דו"ח מפת איומים סוף 2020: האקרים מתמקדים בשרשרת האספקה הדיגיטלית

דו"ח מפת איומים מחצית שניה 2020: פושעי סייבר מתמקדים בשרשרת האספקה הדיגיטלית
מאת: מערכת Telecom News, 2.3.21, 13:05

הדו"ח מראה מפת איומי סייבר חסרת תקדים בה פושעים ממנפים את שטח התקיפה המתרחב ללא הרף כדי להשיק מתקפות סייבר בכל העולם. ההיקף והתפתחות המתקפות משפיעים על כל קצוות הרשת האפשריים בארגון ואפילו על שרשרת האספקה הדיגיטלית. הכל על סוגי תוכנות כופר הפעילים ביותר, המגזרים המהווים את המטרות העיקריות של המתקפות, פגיעות שרשרת האספקה, יעדי תקיפה פופולריים, המשרד הביתי כמטרה, והצטרפות של גורמים עוינים חדשים לבמה העולמית.

פורטינט, שעוסקת בפתרונות אבטחת סייבר מקיפים, משולבים ואוטומטיים, חשפה את ממצאי דו"ח מפת האיומים הגלובלי החצי-שנתי של מעבדות FortiGuard, גוף המחקר של החברה. מודיעין האיומים אשר נאסף ע"י מעבדות FortiGuard במחצית השנייה של 2020 מראה מפת איומי סייבר חסרת תקדים בה הפושעים ממנפים את שטח התקיפה המתרחב ללא הרף כדי להשיק מתקפות סייבר בכל רחבי העולם.

הפושעים הוכיחו את עצמם כבעלי יכולת הסתגלות גבוהה, מה שהביא לגלי מתקפות מתוחכמים ומשבשים. הם התמקדו בריבוי העובדים המרוחקים או התלמידים הנמצאים מחוץ לרשת המסורתית והראו גם גמישות מחודשת בניסיונות להתמקד בשרשראות אספקה דיגיטליות ואפילו בליבת הרשת.

להלן ממצאי הדו"ח העיקריים:  
תוכנות הכופר ממשיכות להסתער: הנתונים של מעבדות FortiGuard מראים עלייה גדולה פי 7 בפעילות הכוללת של תוכנות כופר בהשוואה למחצית הראשונה של 2020, עם מגוון מגמות האחראיות לגידול בפעילות זו. השילוב בין ההתפתחות של תוכנות כופר כשירות (RaaS), התמקדות בבקשות כופר גדולות עבור מטרות גדולות והאיום של חשיפת מידע גנוב במידה והדרישות לא תיעננה, יוצר את התנאים האחראיים לגידול משמעותי זה.

סוגי תוכנות הכופר הפעילים ביותר, שנמצאו בדרגות שכיחות שונות היו Egregor, Ryuk, Conti, Thanos, Ragnar, WstedLocker, Phobos/EKING ו-BazarLoader.

המגזרים, שהיו המטרות העיקריות של מתקפות הכופר, כללו את מגזר הבריאות, שירותים מקצועיים, שירותי צריכה, המגזר הציבורי ומוסדות שירותים פיננסיים.

כדי להתמודד ביעילות עם הסיכון המתפתח של תוכנות כופר, ארגונים צריכים לוודא, שיש להם יכולות המאפשרות גיבוי נתונים מתוזמן, מלא ומאובטח מחוץ לאתר. כ"כ, עליהם להשקיע באסטרטגיות של גישת Zero-trust וסגמנטציה כדי להפחית את הסיכונים.    
 
שרשרת האספקה מקבלת את הבמה המרכזית: למתקפות על שרשרת האספקה יש היסטוריה ארוכה, אך פרצת SolarWinds העלתה את הדיון לרמה חדשה. עם התפתחות המתקפה, הארגונים, שהושפעו ממנה, שיתפו כמות משמעותית של מידע. מעבדות FortiGuard עקבו מקרוב אחר מודיעין זה והשתמשו בו כדי ליצור את סממני הפרצה (Indicator of compromise) כדי לאתר פעילות הקשורה למתקפה.

איתור של תקשורת עם תשתית אינטרנט המקושרת עם SUNBURST במהלך דצמבר 2020 מראה, שהמתקפה הייתה גלובלית במהותה, כאשר הברית של המדינות החברות ב-"Five Eyes" הציגו שיעורי תעבורה גבוהים מאוד התואמים לסממני הפרצה הזדוניים של המתקפה. כ"כ, ישנן עדויות של מטרות עודפות הממחישות את ההיקף הכולל של מתקפות מודרניות על שרשרת האספקה ואת החשיבות של ניהול סיכונים.    
   
הפושעים מתמקדים בפעילות המקוונת שלכם: לפי ממצאי הדו"ח, בחינה של הקטגוריות השכיחות ביותר של תוכנות זדוניות חשפה את הטכניקות הפופולריות ביותר של פושעי הסייבר כדי לבסס דריסת רגל בארגונים. יעד התקיפה הפופולרי ביותר היה הפלטפורמות של Microsoft באמצעות מסמכים הנמצאים בשימוש של אנשים רבים במהלך יום העבודה שלהם.

דפדפני אינטרנט - גם הם המשיכו להיות בחזית. קטגוריה זו של מתקפות מבוססות HTML כללה אתרי פישינג (Phishing) מלאים בתוכנות וסקריפטים זדוניים, שמחדירים קוד או מנתבים משתמשים לאתרים זדוניים. סוגי איומים אלה גוברים באופן בלתי נמנע בזמנים של בעיות גלובליות או תקופות של פעילות מסחר מקוון משמעותית. עובדים, שנהנים לרוב משירותי סינון אתרים כאשר הם גולשים באינטרנט דרך הרשת הארגונית, ממשיכים למצוא את עצמם חשופים יותר ויותר כאשר הם עושים זאת מחוץ למערכת, שנועדה להגן עליהם. 

המשרד הביתי ממשיך לשמש כמטרה: המחסומים בין הבית והמשרד נשחקו משמעותית ב-2020, כאשר המשמעות היא, שההתמקדות של פושעי הסייבר ברשת הביתית מקדמת אותם קרוב יותר אל הרשת הארגונית.

במחצית השנייה של 2020, פרצות, שהתמקדו בהתקני האינטרנט של הדברים (IoT) היו הפופולריות ביותר. כל אחד מהתקני ה-IoT מציג קצה רשת חדש, שיש צורך להגן עליו ואשר דורש ניטור ואכיפה של אבטחה בכל אחד מההתקנים הללו.    

הצטרפות של גורמים עוינים חדשים לבמה העולמית: קבוצות של איומים מתמידים מתקדמים (APT) ממשיכות לנצל את מגפת הקורונה במגוון דרכים, כאשר הדרכים הנפוצות ביותר בהן כוללות מתקפות המתמקדות באיסוף של מידע אישי בכמויות גדולות, גניבה של קניין רוחבי וחטיפה של מודיעין התואם את העדיפויות הלאומיות של קבוצות APT אלו.

לקראת סוף 2020, חלה עלייה בפעילות APT המתמקדת בארגונים המעורבים בפעילות הקשורה למגפת הקורונה, כמו מחקר בתחום החיסון ופיתוח של פוליסות מקומיות ובינלאומיות הקשורות למגפה. הארגונים הללו כללו סוכנויות ממשלתיות, חברות תרופות וחברות מחקר רפואי.

משטחים את עקומת ניצול נקודות התורפה: עדכון ותיקון של נקודות תורפה נמצאים בראש סדר העדיפויות של ארגונים היות ופושעי הסייבר ממשיכים לנסות לנצל את נקודות התורפה הללו למען הרווח האישי שלהם. מעקב אחר ההתקדמות של למעלה מ-1,500 פרצות במשך למעלה משנתיים גילה את המהירות והמרחק של ההתפשטות שלהן. גם אם זה לא תמיד המקרה, נראה, שמרבית הפרצות לא מתפשטות רחוק במהירות רבה מידי.

מבין כל הפרצות, שהיו במעקב במהלך השנתיים האחרונות, רק 5% אותרו ע"י מעל ל-10% מהארגונים. כאשר כל הפרמטרים שווים, הנתונים מראים, שבבחירה אקראית של נקודת תורפה יש סיכוי של 1 ל-1,000 שהארגון יותקף.

לפי ממצאי הדו"ח, כ-6% מהפרצות פוגעות בלמעלה מ-1% מהחברות בחודש הראשון ואפילו לאחר שנה, 91% מהפרצות לא חצו של רף ה-1%. יחד עם זאת, יש צורך לשקול להתמקד במאמצי תיקון של נקודות תורפה כשמדובר בפרצות ידועות, כאשר מביניהן יש להעדיף את אלו המתרבות באופן המהיר ביותר.   
  
עופר ישראלי, (בתמונה למעלה), מנהל פעילות פורטינט ישראל: "הארגונים מתמודדים עם מפת איומים המורכבת ממתקפות המגיעות מכל הכיוונים. מודיעין האיומים עדיין משמש כגורם מרכזי להבנה של איומים אלה והדרכים, שיש לנקוט בהן כדי להתגונן מפני גורמי האיום המתפתחים. גם הנראות חיונית, במיוחד כאשר מספר עצום של משתמשים נמצא מחוץ לרשת הרגילה.

כל התקן יוצר קצה רשת חדש, שיש לעקוב ולאבטח אותו. השימוש בבינה מלאכותית ואיתור איומים אוטומטי יכולים לאפשר לארגונים להתמודד עם מתקפות באופן מידי ולא מאוחר יותר והם נחוצים כדי להפחית את המהירות והגודל של המתקפות בכל קצוות הרשת. כ"כ, יש להדריך את המשתמשים בנוגע למודעות לאבטחת סייבר, היות והיגיינת סייבר היא לא רק מנת חלקם של צוותי האבטחה וה-IT. כולם צריכים לעבור הדרכה קבועה בנוגע לדרכים הטובות ביותר לשמירה על בטיחות העובדים והארגון".
 
דרק מאנקי, סמנכ"ל מודיעין אבטחת מידע ושיתופי פעולה גלובליים בתחום האיומים במעבדות FortiGuard: "ב-2020 היינו עדים למפת איומי סייבר דרמתית מההתחלה ועד הסוף. אם כי מגפת הקורונה שיחקה תפקיד מרכזי, ככל שהשנה התקדמה, כך פושעי הסייבר פיתחו מתקפות עם תוצאות משבשות יותר ויותר. הם הביאו למקסימום את שטח התקיפה הדיגיטלי המורחב מעבר לליבת הרשת כדי להתמקד בעובדים ובלומדים המרוחקים ובשרשרת האספקה הדיגיטלית.

הסיכון של אבטחת סייבר מעולם לא היה גדול יותר, כאשר כיום הכל מחובר בסביבה דיגיטלית אחת גדולה. גישות אבטחה, שנשענות על פלטפורמות מחוברות המבוססות על בינה מלאכותית ומודיעין איומים, שניתן לפעול לפיו, חיוניות כדי להגן על כל קצוות הרשת, לזהות ולתקן את האיומים, שהארגונים מתמודדים עמם בזמן אמת".