מגמות אבטחת סייבר ל-2022: שורשי החדשנות של התוקפים
מגמות אבטחת סייבר ל-2022: שורשי החדשנות של התוקפים
צוות מעבדות סייברארק מזהה את שורשי החדשנות הבאים של התוקפים, אשר תבוא לידי ביטוי במגמות אבטחת סייבר ל-12 החודשים הבאים
לביא לזרוביץ, מנהל המחקר במעבדות סייברארק
"הקבוע היחיד הוא השינוי", כך אמר פילוסוף יווני לפני אלפי שנים, וזה נשמע נכון גם היום. במיוחד כשמסתכלים על שנת 2021 שהתאפיינה בשינויים רבים אשר הניעו ארגונים לאמץ אסטרטגיות חדשות לחיזוק החסינות שלהם מפני מתקפות. אך גם התוקפים המשיכו לשכלל את שיטות העבודה שלהם כדי לפעול באופן חכם ומהיר יותר, ולהרחיב את המתקפות עמוק לתוך שרשראות האספקה כדי לגרום נזק גדול יותר.
הצוות של מעבדות סייברארק הבחין בסימנים ראשונים של חדשנות המתפתחת אצל התוקפים. לכל חידוש כזה יש פוטנציאל לשנות את נוף הסיכונים בשנה הבאה.
חידוש מס' 1: ארגונים מחתרתיים יפלו במלכודת של עצמם, ותוך כדי זה יאכפו שינוי של מערך האבטחה
תהליכי ה-DevOps משנים את האופן שבו מתנהלים עסקים, והשינוי לא פסח גם על ארגוני פשע מחתרתיים.
בדיוק כמו ספקי תוכנה לגיטימיים, גם תוקפים משתמשים בתהליכי CI/CD, תשתית ענן וטכנולוגיות דיגיטליות אחרות כדי לפתח ולמכור נוזקות-כשירות (MaaS) חדשות. הצורך לשחרר לשוק פיצ'רים חדשים מונע על-ידי הביקוש (המחתרתי) הגדל לכלים פופולריים כגון נוזקה לגניבת הרשאות הניתנת להגדרה כך שתאסוף בסתר הרשאות משתמשים ואז תגנוב מידע רגיש מהקורבנות. נוזקות אלו הן לא רק עוצמתיות אלא גם פשוטות לשימוש, כמו מוצר מדף, מה שמחזק הן את התוקפים הטירונים והן תוקפים מתוחכמים
בזמן שקבוצות עברייניות אלו, קבוצות התקיפה, מתייחסות לעצמן יותר ויותר כעסקים "אמיתיים" ומתנהלות כך, גם הן יחשפו את עצמן לסיכונים חדשים. כמו כל ארגון אחר, הן יתמודדו עם אתגרי אבטחה חדשים בניהול יישומי SaaS מרובי משתמשים, שריון גישה מרחוק למערכות השליטה והנתונים ועוד.
תשתית הפיתוח והתקיפה של ארגוני הפשע האלה, תהווה חרב פיפיות. מערכי ביון ויחידות טכנולוגיות של מעצמות סייבר יוכלו לנצל את חרב הפיפיות הזו על מנת לבצע מהלכים התקפיים ולפגוע בתשתיות התקיפה ולזהות באופן יותר מדוייק מי עומד מאחוריהן ולפעול בהתאם.
חידוש מס' 2: התוקפים ישתמשו ב-OSS (תוכנת קוד פתוח) כדי להרחיב את המתקפות על שרשרת האספקה ולהפוך אותן לאוטומטיות
הכלכלה הדיגיטלית שלנו רצה על תוכנת קוד פתוח (Open Source Software) משום שהיא גמישה ומנצלת את כוחה של הקהילה כדי לעודד חדשנות. אבל, אינספור ספריות OSS "פתוחות" ו"חינמיות" גם מגדילות דרמטית את משטח ההתקפה ומאפשרות לגורמים מאיימים למכן את מאמציהם, לעקוף אמצעי גילוי ולגרום נזק נוסף.
מתקפת Codecov באפריל 2021 סיפקה לנו הצצה, כיצד שינוי קל בשורת קוד אחת יכול להפוך ספריה תמימה לגמרי לזדונית – וכך לסכן כל ארגון המשתמש בה. באמצעות שיטת ההסתננות החמקנית הזאת, תוקפים יכולים לתקוף ולגנוב הרשאות כדי להגיע לאלפי ארגונים בשרשרת אספקה אחת.
בשנה הקרובה התוקפים ימשיכו לחפש דרכים חדשות לפגוע בספריות קוד פתוח. ראינו תוקפים המבצעים מתקפות דמויות typosquatting על ידי יצירת חבילות קוד הכוללות שינויים קטנים בשמותיהן של אותן חבילות (למשל, atlas-client לעומת atlas_client). מדובר בעצם בגרסאות טרויאניות של החבילות המקוריות המטמיעות או מורידות פונקציונליות שגונבת הרשאות מהדלת האחורית. במקרה אחר, חבילת NPM נוצלה באמצעות סוס טרויאני כדי להריץ סקריפט של כריית מטבעות קריפטו ונוזקה לגניבת הרשאות לאחר שההרשאות של המפתח נפרצו. ראינו דוגמא נוספת לכך לפני מספר ימים כאשר מספר חבילות NPM זוהו כזדוניות – חוטפות Discord access tokens.
ארגונים חייבים להמשיך לעמוד על המשמר כי רק לעתים רחוקות המתקפות ה"מעודנות" האלו לכאורה שולחות סימנים, ולכן קשה מאוד לאתרן, במיוחד משום שספריות כאלה נפרשות כחלק מהפעולות הלגיטימיות והיומיומיות. במקרים רבים, הן נראות תמימות לחלוטין כשמורידים את הקוד הזדוני כ-dependency. בנוסף, כיוון שאת ההתקפות האוטומטיות הללו קל ומהיר לבצע כמעט ללא טביעת אצבע, הן יהיו יותר תכופות, פתאומיות והרסניות.
חידוש מס' 3: אזורי מסתור חדשים יאפשרו לתוקפים להתחבא בשטח פתוח
ואם המצב לא מסובך מספיק, משימת האבטחה תהפוך לעוד יותר מורכבת, הודות למקומות מסתור חדשים שמציעות טכנולוגיות הענן, הווירטואליזציה והקונטיינר.לדוגמה, ככל שגוברת הפופולריות של המיקרו-וירטואליזציה, התוקפים יוכלו לבודד את הנוזקה במערכות הווירטואליות ולהסתיר אותה מאמצעי הבקרה המותקנים בשרת המארח.
למרות שטכניקות ההתקפה האלו אינן שכיחות, בינתיים לפחות, תוקפים הפועלים בשם בעלי עניין כספי או מדינות נצפו כשהם בודקים מערכות כגון Windows Subsystem for Linux (WSL) - תת-מערכת הפעלה לינוקסית שמתארחת על שרת עם מערכת הפעלה חלונות (Windows). עצם הרצת התוכנה הזדונית, כופרה למשל, לרוב נסתרת מאנטי-ורוסים, מכלים לגילוי ותגובה בנקודת הקצה (EDR) ומכלי אבטחה אחרים לנקודת הקצה הממוקמים בשרת המארח.
לסיכום, בשנה הקרובה אנחנו צופים לראות חדשנות בצד ההתקפי. כזו שתקדם את הפיתוח והמוניטיזציה אצל ארגוני הפשע הקיברנטי וכזו שתפתח משטחי תקיפה עבור אלו שהיו עד עכשיו בעיקר מגנים.