דוח מפת האיומים של פורטינט חושף: פושעי הסייבר מתמקדים ביישומי המשתמשים כשהם מחוברים
לפי הדוח של פורטינט, כ-60% מהאיומים חולקים דומיין אחד לפחות, מה שמעיד על מינוף התשתית הקיימת על ידי מרבית הבוטנטים
15:2529.05.19
פורטינט (נאסד"ק: FTNT), מובילה עולמית בפתרונות אבטחת סייבר מקיפים, משולבים ואוטומטיים, חשפה את ממצאי דוח מפת האיומים
הרבעוני של מעבדות FortiGuard, גוף המחקר הגלובלי של החברה. מהמחקר עולה כי שיטות ההתקפה של פושעי הסייבר הופכות מתוחכמות יותר, החל מתוכנות כופר מותאמות; קידוד מותאם אישית להתקפות מסוימות; התקפות מסוג living-off-the-land) LoTL); או שיתוף תשתיות לצורך מקסום הזדמנויות התקיפה. להלן ממצאי הדוח העיקריים:
תעבורת נתונים לפני ואחרי הפגיעה בארגון: מהמחקר אשר נערך במטרה לבדוק האם פושעי הסייבר מוציאים לפועל את שלבי ההתקפות שלהם בימים שונים של השבוע עלה כי הפושעים תמיד מנסים למקסם את הזדמנות התקיפה לתועלתם. כאשר משווים את נפח סינון נתוני ה-Web בשני שלבי שרשרת ההרס במהלך ימי השבוע ובסופי השבוע, הסבירות לקיום פעילות זדונית שקודמת לפגיעה בארגון גדולה פי שלוש לערך במהלך שבוע העבודה, ואילו בתעבורת נתונים לאחר הפגיעה בארגון אין הבדל גדול בתחום זה. הסיבה העיקרית לכך היא שפעמים רבות פעולת הפריצה והשימוש לרעה מחייבת פעולה של אדם בתוך הארגון כגון לחיצה על הודעת פישינג בדואר האלקטרוני. בניגוד לכך, פעילות שליטה ובקרה (command-and-controlC2 - ) אינה זקוקה לכך והיא עשויה להתרחש בכל עת. פושעי הסייבר מבינים זאת ומנסים למקסם את ההזדמנות במהלך השבוע, כאשר נפח הפעילות באינטרנט הוא הגבוה ביותר. ההבחנה בין נוהלי סינון ה-Web בימי השבוע לבין סופי השבוע חשובה להבנה מלאה של שרשרת ההרס הנגרמת כתוצאה מההתקפות השונות.
רוב האיומים משתמשים בתשתית משותפת: המידה בה איומים שונים חולקים בתשתית מעלה כמה מגמות בעלות ערך. חלק מהאיומים ממנפים תשתית הנמצאת בשימוש קהילה במידה רבה יותר מאשר תשתית ייחודית או ייעודית. כ-60% מהאיומים חולקים דומיין אחד לפחות, מה שמצביע על כך שרוב הבוטנטים ממנפים את התשתית הקיימת. בנוסף, כאשר איומים חולקים תשתית, הם נוטים לעשות זאת בתחומי שרשרת ההרס עצמה. לרוב, איום לא ימנף דומיין לצורך חדירה ואז ימנף אותו מאוחר יותר לצורך תעבורת C2. הדבר מרמז על כך שלתשתית יש תפקיד או פונקציה ספציפיים כאשר היא נמצאת בשימוש של פעולות זדוניות. ההבנה אילו איומים חולקים תשתית ומהם הנקודות של שרשרת ההתקפה, תאפשר לארגונים לחזות את נקודות ההתפתחות הפוטנציאליות של תוכנות זדוניות או בוטנטים בעתיד.
ניהול תוכן זקוק לניהול קבוע: פושעי הסייבר נוטים לעבור מהזדמנות אחת לשנייה במקבצים, תוך התמקדות בטכנולוגיות ובנקודות תורפה מתפתחות שנוצלו בהצלחה במטרה למקסם במהירות את הזדמנות לפעילות זדונית. דוגמה לטכנולוגיה חדשה שמושכת לאחרונה את תשומת לבם של פושעי סייבר רבים הן פלטפורמות ה-Web אשר עוזרות לצרכנים ולעסקים ליצור נוכחות ברשת במהירות. הפושעים ממשיכים להתמקד בפלטפורמות אלו ובתוספים החיצוניים שקשורים אליהן. דבר זה מחזק את החשיבות הקריטית של החלת עדכוני תוכנה באופן מידי ושל הבנה מלאה של זירת נקודות התורפה המתפתחת ללא הרף כדי לשמור על יתרון מול פושעי הסייבר.
תוכנות הכופר עדיין לא נעלמו: אומנם חלק גדול מתוכנות הכופר הוחלף בהתקפות ממוקדות יותר, אך תופעת תוכנות הכופר עדיין חיה ובועטת. כיום, התקפות מרובות מעידות על כך שהתוכנות הללו הותאמו עבור יעדים בעלי ערך גבוה וכדי להעניק לתוקף הרשאות גישה גבוהות יותר אל הרשת. LockerGoga היא דוגמה לתוכנת כופר ממוקדת אשר נערכה כהתקפה מרובת שלבים. LockerGoga דומה מאוד לתוכנות כופר אחרות מבחינת התחכום הפונקציונלי, אך רוב כלי תוכנות הכופר משתמשים בסוג מסוים של טשטוש כדי למנוע זיהוי ואילו ניתוח של קוד זה הראה כי רמת הטשטוש בו הייתה נמוכה. דבר זה מרמז על הטבע הממוקד של ההתקפה, וכן על הקביעה מראש כי התוכנה הזדונית לא תזוהה בקלות. כמו כן, בדומה לרוב תוכנות הכופר, היעד הראשי של Anatova הוא להצפין כמה שיותר קבצים במערכת הקבצים של הקורבן, פרט לאלו שעלולים לפגוע ביציבות המערכת הנגועה. התוכנה נמנעת גם מלהדביק מחשבים שנראים כאילו הם נמצאים בשימוש לצורך ניתוח תוכנות זדוניות או כאלה שמשתמשים במלכודת דבש (honeypots) לאיתור פעילות זדונית. שני סוגי הקוד הללו מלמדים אותנו כי על הגופים המובילים בתחום האבטחה להמשיך ולהתמקד בתיקון פרצות ובגיבוי כאמצעי למניעת תוכנות כופר, אך יחד עם זאת, איומים ממוקדים מצריכים יישום של הגנה מותאמת יותר מפני שיטות ההתקפה הייחודיות שלהם.
כלים וטריקים עבור Living Off the Land: פושעי הסייבר פועלים על פי אותם המודלים העסקיים שמנחים את קורבנותיהם ולכן, פעמים רבות שיטות ההתקפה ממשיכות להתפתח גם לאחר הפריצה הראשונית, וזאת כדי למקסם את המאמצים שלהם. לשם כך, פושעי הסייבר ממנפים כמות הולכת וגדלה של כלים לשימוש כפול – או כלים שכבר מותקנים במערכות היעד – לביצוע התקפות סייבר. טקטיקת "living of the land" (LoTL – שימוש בכלים קיימים) מאפשרת להאקרים להסתיר את הפעילות שלהם מאחורי תהליכים לגיטימיים, מה שמקשה על הצד המתגונן לאתר אותם, כאשר הכלים הללו מקשים גם על זיהוי ההתקפה עצמה. לרוע המזל, הפושעים יכולים להשתמש במגוון כלים לגיטימיים כדי להשיג את מטרותיהם ולהתחבא במקומות שלא יעלו על הדעת. הגופים המתגוננים שרוצים לפעול בצורה חכמה יידרשו להגביל את הגישה אל כלים אדמיניסטרטיביים מאושרים ולתעד את השימוש במערכות שלהם.
עופר ישראלי, מנהל פעילות פורטינט ישראל, אמר כי, "שיפור היכולת של הארגון להתגונן כראוי מפני מגמות איומים קיימות ואף להתכונן להתפתחות ולאוטומציה של התקפות לאורך זמן מחייבים הטמעה של מודיעין איומים דינמי, יזום וזמין על פני הרשת המבוזרת. ידע זה יוכל לעזור לזהות מגמות המצביעות על התפתחות שיטות ההתקפה אשר מתמקדות בשטח התקיפה הדיגיטלי ולתת דגש על עדיפות להיגיינת סייבר המבוססת על הנקודות בהן מתמקדים הפושעים. הערך והיכולת לנקוט בפעולה בעקבות מודיעין איומים יקטנו משמעותית אם הם לא יהיו ברי פעולה בזמן אמת בכל התקן אבטחה. רק מארג אבטחה (Security Fabric) מקיף, משולב ואוטומטי יוכל לספק הגנה עבור סביבת הרשת כולה החל מה-IoT, דרך הקצה וליבת הרשת וכלה בריבוי עננים במהירות ובצורה מותאמת".
פיל קוודה, CISO בפורטינט, אמר כי, "לרוע המזל, אנו ממשיכים לראות כיצד קהילת פושעי הסייבר מעתיקה את האסטרטגיות והמתודולוגיות של גופים מדיניים, וכן את הרשתות וההתקנים המתפתחים בהם פושעים אלו מתמקדים. על הארגונים לשנות ולהתאים את האסטרטגיה שלהם כדי לשפר את ההגנה ואת ניהול סיכוני הסייבר. שלב חשוב וראשון בתהליך הוא התייחסות מדעית אל תחום אבטחת הסייבר – טיפול הולם בדרישות היסודיות – מה שמצריך מינוף של תשתית מרחב הסייבר מבחינת מהירות וקישוריות לצורך הגנה. האימוץ של גישת המארג, חלוקת מיקרו ומאקרו למקטעים, מינוף למידת מכונה והאוטומציה כאבני הבניין של הבינה המלאכותית, יהוו הזדמנות מצוינת אשר תאלץ את פושעי הסייבר לחזור אל קו ההתחלה".
פיל קוודה, CISO בפורטינט צילום: יח"צ פורטינט