה מלאכותית.

ההתגוננות הארגונית תהפוך ליותר מתוחכמת
כדי לנטרל התפתחויות אלו, ארגונים יצטרכו להמשיך להעלות את הרף מול פשיעת הסייבר. כל אחת מאסטרטגיות ההגנה והאבטחה הבאות תשפיע על ארגוני פשיעת הסייבר ותאלץ אותם לשנות טקטיקות, לשנות התקפות ולפתח דרכים חדשות לזיהוי הזדמנויות. עלות שיגור ההתקפות שלהם תעלה בכך, שתחייב לגייס כוח אדם נוסף, להשקיע יותר משאבים עבור אותה תוצאה או למצוא עוד רשת נגישה, שניתן לנצל לרעה.

טקטיקת הטעיה מתקדמת: שילוב טכניקות הטעיה בתוך אסטרטגיות אבטחה המציגות מידע כוזב על מבנה הרשת יאלץ את התוקפים לאמת ללא הרף את המידע הקיים ברשותם, להשקיע זמן ומשאבים כדי לאתר תוצאות חיוביות שגויות (False Positives) ולהבטיח, שהמשאבים, שהם רואים ברשת, הם לגיטימיים. ומכיוון שאת כל ההתקפות על משאבי רשת מזויפים ניתן לאתר באופן מידי ולהפעיל אמצעי נגד, התוקפים יצטרכו להיות זהירים מאוד אפילו בביצוע פעולות בסיסיות מאוד.

שיתוף פעולה פתוח ומאוחד: אחת הדרכים הקלות ביותר עבור פושעי סייבר למקסם את ההשקעה במתקפה קיימת, ואולי להתחמק מגילוי, היא פשוט לבצע שינוי קטן, אפילו משהו בסיסי, כמו שינוי כתובת ה-IP. דרך יעילה להתמודד עם איומים אלה היא שיתוף מידע מודיעני סביב איומים קיימים.

שיתוף מידע זה סביב האיומים המתעדכנים באופן תדיר מאפשר לספקי אבטחה ולקוחותיהם להתעדכן במפת האיומים הקיימת. מאמצי שיתוף פעולה פתוחים בין ארגוני מחקר של איומים, אמנות והסכמים בתעשייה, יצרני פתרונות אבטחה ורשויות אכיפת חוק, יקצרו באופן משמעותי את הזמן הנדרש לזיהוי איומים חדשים ע"י חשיפת הטקטיקות, שבהן משתמשים התוקפים ושיתופן.

עם זאת, במקום להיות תגובתי, יישום של ניתוח התנהגותי על נתונים חיים תוך שיתוף מידע בין גופים שונים יאפשר לחברות וארגונים, שמתגוננים ממתקפות, לחזות התנהגויות חשודות של תוכנות זדוניות ובכך 'לפגוע' במודל של פושעי הסייבר למנף שוב ושוב תוכנות זדוניות קיימות על חברות שונות.

מהירות, אינטגרציה ואוטומציה - יסודות קריטיים של אבטחת סייבר
אסטרטגית אבטחת מידע עתידית הכוללת אוטומציה או למידת מכונה לא יכולה להתקיים ללא אמצעים לאיסוף, עיבוד ופעולות כנגד איומים באופן משולב וזאת ,כדי להפיק תגובה חכמה.

כדי להתמודד עם התחכום הגובר של האיומים, על הארגונים לשלב את כל מרכיבי האבטחה במארג אבטחה (Security Fabric) כדי למצוא ולהגיב במהירות ובהתאמה. מודיעין איומים מתקדם, משותף ומתואם לכל רכיבי האבטחה צריך להיות אוטומטי כדי לקצר את חלון הזמן לאיתור המתקפה ולתיקון הנדרש.

אינטגרציה של מוצרים נקודתיים הפרוסים על פני הרשת המבוזרת, בשילוב עם חלוקה אסטרטגית, יסייעו באופן משמעותי לחברות וארגונים להתמודד טוב יותר עם האיומים שהופכים לחכמים יותר ויותר.

דרק מנקי, (בתמונה למעלה), אסטרטג אבטחה גלובלי בכיר בפורטינט: "אנו רואים התקדמות משמעותית בכלים ובשירותים של פושעי סייבר הממנפים אוטומציה ובינה מלאכותית. ארגונים צריכים לחשוב מחדש על האסטרטגיה שלהם כדי לחזות טוב יותר את האיומים ולהילחם במניעים הכלכליים המאלצים את פושעי הסייבר לקדם דרכי פעולה חדשות במקום אלו שנכשלו.

במקום לעסוק במרוץ חימוש מתמיד, ארגונים צריכים לאמץ אוטומציה ובינה מלאכותית כדי לכווץ את מרחב התקיפה מחדירה לגילוי ומגילוי לחסימה. ניתן להשיג זאת ע"י שילוב של רכיבי אבטחה בתוך מארג אבטחה מגובש, שמשתף באופן דינמי מידע על איומים עבור הגנה רחבה ונראות על פני כל חלקי הרשת מה-IoT ועד הענן".