תחזית איומי הסייבר של פורטינט ל-2019: חברות וארגונים יידרשו לכלים אוטומטיים על מנת להתמודד עם מתקפות הסייבר
למידת מכונה ובדיקות אוטומטיות מבוססות בינה מלאכותית יחשפו נקודות תורפה חדשות ברשתות ובתוכנות
מתקפות סייבר יהפכו ליותר חכמות ומתוחכמות
עבור ארגוני פשע רבים, טכניקות התקפה נמדדות לא רק ברמת האפקטיביות שלהן, אלא במשאבים הנדרשים כדי לפתח, לעדכן וליישם אותן. הרבה מההתקפות יכולות להשתבש על ידי התייחסות למודל הכלכלי המיושם על ידי פושעי הסייבר. שינויים אסטרטגיים אצל אנשים, תהליכים וטכנולוגיות יכולים להכריח חלק מהפושעים לחשוב מחדש על הערך הכלכלי של התמקדות בארגונים מסוימים. אחת הדרכים שבהן ארגונים מתמודדים עם מתקפות היא על ידי אימוץ טכנולוגיות ואסטרטגיות חדשות כגון למידת מכונה (Machine Learning) ואוטומציה כדי לבצע פעולות הגנה מייגעות וגוזלות זמן שבדרך כלל דורשות רמה גבוהה של פיקוח והתערבות אנושית. אסטרטגיות הגנה חדשות אלו צפויות להשפיע על אסטרטגיות של פושעי הסייבר ולגרום להם לשנות שיטות התקפה ולהאיץ את מאמצי הפיתוח שלהם. במאמץ להסתגל לשימוש המוגבר בלמידת מכונות ואוטומציה, פורטינט צופה כי קהילת פושעי הסייבר צפויה לאמץ את האסטרטגיות הבאות, אשר תעשיית אבטחת הסייבר כולה תצטרך לעקוב אחריהן מקרוב:
• בדיקות אוטומטיות מבוססות בינה מלאכותית ( Artificial Intelligence Fuzzing- AIF) ופרצות תוכנה: Fuzzing באופן מסורתי הייתה טכניקה מתוחכמת שנעשה בה שימוש בסביבות מעבדה על ידי חוקרי איומים מקצועיים כדי לגלות פרצות בממשקים ויישומים של חומרה ותוכנה. זאת על ידי הזנת נתונים לא חוקיים, בלתי צפויים או חצי אקראיים לממשק או לתוכנה ולאחר מכן, ניטור תרחישים כגון קריסות, באגים, שגיאות קוד ודליפות זיכרון פוטנציאליות. באופן היסטורי, טכניקה זו הוגבלה למספר מצומצם של חוקרים מיומנים העובדים בסביבות מעבדה. עם זאת, ככל שיכולות וכלים של למידת מכונה ייושמו על תהליכים אלו, ההערכה היא כי שיטות אלו לא רק יהפכו ליותר יעילות וניתנות להתאמה, אלא יהיו זמינות לטווח רחב יותר של אנשים פחות מיומנים. בהתאם, כמו שפושעי סייבר החלו למנף למידת מכונה לפיתוח כלי Fuzzing אוטומטיים, כך הם יוכלו להאיץ את תהליך גילוי פרצות יום אפס (Zero Day), אשר יוביל לעלייה של התקפות מסוג זה על פלטפורמות ותוכנות שונות.
o פרצת יום אפס לכרייה באמצעות AIF: ברגע ש-AIF במקום, הוא יכול להצביע בקוד בתוך סביבה מבוקרת לניצול פרצת יום אפס לכרייה. הדבר יאיץ באופן משמעותי את שיעור השימוש לרעה בפרצות יום אפס. בתוך כך, ברגע שכרייה כשירות באמצעות פרצות יום אפס תתאפשר, היא תיצור התקפות מותאמות למטרות ספציפיות. הדבר ישנה את האופן בו ארגונים יצטרכו לטפל באבטחה, מאחר ולא ניתן יהיה לצפות היכן פרצות יום אפס אלה יופיעו ולא כיצד להתגונן מפניהן כראוי. אתגרים אלו יהיו קשים להתמודדות עוד יותר במידה ונעשה שימוש בכלי אבטחה מדור קודם שאינם מתקשרים זה עם זה, אשר עדיין קיימים בחלק מהארגונים.
o "המחיר" של פרצות יום אפס: היסטורית, מחיר פרצות יום אפס שנוצלו לרעה היה גבוה למדי, בעיקר בגלל הזמן, המאמץ והמיומנות הנדרשים כדי לחשוף אותן. אך כמו שטכנולוגיית בינה מלאכותית מיושמות מסביב לשעון, הפרצות הללו יהפכו מנדירות לשכיחות. תופעה זו נראתה כבר במתקפות זדוניות מסורתיות יותר כמו מתקפות כופר ובוטנטים, מה שהביא את פתרונות אבטחת המידע המסורתיים לקצה. התאוצה במספר ומגוון הפרצות והניצול האפשרי שלהן, לרבות היכולות ליצור במהירות פרצות יום אפס ולספק אותן כשירות, תשפיע גם על סוגי ועלויות השירותים הזמינים ברשת האפלה.
• נחילים כשירות (Swarm as a Service): התקדמות משמעותית בהתקפות מתוחכמות המופעלות על ידי טכנולוגיית מודיעין המבוססת נחילים בעלי יכולת למידה עצמית, מזמנת מציאות של שימוש בבוטנטים מבוססי נחילים הידועים בשם hivenets (כוורות). דור חדש זה של איומים ישמש ליצירת נחילים גדולים של בוטים אינטליגנטיים שיכולים לפעול בשיתוף פעולה ובאופן אוטונומי. רשתות נחילים אלו לא רק יגבירו את הרף במונחים של הטכנולוגיות הדרושות להגנה על ארגונים, אלא בדומה לפרצות יום אפס לכרייה, הן ישפיעו גם על המודל העסקי של פושעי הסייבר. בסופו של דבר, ההשפעה העיקרית של התפתחות טכנולוגיות ושיטות התקיפה תהיה על המודלים העסקיים של קהילת פושעי הסייבר.
נכון להיום, הסביבה העסקית של פושעי הסייבר מונעת על ידי אנשים. האקרים מקצועיים נשכרים כדי לבנות כלים מותאמים אישית תמורת תשלום ואפילו ההתקדמות החדשה כגון Ransomware-as-a-Service דורשת עדיין עבודה מצד האקרים ומשאבים רבים שנדרשים להם לשם כך. עם זאת, כאשר תתאפשר אוטונומיות ושימוש בנחילים כשירות בעלי יכולת למידה עצמית, היקף האינטראקציות בין הלקוחות להאקרים יופחת משמעותית.
o נחילים לפי מנות: היכולת לחלק נחיל למשימות שונות כדי להשיג את התוצאה הרצויה דומה מאוד לאופן שבו העולם נע לעבר וירטואליזציה. ברשת וירטואלית, משאבים יכולים לסובב למעלה או למטה מכונות וירטואליות המבוססות לחלוטין על הצורך לטפל בבעיות מסוימות, כגון רוחב פס. באופן דומה, משאבים ברשת נחיל יכולים להיות מוקצים או מוקצים מחדש כדי להתמודד עם אתגרים ספציפיים הקיימים בשרשרת ההתקפה. נחיל אשר תוכנת מראש על ידי פושעים עם מגוון של כלי ניתוח ויכולות ניצול לרעה, בשילוב עם יכולות למידה עצמית ויכולת לתקשר ביניהם, הופכת את החיים של פושעי הסייבר לפשוטים יותר על ידי כך שהם יכולים להזמין את המתקפה שהם רוצים כמו מנות מתוך תפריט של מסעדה.
• האתגר של למידת מכונה: למידת מכונה הוא אחד הכלים המבטיחים ביותר בארגז הכלים של האבטחה ההגנתית. התקני אבטחה ומערכות יכולים להיות מאומנים לביצוע משימות ספציפיות באופן עצמאי, כגון התנהגויות בסיסיות, שימוש בניתוח התנהגותי כדי לזהות איומים מתוחכמים או מעקב ועדכון מכשירים. למרבה הצער, תהליך זה יכול להיות מנוצל לרעה גם על ידי פושעי סייבר. פושעים אלו יכולים לסמן כמטרה את תהליכי למידת המכונה ולדאוג שההתקנים או המערכות לא יעדכנו עדכוני תוכנה הרלוונטיים אליהם, יתעלמו מיישומים משיקים ותרחישים שונים ויפעלו כך שלא ניתן יהיה לזהות זאת. לאפשרויות אלו תהיה השפעה אבולוציונית חשובה על העתיד של למידת מכונה וטכנולוגיית בינה מלאכותית.
ההתגוננות הארגונית תהפוך ליותר מתוחכמת
כדי לנטרל התפתחויות אלה, ארגונים יצטרכו להמשיך להעלות את הרף מול פשיעת הסייבר. כל אחת מאסטרטגיות ההגנה והאבטחה הבאות תשפיע על ארגוני פשיעת הסייבר ותאלץ אותם לשנות טקטיקות, לשנות התקפות ולפתח דרכים חדשות לזיהוי הזדמנויות. עלות שיגור ההתקפות שלהם תעלה בכך שתחייב לגייס כוח אדם נוסף, להשקיע יותר משאבים עבור אותה תוצאה או למצוא עוד רשת נגישה שניתן לנצל לרעה.
• טקטיקת הטעיה מתקדמת: שילוב טכניקות הטעיה בתוך אסטרטגיות אבטחה המציגות מידע כוזב על מבנה הרשת יאלצו את התוקפים לאמת ללא הרף את המידע שיש ברשותם, להשקיע זמן ומשאבים כדי לאתר תוצאות חיוביות שגויות (False Positives) ולהבטיח שהמשאבים שהם רואים ברשת הם לגיטימיים. ומכיוון שאת כל ההתקפות על משאבי רשת מזויפים ניתן לאתר באופן מידי ולהפעיל אמצעי נגד, התוקפים יצטרכו להיות זהירים מאוד אפילו בביצוע פעולות בסיסיות מאוד.
• שיתוף פעולה פתוח ומאוחד: אחת הדרכים הקלות ביותר עבור פושעי סייבר למקסם את ההשקעה במתקפה קיימת – ואולי להתחמק מגילוי – היא פשוט לבצע שינוי קטן, אפילו משהו בסיסי, כמו שינוי כתובת ה-IP. דרך יעילה להתמודד עם איומים אלו היא שיתוף מידע מודיעני סביב איומים קיימים. שיתוף מידע זה סביב האיומים המתעדכנים באופן תדיר מאפשר לספקי אבטחה ולקוחותיהם להתעדכן במפת האיומים הקיימת. מאמצי שיתוף פעולה פתוחים בין ארגוני מחקר של איומים, אמנות והסכמים בתעשייה, יצרני פתרונות אבטחה ורשויות אכיפת חוק, יקצרו באופן משמעותי את הזמן הנדרש לזיהוי איומים חדשים על ידי חשיפת הטקטיקות שבהן משתמשים התוקפים ושיתופן. עם זאת, במקום להיות תגובתי, יישום של ניתוח התנהגותי על נתונים חיים תוך שיתוף מידע בין גופים שונים יאפשר לחברות וארגונים המתגוננים ממתקפות לחזות התנהגויות חשודות של תוכנות זדוניות ובכך 'לפגוע' במודל של פושעי הסייבר למנף שוב ושוב תוכנות זדוניות קיימות על חברות שונות.
מהירות, אינטגרציה ואוטומציה – יסודות קריטיים של אבטחת סייבר
אסטרטגית אבטחת מידע עתידית הכוללת אוטומציה או למידת מכונה לא יכולה להתקיים ללא אמצעים לאיסוף, עיבוד ופעולות כנגד איומים באופן משולב וזאת כדי להפיק תגובה חכמה. כדי להתמודד עם התחכום הגובר של האיומים, על הארגונים לשלב את כל מרכיבי האבטחה במארג אבטחה (Security Fabric) כדי למצוא ולהגיב במהירות ובהתאמה. מודיעין איומים מתקדם, משותף ומתואם לכל רכיבי האבטחה צריך להיות אוטומטי כדי לקצר את חלון הזמן לאיתור המתקפה ולתיקון הנדרש. אינטגרציה של מוצרים נקודתיים הפרוסים על פני הרשת המבוזרת, בשילוב עם חלוקה אסטרטגית, יסייעו באופן משמעותי לחברות וארגונים להתמודד טוב יותר עם האיומים שהופכים לחכמים יותר ויותר.
דרק מנקי, אסטרטג אבטחה גלובלי בכיר בפורטינט, אמר כי, "אנו רואים התקדמות משמעותית בכלים ובשירותים של פושעי סייבר הממנפים אוטומציה ובינה מלאכותית. ארגונים צריכים לחשוב מחדש על האסטרטגיה שלהם כדי לחזות טוב יותר את האיומים ולהילחם במניעים הכלכליים המאלצים את פושעי הסייבר לקדם דרכי פעולה חדשות במקום אלו שנכשלו. במקום לעסוק במרוץ חימוש מתמיד, ארגונים צריכים לאמץ אוטומציה ובינה מלאכותית כדי לכווץ את מרחב התקיפה מחדירה לגילוי ומגילוי לחסימה. ניתן להשיג זאת על ידי שילוב של רכיבי אבטחה בתוך מארג אבטחה מגובש שמשתף באופן דינמי מידע על איומים עבור הגנה רחבה ונראות על פני כל חלקי הרשת מה-IoT ועד הענן".